Drittstaaten / Drittländer

Was ist ein Drittstaat bzw. Drittland?

Der Begriff bezieht sich auf ein Land, das außerhalb eines bestimmten rechtlichen, wirtschaftlichen oder politischen Systems oder Vereinigung liegt. So kann es sich auf ein Land beziehen, das nicht Teil eines bestimmten Abkommens oder Vertrags ist, oder auf ein Land, das nicht Teil einer bestimmten Region oder eines bestimmten Bündnisses ist.

Zum Beispiel kann ein Land als Drittstaat bezeichnet werden, wenn es weder Mitglied der Europäischen Union noch Teil eines Freihandelsabkommens mit der EU ist. Der Begriff wird oft in Bezug auf internationale Beziehungen und Handelsabkommen verwendet.

Im datenschutzrechtlichen Kontext geht es bei Drittstaaten bzw. Drittländern meist darum, ob und wie die Übermittlung personenbezogener Daten in ein anderes Land erlaubt ist.

Drittstaaten nach der EU-DSGVO

Die Datenschutzgrundverordnung (DSGVO) findet nur für EU-Mitgliedstaaten Anwendung. Diese regelt den Datenschutz für personenbezogene Daten innerhalb der EU und außerhalb der EU. Die Übertragung von personenbezogenen Daten außerhalb der EU in ein Drittland ist äußerst relevant in der aktuellen Zeit. 

Damit eine solche Übertragung nach der DSGVO rechtmäßig erfolgen kann, müssen zunächst einmal die in Art. 44 – 50 DSGVO normierten Voraussetzungen vorliegen. Das Vorliegen dieser Voraussetzungen gewährleistet den Schutz der Daten bei Übertragung außerhalb der EU, in ein Drittland. In der Realität erfolgt die Vermittlung der personenbezogenen Daten in einem Drittland, durch bestimmte Bearbeitungsstufen. Neben den DSGVO-Voraussetzungen, muss auch das System, mit dem der Verantwortliche die Daten in einem Drittstaat weitervermittelt, den DSGVO-Voraussetzungen entsprechen. Das heißt bei der Vermittlung der Daten in ein Drittland, ist das System, welches dazu benötigt wird, auch sehr ausschlaggebend und erfordert ebenso eine Prüfung. Primär ist aber wichtig, ob die Weitervermittlung der jeweiligen Daten in das Drittland überhaupt erlaubt ist. Für diese Entscheidung, muss differenziert werden, ob das jeweilige Drittland ein Land mit sicherem Datenschutz ist. Dies kann nur durch eine Prüfung der EU-Kommission bejaht werden. 

Zu bejahen ist ein sicherer Datenschutz, wenn die Voraussetzungen für ein angemessenes Datenschutzniveau gem. Art. 45 Abs. 2 DSGVO für das jeweilige Drittland durch die EU-Kommission festgestellt wird. So ergeht ein sogenannter Angemessenheitsbeschluss für dieses Drittland, welches dann als ein Drittland mit angemessenem Datenschutz eingestuft wird.

Nach der DSGVO sind alle EU-Mitgliedstaaten ein sicheres Datenexport-Land für personenbezogene Daten sowie folgende Drittländer: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea sind als datenschutzkonforme eingestuft worden, sodass dorthin der Datenexport von personenbezogenen Daten erlaubt ist. 

Ein Transfer von personenbezogenen Daten in ein Drittland, wo die Voraussetzungen für das angemessene Datenschutzniveau durch die EU-Kommission verneint wird (also die Voraussetzungen für den Datenexport nach Art. 45 DSGVO nicht erfüllt sind), scheint problematischer zu sein. Bei Vorliegen eines Drittlandes mit unsicherem Datenschutz sind die Voraussetzungen des Art. 46 DSGVO zu prüfen, ob eventuell ein Datentransfer nach dieser Vorschrift möglich wäre. Dafür müsste das jeweilige Drittland für den Datenexport, über die in Art. 46 DSGVO genannten Garantien verfügen. Eine andere Möglichkeit bei Nichtvorliegen der Voraussetzungen des Art. 45 DSGVO für den Datenexport, besteht auch nach Art. 49 DSGVO. Im Umkehrschuss heißt es, wenn der Datenexport von personenbezogenen Daten in ein Drittland nicht schon nach Art. 45 DSGVO erfolgen kann, kann dieser nach Art. 46 DSGVO oder nach Art. 49 DSGVO erfolgen. Liegen die Voraussetzungen des Art. 45 DSGVO vor, liegt ein Drittland mit sicherem Datenschutz vor. Erfolgt der Datenexport nach Art. 46 oder 49 DSGVO, liegt ein Drittland mit unsicherem Datenschutz vor, wobei in beiden Fällen der Datenexport möglich wäre.

Drittstaaten nach DSG Schweiz (2023)

Das Datenschutzgesetz der Schweiz schützt die personenbezogenen Daten bei Verarbeitung dieser innerhalb der Schweiz. Jedoch nicht immer kann die Datenverarbeitung innerhalb des Landes erfolgen, manchmal ist es nötig personenbezogene Daten auch außerhalb von der Schweiz, nämlich in ein Drittland zu transferieren. Auch dort muss für deren Schutz gesorgt werden. 

Der Datentransfer von personenbezogenen Daten kann in einem Drittland direkt erfolgen, welches auf der Liste des EDÖB als Drittstaat mit angemessenem Datenschutz gekennzeichnet ist. Dabei ist aber zu beachten, dass trotz dessen eine laufende abschnittweise Prüfung vorgenommen wird, welches die Angemessenheit der Datensicherheit in dem jeweiligen Land feststellen soll. Anders ist es, wenn das Drittland nicht auf der Staatenliste des EDÖB als datensicherer Staat gekennzeichnet oder gar nicht aufgelistet ist. Für den Fall, dass ein Datentransfer in einem Drittland mit unsicherem Datenschutz erfolgen soll, hat der EDÖB die EU-Standardvertragsklauseln als Grundlage für den Datenexport, trotz des unangemessenen Datenschutzes des jeweiligen Drittlandes, akzeptiert und als Bedingung für den Datentransfer gesetzt.

Die EU-Standardvertragsklauseln können auch nur als Grundlage verwendet werden, wenn auch diese mit dem Schweizer Datenschutzgesetz abgestimmt worden ist. Die EU-Standardvertragsklauseln dienen dazu, dass das jeweilige Drittland (aus Sicht der Schweiz), die Verarbeitung der zu transferierenden Daten, nach dem schweizerischen Datenschutzrecht, datenschutzkonform vornimmt. Falls ein Drittstaat auf der Liste fehlt, muss der Verantwortliche bzw. Beauftragter nochmals prüfen, ob dieser über ein angemessenes Datenschutzgesetz verfügt. Denn nicht immer stehen alle Länder auf der Staatenliste des EDÖB. 

Drittländer mit angemessenem Datenschutz nach DSG neu 2023 sind in der folgenden Tabelle mit einem grünen Häkchen versehen:

Andorra, Belgien, Bulgarien, Dänemark, Deutschland, Estland, Färöer, Finnland, Frankreich, Gibraltar, Griechenland, Guernsey, Irland, Island, Isle of Man, Italien, Jersey, Kosovo, Kroatien, Lettland, Liechtenstein, Litauen, Luxemburg, Malta, Monaco, Niederlande, Norwegen, Österreich, Polen, Portugal, Rumänien, Schweden, Schweiz, Slowakei, Spanien, Tschechien, Ungarn, Vereinigtes Königreich, Zypern, Kanada, Argentinien, Uruguay, Israel, (ggf. auch Australien), Neuseeland.

Die folgende Tabelle stellt die unterschiedliche Beurteilung der Datensicherheit in den jeweiligen Ländern dar, die nach DSG 2023 und DSGVO bestehen.

Liste bzw. Tabelle Vergleich vom angemessenen Datenschutz der Drittstaaten nach DSG Schweiz 2023 und EU-DSGVO

Drittstaat / Drittland EU
(nach EU-DSGVO)
Schweiz
(nach nDSG 2023)
🇦🇱 Albanien
🇦🇩 Andorra
🇦🇲 Armenien
🇦🇿 Aserbaidschan
🇧🇾 Belarus
🇧🇪 Belgien
🇧🇦 Bosnien und Herzegowina
🇧🇬 Bulgarien
🇩🇰 Dänemark
🇩🇪 Deutschland
🇪🇪 Estland
🇫🇴 Färöer
🇫🇮 Finnland
🇫🇷 Frankreich
🇬🇪 Georgien
🇬🇮 Gibraltar
🇬🇷 Griechenland
🇬🇬 Guernsey
🇻🇦 Vatikanstadt (Heiliger Stuhl)
🇮🇪 Irland
🇮🇸 Island
🇮🇲 Isle of Man
🇮🇹 Italien
🇯🇪 Jersey
🇽🇰 Kosovo
🇭🇷 Kroatien
🇱🇻 Lettland
🇱🇮 Liechtenstein
🇱🇹 Litauen
🇱🇺 Luxemburg
🇲🇹 Malta
🇲🇰 Mazedonien
🇲🇩 Moldau
🇲🇨 Monaco
🇲🇪 Montenegro
🇳🇱 Niederlande
🇳🇴 Norwegen
🇦🇹 Österreich
🇵🇱 Polen
🇵🇹 Portugal
🇷🇴 Rumänien
🇷🇺 Russland
🇸🇲 San Marino
🇸🇪 Schweden
🇨🇭 Schweiz -
🇷🇸 Serbien
🇸🇰 Slowakei
🇪🇸 Spanien
🇨🇿 Tschechien
🇹🇷 Türkei
🇺🇦 Ukraine
🇭🇺 Ungarn
🇬🇧 Vereinigtes Königreich (UK)
🇨🇾 Zypern
🇨🇦 Kanada
🇺🇸 Vereinigte Staaten von Amerika (USA)
🇦🇷 Argentinien
🇺🇾 Uruguay
🌍 Afrika
(allgemein)
🇮🇱 Israel
🇯🇵 Japan
🇰🇷 Südkorea
🇨🇳 China
🇦🇺 Australien
* nur teilweise angemessener Datenschutz
 ❌*
🇳🇿 Neuseeland