Beim Transfer personenbezogener Daten ins Ausland ist zwischen zwei Fragen zu differenzieren: Liegt eine Übermittlungsbefugnis für den Transfer der Daten vor (Einwilligung des Betroffenen oder gesetzliche Grundlage)? Besitzt das Land, in das die Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau?
Übermittlungsbefugnis
Eine Übermittlungsbefugnis kann sich aus gesetzlicher Regelung oder der Einwilligung der Betroffenen ergeben. Wenn keine Befugnis für den Datentransfer existiert, ist eine Übermittlung von vornherein unzulässig.
Angemessenes Datenschutzniveau
Für EU-Länder, aber auch die Schweiz, Argentinien und die USA (soweit sich die empfangende Stelle dem Safe Harbour -Abkommen angeschlossen hat), wird ein angemessenes Datenschutzniveau unterstellt. In die übrigen Länder dürfen Daten nur übermittelt werden, wenn einer der Ausnahmetatbestände des § 4 c BDSG vorliegt. Die wichtigste Ausnahme ist die Einwilligung des Betroffenen. Liegt keine der Ausnahmen des § 4c BDSG vor, muss das angemessene Schutzniveau bilateral hergestellt werden.
Und hier kommen nun die Standardvertragsklauseln der EU-Kommission ins Spiel. Ein Unternehmen kann durch die Verwendung der Standardvertragsklauseln mit dem Vertragspartner, mit dem der Datenaustausch stattfinden soll, verbindlich ein angemessenes Schutzniveau vereinbaren. Sofern die Übermittlung innerhalb eines Unternehmensverbundes stattfindet, können alternativ hierzu auch Konzern-Datenschutzrichtlinien (codes of conduct) verabschiedet werden, die den Schutz der Daten unternehmensweit garantieren.