Privacy Shield auf dem Prüfstand

Viele Online-Marketing-Dienstleister sitzen in den USA. Das kann zum Datenschutzproblem werden – muss es aber nicht.

Die DSGVO unzterscheidet hinsichtlich der Anforderungen an die Rechtmäßigkeit von grenzüberschreitenden Datenübermittlungen zwischen solchen in „sichere Staaten“ und solchen in „unsichere (Dritt-)Staaten“. Als „unsicher“ in diesem Sinne gelten zunächst all diejenigen Staaten, in denen die DSGVO nicht anwendbar ist. Wenn Unternehmen personenbezogener Daten in einen Drittstaat übermitteln wollen, bedarf es vorab stets einer zweistufigen Prüfung, bei der zu fragen ist:

  1. ob die Datenverarbeitung (sprich Übermittlung) grundsätzlich zulässig ist. Hier ergeben sich keine Unterschiede einer Übermittlung an einen Datenverarbeiter innerhalb oder außerhalb des EWR; und
  2. unter welchen Voraussetzungen eine Übermittlung in einen Drittstaat gerechtfertigt werden kann. Die dabei zu beachtenden Vorgaben ergeben sich aus Kapitel V, Artt. 44ff. DSGVO.

Mit Blick auf die Prüfung zu 2. lässt sich zusammenfassend festhalten, dass eine Übermittlung in einen Drittstaat stets nur dann zulässig ist, wenn nachweislich sichergestellt ist, dass die Verarbeitung personenbezogener Daten den von der DSGVO aufgestellten Standards entspricht.

Wie sich dies im einzelnen nachweisen lässt und was das Privacy Shield damit zu tun hat, erläutert meine Kollegin Frederike Kollmar in diesem Beitrag „Datenübermittlung in die USA erneut auf dem Prüfstand„.

Auch unser Kollege Michael Neuber, der zugleich Justiziar beim BVDW ist, hat sich mit dem Thema befasst.