Eine Datenübermittlung ist während der Zusammenarbeit mit Nicht-EU-Mitgliedstaaten unumgänglich. Doch diese gelten als Drittländer und müssen, was den Datenschutz und die DSGVO betrifft, gesondert behandelt werden. Auf Grund des Brexits gilt auch Großbritannien als Drittland, wodurch bei Datenübermittlungen entsprechend vorgegangen werden muss.
In der EU finden Verbraucher ein hohes Schutzniveau für ihre personenbezogenen Daten vor, in den Drittländern aber meistens nicht. Damit der Schutz der Daten aber nicht ins Leere läuft, müssen Verantwortliche geeignete Maßnahmen bei einer Datenübermittlung ergreifen. Ob eine Datenübermittlung überhaupt zulässig ist, wird anhand einer Zwei-Stufen-Methode überprüft. Als erstes benötigt der Verantwortliche eine Rechtsgrundlage für die Übermittlung. Liegt diese vor, wird im zweiten Schritt geprüft, ob das Drittland auch ein geeignetes Datenschutzniveau vorweisen kann. Das Drittland, also das Land, die Organisation oder internationale Vereinigung muss bei der Datenübermittlung ein dem der EU gleichwertiges Niveau zum Schutz der personenbezogenen Daten vorweisen. Dies kann beispielsweise durch vertragliche Zusicherung oder durch die Ausstellung eines "Zertifikats" durch die EU-Kommission erfolgen. Sind die beiden Prüfstufen nicht erfüllt, darf eine Datenübermittlung nicht ablaufen.
Wir unterstützen Sie bei der Umsetzung datenschutzrechtlicher Vorschriften und sind Ihr kompetenter Ansprechpartner bei allen Fragen rund um Datenschutz & Datensicherheit.
Als Drittland oder auch Drittstaat wird ein Land bezeichnet, das nicht der EU oder dem Europäischen Wirtschaftsraum angehört. Drittländer haben andere Gesetze, Richtlinien und Vorschriften, die möglicherweise nicht mit dem Standard in der EU vereinbar sind. Die DSGVO ist eine europäische Verodnung ist, die innerhalb der EU und des Europäischen Wirtschaftsraumes Anwendung findet und somit ein einheitliches Niveau garantiert. Alle nicht EU-Mitgliedstaaten, Drittländern, sind nicht an die DSGVO gebunden und haben teilweise eigene Datenschutzgesetze. Aus diesem Grund muss die Übermittlung von Daten in Drittländer gesondert behandelt und auf einen gemeinsamenen rechtlichen Standard gebracht werden. Auf Grund der Globalisierung und internationalen Vernetzung ist diese Thematik besonders relevant.
Die betroffene Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. In der Praxis fallen darunter sämtliche Daten, die einer natürlichen Person zugeordnet werden oder zugeordnet werden können.
Die personenbezogene Daten müssen sich immer auf eine natürliche Person beziehen. Bei Daten über juristische Personen wie beispielsweise Rechtsformen, Stiftungen und Körperschaften greift die Datenschutzgrundverordnung nicht.
Neben den einfachen personenbezogene Daten, gibt es noch eine Klasse der sensiblen personenbezogenen Daten. Diese sensiblen personenbezogenen Daten wie beispielsweise die rassische oder ethnische Herkunft, politische Meinungen sowie genetische, biometrische und Gesundheitsdaten genießen ein höheres Schutzgut.