Datenübermittlung außerhalb der EU

Die Übermittlung kann als jede Kommunikation, Kopie oder Verschiebung personenbezogener Daten definiert werden, die dazu bestimmt sind, in einem Drittland außerhalb der Europäischen Union verarbeitet zu werden.

Datenübermittlungen außerhalb der Europäischen Union sind grundsätzlich verboten.

Die Artikel 44 bis 49 der DSGVO sehen Ausnahmen von diesem Verbot vor. Sie sehen die Verwendung von Instrumenten vor, die diese Übermittlung regeln:

• einen Angemessenheitsbeschluss der Europäischen Kommission für bestimmte Länder, die ein angemessenes Schutzniveau gewährleisten;

• Standardvertragsklauseln (SCCs) der Europäischen Kommission;

• verbindliche interne Datenschutzvorschriften (BCR);

• spezifische Vertragsklauseln (die als konform mit den Musterklauseln der Europäischen Kommission gelten);

• von einer Aufsichtsbehörde angenommene und von der Europäischen Kommission genehmigte Standardvertragsklauseln;

• einen genehmigten Verhaltenskodex (der die verbindliche und durchsetzbare Verpflichtung der Empfänger außerhalb der EU enthält, die geeigneten Garantien anzuwenden);

• einen genehmigten Zertifizierungsmechanismus (der die verbindliche und durchsetzbare Verpflichtung der Empfänger außerhalb der EU enthält, die geeigneten Garantien anzuwenden);

• eine Verwaltungsvereinbarung oder einen rechtlich verbindlichen und durchsetzbaren Text zur Ermöglichung der Zusammenarbeit zwischen Behörden (Memorandum of Understanding, sog. MOU oder MMOU, internationales Abkommen...).

Ausnahmen sind in Artikel 49 der DSGVO vorgesehen. Wenn eine Ausnahme die Übermittlung rechtfertigt, muss deren Art angegeben und gegebenenfalls die Bewertung der Umstände der Übermittlung und der geeigneten Garantien detailliert werden.