Data protection in the internet

Neue Leitlinien für Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

1. Einleitung

 

Im Rahmen der Europäischen Datenschutz-Grundverordnung (DSGVO) ist es für jeden Verantwortlichen von entscheidender Bedeutung, Datenübermittlungen in Drittländer oder an internationale Organisationen zu identifizieren. Bislang bestand Unklarheit darüber, was genau eine solche Übermittlung an Dritte in Ländern darstellt.

 

Der Europäische Datenschutzausschuss (EDSA) hat am 18. November 2021 eine neue Leitlinie zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen in die öffentliche Vernehmlassung gegeben (https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf).

 

Diese Leitlinie gibt Ratschläge darüber, was genau eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darstellt. Dieser Leitfaden bringt für internationale Unternehmen viel Klarheit bei der Bewertung ihrer internationalen Datenübermittlung und folglich über die Notwendigkeit, ergänzende Massnahmen gemäss Artikel 46 DSGVO zu ergreifen.

 

2. Übermittlung an Drittländer  

 

Der EDSA hat eine internationale Übermittlung wie folgt definiert:

 

2.1 Verantwortlicher oder ein Auftragsverarbeiter unterliegt der DSGVO

 

Der erste Punkt setzt voraus, dass der für der Verantwortliche oder der Auftragsverarbeiter der DSGVO unterliegt. Es ist zu beachten, dass dies auch Verantwortliche oder Auftragsverarbeiter ausserhalb der EU/des EWR einschliesst, die der DSGVO unterliegen. Folglich schliesst dies auch Schweizer Unternehmen ein, die der DSGVO gemäss Artikel 3 DSGVO unterliegen.

 

2.2. Weitergabe personenbezogener Daten durch Übermittlung oder auf andere Weise

 

Die zweite Anforderung besagt, dass ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an einen für die Verarbeitung Verantwortlichen, einen gemeinsam für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter weitergeben oder zur Verfügung stellen muss. Damit wird klargestellt, dass nicht nur der für die Verarbeitung Verantwortliche, sondern auch der Auftragsverarbeiter für die Umsetzung geeigneter Massnahmen bei der Übermittlung personenbezogener Daten in ein Drittland verantwortlich ist. 

 

In der Leitlinie wird ferner klargestellt, dass zwei verschiedene Parteien an einer solchen Übermittlung beteiligt sein müssen, damit es sich um eine relevante Übermittlung personenbezogener Daten handelt. So gilt beispielsweise der Zugriff eines Mitarbeiters eines Auftragsverarbeiters auf seine Daten aus einem Drittland auf einer Geschäftsreise nicht als Übermittlung personenbezogener Daten in ein Drittland im Sinne von Artikel 46 DSGVO. Es müssen jedoch Datensicherheitsmassnahmen für einen solchen Zugriff vorhanden sein.

 

2.3 Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation 

 

Die dritte Voraussetzung ist, dass der für die Verarbeitung Verantwortliche, der gemeinsam Verantwortliche oder der Auftragsverarbeiter in einem Drittland ansässig oder eine internationale Organisation ist. Es ist wichtig, darauf hinzuweisen, dass es für die Anwendung von Artikel 46 DSGVO nicht relevant ist, ob die empfangende Partei der DSGVO unterliegt.

 

3. Konsequenzen

 

Wenn alle drei Kriterien erfüllt sind, muss die übermittelnde Partei prüfen, ob das Drittland nach Ansicht der EU-Kommission als angemessen gilt. Die folgenden Länder haben derzeit ein angemessenes Datenschutzniveau: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland und die Schweiz. 

 

Wenn personenbezogene Daten in ein anderes Land übermittelt oder dort zur Verfügung gestellt werden, muss die übermittelnde Partei sicherstellen, dass angemessene Garantien gemäss Artikel 46 DSGVO vorhanden sind. Diese Massnahmen umfassen:

 

Diese Massnahmen müssen auch umgesetzt werden, wenn die beiden Parteien, die Daten austauschen, in demselben Drittland ansässig sind, sofern die übermittelnde Partei der DSGVO unterliegt.

 

Für Schweizer Verantwortliche oder Auftragsverarbeiter, die der DSGVO unterliegen und Daten innerhalb der Schweiz übermitteln, ändert sich nichts, solange die EU-Kommission die Schweiz als angemessenes Schutzniveau einstuft. 

Wenn sie jedoch Personendaten in ein anderes Drittland übermitteln, können zusätzliche Massnahmen gemäss Art. 46 GDPR erforderlich sein können. 

 

Alle interessierten Kreise können sich bis zum 31. Januar 2022 zur dieser Leitlinie äussern.

 

Share:

LinkedIn
Das könnte Sie interessieren

Zusammenhängende Posts

Swiss-U.S. Data Privacy Framework

Einleitung Am 14. August 2024 hat der Bundesrat beschlossen, die USA auf die Liste der Länder mit einem angemessenen Datenschutzniveau zu setzen. Diese Entscheidung ermöglicht

Data protection in the internet

Digital Operational Resilience Act (DORA)

1. Einleitung Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so

Sterne zur Feier des Top Anwalts

Top Anwaltskanzlei 2024 LezziLegal

2024 gehören wir gemäss der BILANZ Wirtschaftsmagazin- und PME-Evaluation zu den besten Schweizer Anwaltskanzleien in unserem Kerngebiet Technologie- und Telekommunikationsrecht.Wir danken all unseren Klienten und Kollegen herzlich für