Auftragsdatenverarbeitung im Ausland

Die Übermittlung personenbezogener Daten in Drittstaaten, d.h. Staaten außerhalb der europäischen Union, ist gemäß Art. 25 der europäischen Datenschutzrichtlinie nur zulässig, wenn diese Länder ein angemessenes Datenschutzniveau gewährleisten.

Die EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt für Argentinien, Guernsey, Isle of Man, Kanada, die Schweiz und Ungarn. Die Datenübermittlung in die USA ist zulässig, sofern sich das US-Unternehmen freiwillig den Regelungen von "safe-harbour" ("sicherer Hafen") unterworfen hat. Darüber hinaus kann die Datenübermittlung in andere Drittstaaten genehmigt werden, wenn sich aus Vertragsklauseln ausreichend Garantien hinsichtlich des Schutzes der Privatssphäre, der Grundrechte und der Grundfreiheiten der Person sowie hinsichtlich der Ausübung der damit verbundenen Rechte ergeben.

Die EU-Kommission hat am 5.2.2010 die Änderung der von ihr genehmigten Standardvertragklauseln beschlossen. Danach müssen in Zukunft Auftragnehmer in Drittstaaten vor der Datenweitergabe an Dritte (Unterauftragnehmer) die schriftliche Einwilligung des europäischen Auftraggebers einholen. Der Dritte unterliegt nach der schriftlichen Vereinbarung den gleichen datenschutzrechtlichen Pflichten wie der Auftragnehmer selbst. Der Auftragnehmer bleibt auch dann gegenüber dem Auftraggeber datenschutzrechtlich Verantwortlicher, wenn der Dritte seine Pflichten nicht erfüllt.

Bereits bestehende Verträge müssen nur angepasst werden, wenn sich bei der Datenübermittlung oder –verarbeitung etwas ändert.

Weitere Informationen: Pressemitteilung der Europäischen Kommission

Weitere Informationen: Beschluss der Europäischen Kommission