Alternativen zu Safe Harbor-Datenübermittlungen in die USA?

Wer personenbezogene Daten in die USA übermittelt, hat entsprechend den Regelungen der §§ 4b, c BDSG mehrere Möglichkeiten, eine solche Datenübermittlung nach deutschem (und europäischem Datenschutzrecht) zu rechtfertigen. Erläuterungen zur Entscheidung des Europäischen Gerichtshofs (EuGH) vom 06.10.2015, Sache C-362/14 Maximillian Schrems / Data Protection Commissioner finden sie hier.

1. Der Betroffene hat in eine Datenübermittlung in die USA eingewilligt (§ 4c Abs. 1 Nr. 1)

Dies wird wohl der Weg vieler Online-Dienste sein, sich die Einwilligung seiner Nutzer einzuholen. Beachtet werden muss hierbei aber, dass nur der Betroffene selbst einwilligen kann. Eine Übermittlung von Daten Dritter ist über eine Einwilligung nicht möglich. Auch müssen hier die Anforderungen an Einwilligungen im Datenschutzrecht (§ 4a BDSG) erfüllt werden, welche nicht banal sind. Unter anderem muss eine solche Einwilligung freiwillig erfolgen (also auch abgelehnt werden dürfen) und dem Betroffene muss über eine hinreichend ausführliche Information die Tragweite seiner Erklärung bewusst gemacht werden.

2. Die Datenübermittlung muss zur Erfüllung eines Vertrages des Betroffenen mit der Stelle in den USA erforderlich sein (§ 4c Abs. 1 Nr. 2 BDSG)

Auch eine Möglichkeit gerade für Online-Dienste. Der Betroffene muss den Vertrag mit der verarbeitenden Stelle in den USA veranlasst haben und der Vertrag hat deutlichen Auslandsbezug hat. Typische Beispiele sind hier internationale Überweisungen, Reise- und Flugbuchungen, Mietwagenreservierungen usw. Bei manchen anderen Verträgen könnte allerdings ein fraglich sein, ob ein Auslandsbezug „erkennbar“ ist und ob eine solche Datenübermittlung wirklich auch „erforderlich“ ist.

3 ...Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK