Geeignete Garantien

Geeignete Garantien

Geeignete Garantien sind eine von drei Möglichkeiten für den datenschutzkonformen Transfer personenbezogener Daten in ein Land, das nicht in den Anwendungsbereich der DS-GVO fällt. Sollen personenbezogene Daten aus der EU in ein solches Drittland übermittelt werden, muss sichergestellt sein, dass die Daten im Empfängerland einem Schutzniveau unterliegen, das mit dem der DS-GVO vergleichbar ist. Deshalb ist ein Datentransfer in diese Länder nur unter den speziellen Voraussetzungen der Art. 44 ff. DS-GVO zulässig.
Es gibt insgesamt drei Möglichkeiten für die Datenübermittlung in ein Drittland, wovon eine die angemessenen Garantien i. S. v. Art. 46 DS-GVO sind. Hierzu gehören Vereinbarungen bzw. Regelungen zwischen dem Datenexporteur und dem Datenimporteur, wie beispielsweise verbindliche unternehmensinterne Datenschutzvorschriften innerhalb eines Konzerns oder die EU-Standardvertragsklauseln.

Vier mögliche Garantien

Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, der dem Empfängerland ein angemessenes Datenschutzniveau bescheinigt (Art. 45 DS-GVO), müssen europäische Verantwortliche auf andere Weise ein angemessenes Datenschutzniveau gewährleisten. Eine Datenübermittlung ist unter anderem zulässig, wenn geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorgesehen sind. Hierfür gibt es folgende vier Möglichkeiten:

Verbindliche interne Datenschutzvorschriften (engl.: Binding Corporate Rules) werden insbesondere von internationalen Konzernen angewendet, um den grenzüberschreitenden Datentransfer zwischen den einzelnen Konzernunternehmen zu legitimieren. Binding Corporate Rules sind für alle Mitglieder der Unternehmensgruppe verbindliche Regelungen für die Erhebung, Verarbeitung sowie insbesondere die Übermittlung personenbezogener Daten. Über das typischerweise umfangreiche Regelwerk muss gewährleistet werden, dass ein Schutzniveau besteht, das dem durch die DS-GVO gleichwertig ist. Zudem muss sichergestellt sein, dass den Betroffenen durchsetzbare Rechte zur Verfügung stehen.

Die DS-GVO gibt nicht konkret vor, wie diese Datenschutzvorschriften gestaltet werden müssen, es besteht Vertragsfreiheit und die Unternehmen können die Binding Corporate Rules individuell ausgestalten. Dadurch kann das Regelwerk z. B. speziell an die Prozesse innerhalb eines Konzerns angepasst werden. Die zuständige Aufsichtsbehörde muss die Binding Corporate Rules genehmigen, anschließend ist die Datenübermittlung zulässig.

Hinweis: Die BCR sind nur für den Datentransfer zwischen Konzernunternehmen anwendbar, nicht für Übermittlungen an Unternehmen außerhalb des Konzerns.

Außerhalb des Konzerns können europäische Verantwortliche mit dem Empfänger in einem Drittland einen Vertrag unter der Verwendung von Standardvertragsklauseln (SVK) – auch Standarddatenschutzklauseln genannt – abschließen. Der Standardvertrag verpflichtet den Datenimporteur, die europäischen Datenschutzstandards einzuhalten, wodurch ein angemessenes Schutzniveau gewährleistet werden soll. Die bereits bestehenden SVK der EU-Kommission gelten ausdrücklich fort (Art. 46 Abs. 5 S. 2 DS-GVO). Die Datenschutz-Aufsichtsbehörden haben ebenfalls die Möglichkeit, solche Standardvertragsklauseln zu entwerfen und von der Kommission genehmigen zu lassen.

Werden die SVK in unveränderter Form verwendet, bedarf die Datenübermittlung keiner weiteren Genehmigung durch die Aufsichtsbehörden. Es können auch weitere Klauseln oder Garantien ergänzt werden, insofern diese nicht im Widerspruch zu den EU-Standardvertragsklauseln stehen oder Grundrechte und -freiheiten der Betroffenen beschränken. Besteht allerdings ein mittelbarer oder unmittelbarer Widerspruch, werden die Klauseln genehmigungspflichtig, weshalb Verantwortliche bei Änderungen Vorsicht walten lassen sollten.

Mit der DS-GVO können Verantwortliche Datenübermittlungen in Drittländer zudem auf Grundlage von branchenspezifischen Verhaltensregeln (Art. 40 DS-GVO) oder Zertifizierungen (Art. 42 DS-GVO) legitimieren. Die Verhaltensregeln – auch Codes of Conduct genannt – müssen rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters für den Umgang mit personenbezogenen Daten enthalten. Ausarbeiten dürfen diese Verhaltensregeln „Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“ (Art. 40 Abs. 2 DS-GVO), wie beispielsweise Industrie-, Handels- oder Handwerkskammern, Gewerkschaften oder Arbeitgeberverbände. Die Verhaltensregeln sind von der zuständigen Aufsichtsbehörde zu genehmigen und werden anschließend in ein öffentliches Verzeichnis aufgenommen.

Zusätzlich können Zertifizierungen verwendet werden, um bei der Übermittlung in Drittländer ein angemessenes Schutzniveau zu gewährleisten. Die Zertifizierungen sind zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen zur Umsetzung dieser Garantien anzuwenden. Die Zertifizierungsmechanismen müssen ebenfalls von der zuständigen Aufsichtsbehörde genehmigt werden.

Zu guter Letzt haben Verantwortliche die Möglichkeit, anstatt allgemeingültiger vertraglicher Regelungen einzeln ausgehandelte individuelle Vertragsklauseln als Rechtsgrundlage für eine Datenübermittlung in ein Drittland zu verwenden. Die Vertragsklauseln müssen ebenfalls von der Aufsichtsbehörde genehmigt werden.

Hinweis: Die geeigneten Garantien regeln lediglich die Rechtmäßigkeit der Datenübermittlung in ein Drittland. Die allgemeinen Vorgaben der DS-GVO zur Verarbeitung personenbezogener Daten müssen ebenfalls eingehalten werden. Zudem muss unabhängig davon, welche geeignete Garantie angewendet werden soll, sichergestellt werden, dass die Vereinbarungen/Regelungen beim Empfänger im Drittland auch umgesetzt werden können und Betroffene Ihre Rechte mit wirksamen Rechtsbehelfen durchsetzen können.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Hilfe bei der datenschutzkonformen Übertragung von personenbezogenen Daten in Drittländer? Wir beraten und unterstützen Sie gerne!

Kontakt aufnehmen