Als Drittland wird im Datenschutzrecht ein Staat bezeichnet, der weder Mitglied der Europäischen Union (EU) noch des Europäischen Wirtschaftsraums (EWR) ist. Zu den EWR-Staaten gehören neben den EU-Mitgliedstaaten auch Island, Liechtenstein und Norwegen. Länder außerhalb dieses Rechtsraums gelten datenschutzrechtlich grundsätzlich als Drittländer.
Der Begriff spielt insbesondere dann eine Rolle, wenn personenbezogene Daten an Empfänger in einem Drittland übermittelt oder dort verarbeitet werden. Dies kann beispielsweise bei der Nutzung von Cloud-Diensten, Softwarelösungen, Kommunikationsplattformen oder externen Dienstleistern der Fall sein.
Rechtliche Grundlagen
Die Übermittlung personenbezogener Daten in ein Drittland ist nach dem Gesetz über den Kirchlichen Datenschutz (KDG) nur unter bestimmten Voraussetzungen zulässig. Hintergrund ist, dass außerhalb der EU und des EWR häufig kein mit dem europäischen Datenschutz vergleichbares Schutzniveau besteht.
Eine Datenübermittlung kann insbesondere zulässig sein, wenn:
- für das betreffende Land ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt,
- geeignete Garantien für den Schutz personenbezogener Daten bestehen,
- besondere gesetzliche Ausnahmetatbestände greifen.
Zu den Ländern, für die derzeit ein Angemessenheitsbeschluss besteht, gehören beispielsweise die Schweiz, das Vereinigte Königreich, Japan und Kanada für bestimmte Bereiche.
Bedeutung in der Praxis
Drittländer spielen im kirchlichen Datenschutz eine große Rolle, da zahlreiche digitale Dienste von Unternehmen außerhalb der EU angeboten werden. Besonders häufig betrifft dies Anbieter mit Sitz in den Vereinigten Staaten.
Bereits die Nutzung einer Software oder eines Online-Dienstes kann zu einer Drittlandübermittlung führen, wenn personenbezogene Daten auf Servern außerhalb der EU gespeichert oder von dort aus verarbeitet werden. Dies gilt beispielsweise für:
- Cloud-Speicherdienste,
- Videokonferenzsysteme,
- Newsletter- und E-Mail-Marketing-Plattformen,
- Analyse- und Trackingdienste,
- Personal- und Verwaltungssoftware.
Kirchliche Einrichtungen müssen daher vor der Nutzung solcher Dienste prüfen, ob personenbezogene Daten in ein Drittland übermittelt werden und ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.
Besonderheiten im kirchlichen Datenschutz
Auch im kirchlichen Datenschutz gilt der Grundsatz, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn die Rechte und Freiheiten der betroffenen Personen angemessen geschützt sind. Verantwortliche müssen daher sorgfältig prüfen, welche Daten verarbeitet werden, wohin die Daten gelangen und welche Schutzmaßnahmen der Anbieter getroffen hat.
Besondere Aufmerksamkeit ist erforderlich, wenn sensible personenbezogene Daten verarbeitet werden. Hierzu zählen beispielsweise Personaldaten, Gesundheitsdaten oder Daten aus seelsorglichen und sozialen Tätigkeiten. In solchen Fällen können zusätzliche technische und organisatorische Maßnahmen notwendig sein, um ein angemessenes Datenschutzniveau sicherzustellen.
Die Prüfung von Drittlandübermittlungen gehört deshalb zu den wichtigen Aufgaben eines datenschutzkonformen Informations- und Risikomanagements in kirchlichen Einrichtungen.