Organisationen müssen die DSGVO sehr sorgfältig prüfen, bevor sie eine internationale Datenübermittlung vornehmen. Ausländische Datenübermittlungen sollten nicht nur Kapitel 5, sondern auch alle anderen Kriterien der Datenschutz-Grundverordnung erfüllen (wie in Artikel 44 der Datenschutz-Grundverordnung vorgesehen). Darüber hinaus müssen Unternehmen die mehrstufige Strategie des Europäischen Datenschutzausschusses für die Übermittlung personenbezogener Daten innerhalb der EU befolgen.

Nach diesem Verfahren müssen die Unternehmen überprüfen, ob das Urteil über die Angemessenheit des Drittlandes weiterhin Bestand hat. Liegt kein Angemessenheitsurteil vor, müssen sie bestätigen, ob ausreichende Vorkehrungen getroffen wurden. Dann müssen sie bei fehlendem angemessenen Schutz prüfen, ob sich die Ausnahmeregelung auf bestimmte Umstände erstreckt.

Dieser Artikel befasst sich mit den zahlreichen geeigneten Maßnahmen, die in Artikel 46 der Datenschutz-Grundverordnung aufgeführt sind.

Angemessene Sicherheitsvorkehrungen

In Artikel 46 Absatz 2 ist eine Reihe von Methoden aufgeführt, die von Organisationen angewandt werden können:

Ein rechtsverbindlicher und durchsetzbarer Mechanismus zwischen öffentlichen Einrichtungen oder Behörden

Wenn ein Vertrag oder ein anderes rechtsverbindliches und vollstreckbares Instrument zwischen öffentlichen Behörden oder Einrichtungen besteht, kann die Übermittlung von Daten zwischen den beiden Stellen erfolgen. Dies gilt nur für öffentliche Stellen, die befugt sind, rechtsverbindliche Vereinbarungen zu treffen.

Verbindliche Unternehmensregeln

Für multinationale Unternehmen sind verbindliche unternehmensinterne Regeln nützlich, weil sie die grenzüberschreitende Übermittlung personenbezogener Daten innerhalb eines Unternehmens ermöglichen. BCR sind Normen, die internationale Unternehmen aufstellen und intern einhalten. Sie sollten die Einhaltung der Datenschutz-Grundverordnung zeigen und die Datenschutzkultur des Unternehmens widerspiegeln.

Organisationen, die sich auf die Einführung von BCR vorbereiten, müssen die Leitlinien des EDPB lesen. Entsprechend den Anforderungen des EDPB müssen sie eine Aufsichtsbehörde auswählen. Wenn die Aufsichtsbehörde mit dem Entwurf der BCR einverstanden ist, leitet sie das Genehmigungsverfahren und validiert die vorgeschlagenen BCR. Die Unternehmen sollten bedenken, dass dieses Verfahren langwierig und teuer ist.

Allgemeine Datenschutzklauseln, die von der Kommission umgesetzt wurden.

Die Europäische Kommission hat eine Reihe von Standardvertragsklauseln vorgelegt, die einen angemessenen Schutz für internationale Datenübermittlungen in Länder bieten, für die kein Angemessenheitsbeschluss vorliegt. Diese Bestimmungen sehen technische und organisatorische Sicherheitsmaßnahmen vor, die von den in einem Drittland entwickelten Datenverarbeitern umzusetzen sind.

Sie fungieren als Mustervertrag, der die Übermittlung internationaler Daten legitimiert. Im Rahmen ihres Systems zur Einhaltung der DSGVO sollte das Unternehmen diese Klauseln also durchsetzen.

Allgemeine Datenschutzklauseln, die von der Kommission genehmigt und von einer Aufsichtsbehörde angenommen wurden.

Die Aufsichtsbehörden können auch ihre Standardvertragsklauseln anwenden, die unter Einhaltung des Überprüfungsverfahrens nach Artikel 93 Absatz 2 von der Europäischen Kommission akzeptiert werden sollten. Die Vertragsklauseln ihrer Aufsichtsbehörde können von Organisationen durchgesetzt werden (sofern eine solche existiert). Auch Organisationen können, wenn sie von ihrer Aufsichtsbehörde zugelassen sind, oft ihre Standardvertragsklauseln festlegen.

Ein genehmigter Verhaltenskodex und Verfahren für die Zertifizierung

Neben den vielen anderen Rahmenregelungen für internationale Datenübermittlungen können bestimmte Sektoren Verhaltenskodizes und Zertifizierungsmechanismen anwenden. In Erwägungsgrund 77 wird auf die genehmigten Verhaltenskodizes und die genehmigten Zertifizierungen verwiesen, mit denen der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die Einhaltung der Vorschriften nachweisen kann. Ein Verhaltenskodex, der mit der Datenschutz-Grundverordnung in Einklang steht, kann von Gewerkschaften oder ähnlichen Organisationen im Dienste eines Unternehmens aufgestellt werden.

Organisationen und Einrichtungen können nachweisen, dass ihre Verarbeitungsvorgänge den Standards der DSGVO (Transparenz, Fairness usw.) entsprechen, indem sie freiwillig einen Verhaltenskodex unterzeichnen. Die Verhaltensgrundsätze müssen von der Aufsichtsbehörde des Mitgliedstaates genehmigt werden, aus dem Sie die internationale Datenübermittlung durchführen. Wenn mehr als ein Mitgliedstaat an der Verarbeitung beteiligt ist, sollte der Europäische Datenschutzbeauftragte eine Stellungnahme zum Verhaltenskodex abgeben.

Der Zertifizierungsmechanismus ist eine der Neuerungen, die die Datenschutz-Grundverordnung für den Datenschutz vorsieht. Er kann verwendet werden, um die Einhaltung der DSGVO anzuzeigen. Der EDPB hat Leitlinien für die Akkreditierung von Zertifizierungsstellen im Rahmen der Datenschutz-Grundverordnung ausgearbeitet, und die Position der nationalen Akkreditierungsstelle und der Aufsichtsbehörde wurde geklärt. Die Zertifizierungen werden von den Zertifizierungsstellen oder von den zuständigen Aufsichtsbehörden ausgestellt.

Schlussfolgerung

Angemessene Schutzmaßnahmen bieten eine Rechtsgrundlage für Auslandsübermittlungen nach der DSGVO, wie aus den oben beschriebenen Mechanismen hervorgeht. Welches Verfahren für das Unternehmen die beste Lösung darstellt, hängt von seinen Bedürfnissen ab. Daher benötigen Sie eine spezialisierte interne oder externe rechtliche Beratung, wie Sie diese Verfahren nutzen können.