Inhalt

Internationaler Datenverkehr

Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten in das Ausland. Abhängig vom Sachverhalt kann dafür eine Genehmigung der Datenschutzbehörde erforderlich sein.

Voraussetzung

Zuerst muss eine Datenanwendung vorhanden sein, aus der die Daten weitergegeben werden sollen. Diese Datenanwendung muss beim Datenverarbeitungsregister gemeldet werden (wie auch alle anderen Datenanwendungen!) In der Meldung werden die Übermittlungsempfänger im Feld „Übermittlungsempfänger“ eingetragen. Dienstleister im Ausland müssen nicht gemeldet werden. Die im Gesetz vorgesehenen Ausnahmen von der Meldepflicht sind auch hier relevant. Beachten Sie vor allem die Standardanwendungen SA001 „Rechnungswesen und Logistik“ und SA033 „Datenübermittlung im Konzern“.

Wie auch bei einer Datenweitergabe im Inland muss zwischen Übermittlung und Überlassung unterschieden werden. Der gewünschte Transfer muss auch im Inland zulässig sein.

Klärung

Dann muss geklärt werden, ob eine Genehmigung der Datenschutzbehörde für den Datenexport erforderlich ist.

Die Weitergabe von personenbezogenen Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) oder Länder mit angemessenem Datenschutz ist genehmigungsfrei. Die Liste der Länder finden Sie in der Datenschutzangemessenheits-Verordnung (DSAV).

Es gibt weiters bestimmte sachliche Ausnahmen, die in § 12 Abs. 3 DSG 2000 enthalten sind, wie zum Beispiel:

  • Die Daten sind indirekt personenbezogen;
  • Die stammen aus Datenanwendungen für private Zwecke oder für publizistische Tätigkeit;
  • Der Betroffene hat seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben;
  • ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag kann nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden;
  • die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich und die Daten wurden rechtmäßig ermittelt;
  • die Übermittlung oder Überlassung ist in einer Standard- oder Musteranwendung ausdrücklich angeführt.

Wenn keine Ausnahme vorliegt, muss eine Genehmigung beantragt werden.

Antrag auf Genehmigung

Die Datenschutzbehörde prüft den Antrag und entscheidet mit Bescheid. Bitte übermitteln Sie den Antrag nicht über die Web-Anwendung DVR-Online, die ausschließlich für Meldungen vorgesehen ist.

Gemäß § 13 Abs. 2 DSG 2000 muss glaubhaft gemacht werden, dass beim Empfänger angemessener Datenschutz besteht. Dazu werden vor allem Verträge eingesetzt. Es gibt vorgefertigte Verträge, die EU-Standardvertragsklauseln, die Sie im Download-Bereich finden. Diese werden bei Datenexporten von Konzernen oft schon fertig abgeschlossen von jeweils vorgesetzten Konzernstellen geliefert.

Manche internationalen Konzerne haben auch verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, kurz BCRs) für den Datenverkehr zwischen den Konzernunternehmen. Wenn BCRs vorhanden sind, können diese statt einem Vertrag eingesetzt werden.