Datenübermittlung an Drittländer oder an internationale Organisationen

Mit der DSGVO ändert sich auch die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen. Als Rechtsgrundlage stehen grundsätzlich die bisher schon bekannten Instrumente zur Verfügung. Unser Datenschutzprozess „Datenübermittlung an Drittländer und internationale Organisationen“ erläutert die einzelnen Regelungen und Rechtsgrundlagen im Detail. Im Folgenden finden Sie einen Auszug aus dem Ratgeber.

Allgemeine Rechtsgrundlage

Eine Übermittlung von personenbezogenen Daten an Stellen in einem Drittland oder an eine internationale Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in den Art. 44 ff. DSGVO niedergelegten Bedingungen einhalten.

Beschluss der Kommission über ein angemessenes Datenschutzniveau

Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf gem. Art. 45 Abs. 1 DSGVO vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bieten. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.

Die Kommission überwacht die Aufrechterhaltung des angemessenen Datenschutzniveaus und kann den Beschluss auch widerrufen. Eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland sowie aller internationalen Organisationen mit einem angemessenen Schutzniveau veröffentlicht die Kommission im Amtsblatt der Europäischen Union und auf ihrer Website.

Geeignete Garantien durch den Verantwortlichen oder Auftragsdatenverarbeiter nötig

Falls kein Beschluss nach Art. 45 Abs. 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter gem. Art. 46 Abs. 1 DSGVO personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Geeignete Garantien können gem. Art. 46 Abs. 2 DSGVO, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in

a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,

b) verbindlichen internen Datenschutzvorschriften gemäß Art. 47 DSGVO,

c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden,

d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt wurden,

e) genehmigten Verhaltensregeln gemäß Art. 40 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder

f) einem genehmigten Zertifizierungsmechanismus gemäß Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

Weitere geeignete Garantieren

Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien auch insbesondere bestehen in

1. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
2. Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen.