Bundesamt für Sicherheit in der Informationstechnik

G 2.172 Fehlende oder unzureichende Absicherung der Verarbeitung personenbezogener Daten im Ausland

Bei der Übermittlung personenbezogener Daten ins Ausland sind besondere gesetzliche Bestimmungen zu beachten. Personenbezogene Daten dürfen in die Mitgliedstaaten der Europäischen Union unter den gleichen Voraussetzungen übermittelt werden wie innerhalb der Bundesrepublik Deutschland. An Stellen in so genannte Drittländer dürfen personenbezogene Daten nur übermittelt werden, wenn dort ein angemessenes Datenschutzniveau (vergleiche § 4b Abs. 3  BDSG ) gewährleistet ist, die im Gesetz genannten Ausnahmen vorliegen (§ 4c Abs. 1 BDSG) oder die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist (§ 4 c Abs. 2 BDSG). Im letzteren Fall bedürfen die Übermittlungen einer Genehmigung durch die Aufsichtsbehörden.

Beispiel:

  • Ein deutsches Unternehmen, das zu einem international agierenden Konzern gehört, möchte seine bisherige nationale Zugangs- und Zugriffsverwaltung auf einen Verzeichnisdienst (Directory Service) umstellen, der in Japan durch eine andere Konzerntochter zentral betrieben werden soll.
  • Japan hat (noch) kein angemessenes Datenschutzniveau. Die Weitergabe von personenbezogenen Daten an einen japanischen Auftraggeber ist daher nur zulässig, wenn durch geeignete Maßnahmen ein angemessenes Datenschutzniveau gewährleistet wird. Dies kann durch Unterzeichnung der so genannten Standardvertragklauseln zwischen dem deutschen Auftraggeber und dem japanischen Auftragnehmer erfolgen.

Stand: 11. EL Stand 2009