Dürfen meine personenbezogenen Daten ins Ausland übermittelt werden?

Besteht für eine Datenübermittlung eine Rechtsgrundlage, darf der Verantwortliche personenbezogene Daten an Dritte mit Sitz in einem anderen EWR-Mitgliedstaat übermitteln und offenlegen.

Die Datenübermittlung in einen Drittstaat, also EmpfängerInnen mit Sitz außerhalb der EWR, darf hingegen nur in ganz bestimmten Fällen vorgenommen werden:

• Im Drittland besteht ein angemessenes Datenschutzniveau. Laut der Europäischen Kommission trifft dies derzeit auf folgende Staaten zu: Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay.
   
• Die oder der Verantwortliche hat geeignete Garantien vorgesehen. Zum Beispiel: verbindliche interne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt wurden; Standarddatenschutzklauseln, die von der Kommission genehmigt wurden. Ihnen als betroffene Person müssen gleichzeitig durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
   
• Bestimmte Ausnahmefälle, wie zum Beispiel: Die betroffene Person hat in die Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die Risiken einer solchen Datenübermittlung unterrichtet wurde. Die Datenübermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich.

Abgesehen davon darf eine Übermittlung an ein Drittland nur dann erfolgen, wenn

• die Übermittlung nicht wiederholt erfolgt,
   
• die Übermittlung nur eine begrenzte Zahl von betroffenen Personen betrifft,
   
• die Übermittlung für die Wahrung der berechtigten Interessen der Verantwortlichen erforderlich ist und die Interessen oder Rechte der betroffenen Person nicht überwiegen,
   
• der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde und die betroffene Person von solchen Übermittlungen informieren.

Für Datenübermittlungen in die USA besteht ein Abkommen zwischen der Europäischen Union und den USA („Privacy Shield“). Demnach können sich US-Unternehmen selbst verpflichten, gewisse datenschutzrechtliche Vorgaben einzuhalten und sich vom US-Handelsministerium zertifizieren lassen. Wurde das US-Unternehmen zertifiziert, war der Datenfluss an dieses Unternehmen nach einer Entscheidung der Europäischen Kommission [Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes] bis zuletzt grundsätzlich genehmigungsfrei. Diese Entscheidung der Europäischen Kommission wurde allerdings zuletzt vom Europäischen Gerichtshof aufgehoben (Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland). Datenübermittlungen in die USA dürfen seither nur auf Basis anderer Rechtsgrundlagen stattfinden.