Eine Übermittlung von Daten an Stellen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes ist datenschutzrechtlich problematisch. Maßgeblich ist das Bestehen eines angemessenen Datenschutzniveaus.

Was ist das angemessene Datenschutzniveau?

Nach der Datenschutzrichtlinie 2002/58/EG, welche die Datenschutzrichtlinie 95/46/EG ergänzt, sowie den §§ 4b, 4c BDSG dürfen personenbezogene Daten nur bei Bestehen eines „angemessenen Schutzniveaus“ in Drittstaaten übermittelt werden. Dieses „angemessene Datenschutzniveau“ liegt u.a. dann vor, wenn in dem gesamten Empfängerland oder bei der verantwortlichen Stelle im Empfängerland den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

Wer entscheidet über das Bestehen eines „angemessenen Datenschutzniveaus“?

Die Entscheidung über die Angemessenheit des Datenschutzniveaus wird von der Europäischen Kommission in Zusammenarbeit mit der Artikel-29-Datenschutzgruppe getroffen.

Folge einer positiven Entscheidung

Eine positive Entscheidung der Europäischen Kommission bedeutet, dass personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des EWR bei Vorliegen einer Übermittlungsbefugnis ohne weitere zusätzliche Schutzmaßnahmen an dieses Drittland übermittelt werden können.

In Uruguay besteht ein angemessenes Datenschutzniveau

Mittels Durchführungsbeschluss der Europäischen Kommission vom 21. August 2012  wurde für Uruguay verbindlich das Bestehen eines angemessenen Datenschutzniveaus festgestellt.

Weitere Länder mit angemessenem Datenschutzniveau

Auch für folgende Länder wurde bislang ein angemessenes Datenschutzniveau festgestellt:

Dennoch umfassende Prüfung durch den Datenschutzbeauftragten

Datenschutzbeauftragte haben auch in Fällen, in denen ein angemessenes Datenschutzniveaus besteht, zu prüfen, ob die weiteren Voraussetzungen für eine Datenübermittlung, insbesondere deren Rechtsgrundlage vorliegen. Auch sollten die Voraussetzungen für eine Datenübermittlung in ein Land mit angemessenem Datenschutzniveau regelmäßig geprüft und die Prüfung dokumentiert werden, da sich die EU-Kommission vorbehalten hat, ihre Entscheidung wieder aufzuheben.