Die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen Artikel 44 bis 50 DSGVO – Privacy Shield

eingetragen in: Datenschutz, DSGVO | 0

Derzeit gibt es die folgenden drei Varianten, wie sich Unternehmen beim Datentransfer in Drittländer im Rahmen der DSGVO absichern können. Die Binding Corporate Rules, die EU-Standardvertragsklauseln und die Möglichkeit grenzübergreifende Übereinkünfte zu treffen sind in den Artikeln 45, 46 und 47 der DSGVO geregelt. Da ein Großteil der aktuellen Themen im Zusammenhang mit US-Amerikanischen Unternehmen stehen, konzentrieren wir uns auf die Übertragung personenbezogener Daten in die USA.

Der Privacy Shield – als Teil eines Angemessenheitsbeschlusses – Artikel 45 DSGVO

Der Privacy Shield ist im Grunde eine Zertifizierung, der sich US-Amerikanische Unternehmen unterwerfen. Diese Unternehmen verpflichten sich eigens auferlegte Datenschutzregeln und Maßnahmen vorzunehmen und diese einzuhalten. Es gibt allerdings ein Problem mit dem Privacy Shield. Das EU Parlament hat auf Mängel des Privacy Shields (http://www.europarl.europa.eu/oeil/popups/summary.do?id=1544908&t=e&l=en) hingewiesen und der EU-Kommission vorgeschlagen, den USA ein Ultimatum zur Ausbesserung zu stellen. Eine der Hauptschwierigkeiten ist, dass es keine Kontrolle gibt. Eigentlich kann also jeder sagen, was er will und es dann nicht einhalten, ohne dass es Folgen nach sich zieht. Stand heute haben weder die USA noch die EU-Kommission sich weiter zu diesem Thema geäußert.

EU-Standardvertragsklauseln – Artikel 46 DSGVO

Die EU-Standardvertragsklauseln sind eine kurzfristig anwendbare Alternative zum Privacy Shield und zu Binding Corporate Rules. Das ist ein von der EU definierter Satz von Vertragsklauseln, den man einem Vertrag anfügen kann. Schwierigkeit daran ist, dass diese Standardvertragsklauseln sich immer wieder mal ändern und die Unternehmen, die sie verwenden diese anpassen und alle Beteiligten darüber informieren müssen. Das muss man im Blick behalten. Sie verhalten sich wie AGBs und müssen individuell in jeden Vertrag einbezogen werden. Es ist eine schnelle Lösung, bei einer größeren Menge an Vertragsbeziehungen mit erhöhtem internen Verfahrensaufwand verbunden.

Binding Corporate Rules (BCR) – Artikel 47 DSGVO

Für Unternehmensgruppen sind die BCR ein alternatives Instrument zum Privacy Shield. Binding Corporate Rules sind von Unternehmen eigens erstellte Verhaltensrichtlinien, die von der zuständigen Aufsichtsbehörde abgesegnet werden müssen und erst dann wirksam werden. Diese können als Rechtsgrundlage für Datenübermittlung nur innerhalb eines Konzerns dienen. Sie werden daher von international weit verzweigten Konzernen bevorzugt eingesetzt um internen Datenaustausch zu ermöglichen. Nachteil ist, dass es ein längerer Prozess ist die BCR unter Beteiligung der Aufsichtsbehörden zu etablieren.

Wie die DSGVO Artikel 44 bis 50 die Übermittlung von Daten in Drittländer regeln

Artikel 44 - Allgemeine Grundsätze der Datenübermittlung

Besagt, dass die Übermittlung in Drittländer oder an internationale Organisationen nur gestattet ist, wenn die Bedingungen der Artikel 45 bis 50 der DSGVO erfüllt sind.

Artikel 45 - Grundlage eines Angemessenheitsbeschlusses

Die EU-Kommission kann beschließen, dass ein Land oder Organisation ein angemessenes Schutzniveau hat. Dann bedarf es keiner weiteren besonderen Genehmigung. Die Prüfung des Schutzniveaus beinhaltet bspw. die Rechtsstaatlichkeit, Achtung der Menschenrechte, Sicherheit, Verteidigung, Datenschutzvorschriften und Berufsregeln. Außerdem wird geprüft ob es funktionierende Aufsichtsbehörden gibt, die die Durchsetzung sicherstellen und ob die internationale Organisation oder das Drittland Verpflichtungen (Privacy Shield) oder rechtsverbindliche Übereinkünfte eingeht. Nach einer positiven Beurteilung der Angemessenheit sollte alle vier Jahre eine Prüfung erfolgen. Dieser Vorgang wird als Durchführungsakt bezeichnet. Eine Beurteilung kann auch widerrufen werden.

Artikel 46 - Datenübermittlung vorbehaltlich geeigneter Garantien

Sollte es keine Genehmigung im Sinne eines Durchführungsaktes geben, so kann eine internationale Organisation oder ein Drittland Garantien definieren, die den Schutz personenbezogener Daten von EU Bürgern sicherstellen. Diese Option ist für Unternehmensgruppen interne, grenzübergreifende Übermittlung personenbezogener Daten vorgesehen. Der Artikel 46 regelt Alternativen wie bspw. die EU-Standardvertragsklauseln.

Artikel 47 - Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules (BCR))

Dieser Artikel definiert Art und Inhalt dieser verbindlichen Vereinbarung mit den Datenschutzbehörden.

Artikel 48 - Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Sollte ein Drittland auf Basis eines Gerichtsurteils oder der Entscheidung einer Verwaltungsbehörde die Herausgabe von personenbezogenen Daten von EU-Bürgern verlangen, so ist dies gemäß dem Artikel 48 DSGVO nur rechtmäßig, wenn es eine in Kraft stehende internationale Übereinkunft hierzu gibt. Dieser Artikel wäre bspw. im Hinblick auf den Cloud Act heranzuziehen.

Artikel 49 - Ausnahmen für bestimmte Fälle

Sollte es weder ein Angemessenheitsentscheidung noch Garantien geben, so werden im Artikel 49 DSGVO die Ausnahmefälle geregelt in denen einen Übermittlung personenbezogener Daten in ein Drittland zulässig ist. Eine Möglichkeit könnte die Ausdrückliche Einwilligung des Betroffenen sein.

Artikel 50 - Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Im Artikel 50 DSGVO wird geregelt, dass die EU Aufsichtsbehörden die internationale Zusammenarbeit mit Hinblick auf bspw. Durchsetzung, Amtshilfe und Förderung der Dokumentation vornehmen sollen.

Hier finden Sie die Artikel 44 bis 50 DSGVO

Hier geht es zu unserem letzten Beitrag zum Privacy Shield