Datentransfers freigegeben, aber reguliert

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

So überraschend es auch in einer globalisierten Wirtschaft erscheinen mag, in der das Konzept von Grenzen mit Transaktionen über das Internet unvereinbar scheint, wurde die Übermittlung personenbezogener Daten zur weiteren Verarbeitung in ein Drittland, d. h. ein Land außerhalb der Union, ohne Genehmigung einer Aufsichtsbehörde von der EU verboten.

Die DSGVO schafft das vorherige Genehmigungsverfahren ab. Für die Übermittlung sind jedoch bestimmte Voraussetzungen erforderlich. Die Kommission muss per Beschluss festgestellt haben, dass der Empfänger außerhalb der EU (Land, Gebiet oder Sektor eines Landes, internationale Organisation) „ein angemessenes Schutzniveau gewährleistet“ (Artikel 45-1). 

Der 2.^e Artikel 45 Absatz 1 listet die Kriterien für ein angemessenes Schutzniveau auf, darunter Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten, Rechtsvorschriften, das Vorhandensein einer unabhängigen Aufsichtsbehörde, internationale Verpflichtungen usw. Ergibt die Prüfung dieser Kriterien, dass die Maßnahme den europäischen Vorschriften entspricht, erlässt die Kommission einen Durchführungsrechtsakt, der mindestens alle vier Jahre überprüft wird (Art. 45-3). Darüber hinaus wird festgelegt, dass die Kommission die Entwicklungen in Drittländern kontinuierlich beobachtet (Art. 45-4).

Die Übermittlung ist jedoch immer ohne vorherige Genehmigung an einen Bestimmungsort möglich, für den kein Durchführungsrechtsakt ergangen ist. Artikel 46 sieht nämlich vor, dass ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter die Daten übermitteln darf, „wenn er geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ (Art. 46-1).

Diese angemessenen Garantien können auf unterschiedliche Weise bereitgestellt werden, von denen wir einige bereits erwähnt haben:

•  Ein rechtlich bindendes und durchsetzbares Instrument zwischen Behörden oder öffentlichen Stellen;
•  Verbindliche Unternehmensregeln (für Unternehmensgruppen sind die Bedingungen dieser Regeln, die von der Aufsichtsbehörde genehmigt werden müssen, in Artikel 47 festgelegt);
• Von der Kommission entweder direkt oder über eine Aufsichtsbehörde genehmigte Standardklauseln;
•  Ein Verhaltenskodex oder Zertifizierungsmechanismus, „begleitet von einer verbindlichen und durchsetzbaren Verpflichtung des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters im Drittland, geeignete Garantien anzuwenden“ (Art. 46-2).

Geeignete Garantien für die Übermittlung können, diesmal nach Genehmigung durch die Aufsichtsbehörde, auf zwei weitere Arten bereitgestellt werden:

– Ein Vertrag zwischen dem Verantwortlichen oder dem Unterauftragnehmer und seinen Partnern im Drittland;

– „Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Einrichtungen aufzunehmen sind“ (Art. 46-3).

Jede Übermittlung ist daher ohne einen Durchführungsrechtsakt, der ein angemessenes Schutzniveau oder spezifische Garantien gewährleistet, untersagt. Ausnahmen sind jedoch für bestimmte, in Artikel 49 aufgeführte Situationen vorgesehen. Eine Übermittlung ist insbesondere möglich:

– Wenn die betroffene Person nach Aufklärung über die damit verbundenen Risiken ihre ausdrückliche Einwilligung erteilt hat; 

– Im Rahmen der Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen (oder in seinem Interesse mit einer anderen natürlichen oder juristischen Person);

– Wenn die Übermittlung im öffentlichen Interesse liegt, mit der Durchsetzung gesetzlicher Rechte zusammenhängt oder zur Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist.

Diese zahlreichen Bestimmungen zu den Übertragungsmöglichkeiten zeigen, dass die Initiatoren der DSGVO den Schutz personenbezogener Daten gewährleisten wollen, ohne die Tätigkeit von Unternehmen und Verwaltungen zu behindern. Indem sie in den meisten Fällen die vorherige Genehmigung abschaffen, setzen sie auf die Verantwortung der Akteure, deren Arbeit gemäß dem bekannten Prinzip der Rechenschaftspflicht überprüft werden kann.