Internationale Datentransfers Teil 3: Art. 46 DSGVO

22. August 2024

Die Datenübermittlung vorbehaltlich geeigneter Garantien nach Art. 46 der EU-Datenschutzgrundverordnung (DSGVO) ermöglicht es Unternehmen, personenbezogene Daten an Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) zu übertragen, wenn angemessene Schutzmaßnahmen getroffen wurden, um die Privatsphäre der betroffenen Personen zu schützen. in der aktuellen Beitragreihe der DSGVO-Basics erklären wir Ihnen die wichtigsten Grundlagen zu  internationalen Datenübermittlungen.

Folgende Garantien kommen dabei in Betracht: 

  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) 
  • Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 lit. c bzw. d DSGVO) 
  • Genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DSGVO) 
  • Einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3 DSGVO) 

Die erste Methode, die Verwendung von Binding Corporate Rules (BCRs), erfordert, dass Unternehmen interne Regeln und Verfahren entwickeln, die die Privatsphäre schützen. Auch hier liegt es in der Verantwortung des Datenexporteurs und des Datenimporteurs, zu beurteilen, ob das vom EU-Recht geforderte Schutzniveau in dem betreffenden Drittland eingehalten wird. Es ist festzustellen, ob die von den BCRs gebotenen Garantien in der Praxis eingehalten werden können. Ist dies nicht der Fall, sollten Sie prüfen, ob Sie ergänzende Maßnahmen ergreifen können, um ein im Wesentlichen gleichwertiges Schutzniveau wie im EWR zu gewährleisten. Zusätzlich muss geprüft werden, ob das Recht oder die Praxis des Drittlandes die ergänzenden Maßnahmen nicht negativ beeinträchtigt (Verhinderung der Wirksamkeit). 

Die zweite Methode, die Verwendung von Standarddatenschutzklauseln (SCC), erfordert, dass Unternehmen Vertragsklauseln verwenden, die von der Kommission oder einer Aufsichtsbehörde genehmigt wurden. Bei Zusatzklauseln müssen die Parteien sicherstellen, dass die Klauseln in keiner Weise so ausgelegt werden können, dass sie die Rechte und Pflichten in den SCCs einschränken oder das Datenschutzniveau auf andere Weise senken. 

Genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen bieten die Möglichkeit, Datenübermittlungen auf Grundlage von branchenspezifischen Verhaltensregeln gemäß Art. 40 zu legitimieren. Die gilt, sofern sie rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters enthalten und von der zuständigen Aufsichtsbehörde genehmigt worden sind. 

Auch einzeln ausgehandelte Vertragsklauseln können eine Datenübermittlung in ein Drittland ermöglichen, allerdings nur nach Genehmigung durch die Aufsichtsbehörde und nach Durchführung des Kohärenzverfahrens nach Art. 63 DSGVO. 

Fazit 

Zusammenfassend lässt sich sagen, dass die Datenübermittlung vorbehaltlich angemessener Garantien gemäß Art. 46 DSGVO es Unternehmen ermöglicht, personenbezogene Daten in Länder außerhalb der EU und des EWR zu übermitteln.  

Ausblick

Im kommenden abschließenden Teil der Reihe werden technische und organisatorische Maßnahmen bei der Übermittlung von Daten in Drittländer behandelt. Der erste Teil unserer Reihe behandelte Standardvertragsklauseln. Danach haben wir uns mit dem Transfer Impact Assessment beschäftigt. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.

Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.