Die Datenschutz-Grundverordnung stellt eine Datenschutzreform dar, doch fraglich ist wie die bisherigen datenschutzrechtlichen Problemstellung z. B. Datenübermittlung an Drittstaaten (außerhalb der EU / EWR) durch diese beeinflusst werden.

1.

Im Rahmen der EU-Datenschutz-Grundverordnung ist bekannt, dass die Bußgelder für Datenschutzverletzungen deutlich angehoben wurden. Zu den gravierenden Verstößen, zählt auch die unrechtmäßige Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland und kann Strafen bis zu bis zu 20.000.000 € oder 4 Prozent des Jahresumsatzes nach sich ziehen. Ein solches Szenario kann sich bereits dann ergeben, wenn Daten in eine Cloud mit Serverstandort in einem Drittland übertragen werden oder im Rahmen verschiedener Softwarelösungen dahin übermittelt werden.

Auch nach der DSGVO muss weiterhin ein angemessenes Datenschutzniveau vorgehalten werden und die Rahmenbedingungen der DSGVO müssen eingehalten werden. Entweder die EU fasst einen Angemessenheits-Beschluss, indem ein sicheres Datenschutzniveau anerkannt wird oder es liegt eine Einwilligung des Betroffenen vor oder der Datentransfer wiederum im Einzelfall durch eine vertragliche Grundlage von der zuständigen Aufsichtsbehörde gebilligt wird. Grundsätzlich müssen Datenübermittlungen in ein Drittland gemäß § 13 DSGVO dem Betroffenen angezeigt werden und die entsprechende Rechtsgrundlage dargelegt werden. Für den Fall, dass eine Auftragsverarbeitung vorliegt muss gemäß Art. 27 DSGVO in Verbindung mit Art. 3 Abs. 2 DSGVO ein Vertreter in der EU schriftlich benannt werden und es sind gemäß Art. 44 DSGVO Garantien für eine rechtmäßige Verarbeitung nachzuweisen. Zudem müssen geeignete Maßnahmen getroffen werden, dass die datenschutzrechtliche Kommunikation, angemessene Information sowie die Verfahrensweise im Notfall sicherstellen.

2.

Auch Drittstaaten reagieren teilweise auf die Bestrebungen zum Datenschutz- und zur Datensicherheit. So wurde auch in China ein Gesetz zur Cybersicherheit verabschiedet, welches am 01.06.2017 in Kraft getreten ist.[1]

Das Gesetz ist in sieben Kapitel eingeteilt. Diese befassen sich mit Regelungen zum Schutz persönlicher Daten (Art. 37) und mit dem Schutz kritischer Infrastrukturen (Art. 31). Das Gesetz soll in erster Linie dazu dienen, dass die nationale Sicherheit geschützt wird. Beispielhaft sollen persönliche und andere kritische Daten nur innerhalb der chinesischen Grenzen gespeichert werden dürfen.

Der genaue Rahmen des Gesetzes bzw. welche Auswirkungen das Gesetz auf den internationalen Datenaustausch oder Einschränkungen im Rahmen der Rechte der Meinungsäußerung oder die Privatsphäre hat ist noch zu beurteilen.

[1] http://news.xinhuanet.com/english/2016-11/07/c_135812209.htm