Drittländer mit (evtl.) unzureichenden Datenschutzniveaus

Drittländer mit (evtl.) unzureichenden Datenschutzniveaus sind Staaten außerhalb der EU/des EWR, die (evtl.) kein ausreichendes Datenschutzniveau gewährleisten. 

Von einem nach dem Maßstab der EU-Grundrechte-Charta unzureichenden Datenschutzniveau ist nach dem Urteil des Europäische Gerichtshof (EuGH) vom 16.07.2020, C-311/18, beispielsweise bei den USA auszugehen aufgrund der weitreichenden, nicht auf das erforderliche Maß beschränkten Zugriffsmöglichkeiten der US-Sicherheitsbehörden auf (personenbezogene) Daten der Betroffenen, gegen die keine wirksamen Rechtsschutzmöglichkeiten bestehen. 

Deshalb hat der EuGH mit dem genannten Urteil das „Privacy Shield“ (ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO), das bislang eine Rechtsgrundlage für eine Datenübermittlung in die USA stellte, für ungültig erklärt.

Eine Übermittlung personenbezogener Daten in ein solches Drittland ist unter bestimmten Voraussetzungen gleichwohl möglich, unter anderem, wenn 

  • die betroffene Person gemäß Art. 49 Abs. 1 S. 1 a) DS-GVO in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen unterrichtet wurde, 
  • die Übermittlung für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung von vorvertraglichen Maßnahmen auf Anfrage der betroffenen Person erforderlich ist, Art. 49 Abs. 1 S. 1 b) DS-GVO,
  • die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist, Art. 49 Abs. 1 S. 1 c) DS-GVO und
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, Art. 49 Abs. 1 S. 1 e) DS-GVO.