Jedes sechste Unternehmen in der Europäischen Union beschäftigt Dienstleister mit Sitz außerhalb der EU. Die Kommunikation über die Ländergrenzen hinweg ist nur im Zuge einer Datenübermittlung möglich. Eine Datenübermittlung ist bereits bei der Nutzung von Cloud-Diensten mit Dienstleistern aus beispielsweise den USA gegeben. Auch das Einschalten von Dienstleistern aus Großbritannien fällt seit dem Brexit unter eine Datenübermittlung in ein Drittland.
Die DSGVO wurde am 14. April 2016 als Verordnung des Europäischen Parlaments und des Rates verabschiedet, trat daraufhin am 24. Mai 2016 in Kraft und soll der Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten dienen. Die DSGVO kommt seit dem 25. Mai 2018 zur Anwendung und soll so einerseits den Verbraucherschutz stärken und andererseits den innereuropäischen Verkehr personenbezogener Daten über die Landesgrenzen der Mitgliedsstaaten hinweg genauso ermöglich, wie der Verkehr solcher Daten innerhalb eines Mitgliedsstaats.
Da es sich bei der DSGVO um eine Europäische Verordnung handelt, gilt sie unmittelbar in allen Mitgliedsstaaten, d.h. die DSGVO muss nicht zuerst in nationales Recht umgesetzt werden. In der DSGVO sind aber Öffnungsklauseln enthalten, die den nationalen Gesetzgeber dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Der deutsche Gesetzgeber musste also, wie die anderen nationalen Gesetzgeber, neue nationale Gesetze erlassen, um die Vorschriften aus der DSGVO mit dem bestehenden deutschen Recht bestmöglich in Einklang bringen zu könenn. Das nationale Gesetz zum Datenschutz in Deutschland heißt Bundesdatenschutzgesetz-neu.
Wir unterstützen Sie bei der Umsetzung datenschutzrechtlicher Vorschriften und sind Ihr kompetenter Ansprechpartner bei allen Fragen rund um Datenschutz & Datensicherheit.
In der EU finden Verbraucher ein hohes Schutzniveau für ihre personenbezogenen Daten vor, in den Drittländern aber meistens nicht. Damit der Schutz der Daten aber nicht ins Leere läuft, müssen Verantwortliche geeignete Maßnahmen bei einer Datenübermittlung ergreifen. Ob eine Datenübermittlung überhaupt zulässig ist, wird anhand einer Zwei-Stufen-Methode überprüft. Als erstes benötigt der Verantwortliche eine Rechtsgrundlage für die Übermittlung. Liegt diese vor, wird im zweiten Schritt geprüft, ob das Drittland auch ein geeignetes Datenschutzniveau vorweisen kann. Das Drittland, also das Land, die Organisation oder internationale Vereinigung muss bei der Datenübermittlung ein dem der EU gleichwertiges Niveau zum Schutz der personenbezogenen Daten vorweisen. Dies kann beispielsweise durch vertragliche Zusicherung oder durch die Ausstellung eines "Zertifikats" durch die EU-Kommission erfolgen. Sind die beiden Prüfstufen nicht erfüllt, darf eine Datenübermittlung nicht ablaufen.
Die betroffene Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. In der Praxis fallen darunter sämtliche Daten, die einer natürlichen Person zugeordnet werden oder zugeordnet werden können.
Die personenbezogene Daten müssen sich immer auf eine natürliche Person beziehen. Bei Daten über juristische Personen wie beispielsweise Rechtsformen, Stiftungen und Körperschaften greift die Datenschutzgrundverordnung nicht.
Neben den einfachen personenbezogene Daten, gibt es noch eine Klasse der sensiblen personenbezogenen Daten. Diese sensiblen personenbezogenen Daten wie beispielsweise die rassische oder ethnische Herkunft, politische Meinungen sowie genetische, biometrische und Gesundheitsdaten genießen ein höheres Schutzgut.