Neue Ära bei der Übermittlung personenbezogener Daten ins Ausland

Die am 10. Juli 2024 im Amtsblatt veröffentlichte "Verordnung über die Verfahren und Grundsätze zur Übermittlung personenbezogener Daten ins Ausland" enthält Regelungen zur Übertragung von personenbezogenen Daten ins Ausland.

Verfahren zur Übermittlung personenbezogener Daten ins Ausland

In den Artikeln 5 und 6 der Verordnung sind die Verfahren zur Übermittlung personenbezogener Daten ins Ausland festgelegt. Die Übermittlung personenbezogener Daten ins Ausland durch den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter darf nur nach den im Gesetz und in der Verordnung festgelegten Verfahren und Grundsätzen erfolgen. Für die Übermittlung ins Ausland ist zunächst ein Angemessenheitsbeschluss erforderlich. In Fällen, in denen kein Angemessenheitsbeschluss vorliegt, kann die Datenübermittlung durch geeignete Garantien erfolgen, sofern die betroffene Person ihre Rechte wahrnehmen und wirksame Rechtsmittel einlegen kann.

Übermittlungen auf Grundlage eines Angemessenheitsbeschlusses

In den Artikeln 8 und 9 der Verordnung sind Übermittlungen auf Grundlage eines Angemessenheitsbeschlusses geregelt. Der Ausschuss zum Schutz personenbezogener Daten kann entscheiden, dass ein Land oder eine internationale Organisation, an das/die personenbezogene Daten übermittelt werden, ein angemessenes Schutzniveau gewährleistet. Dieser Beschluss wird spätestens alle vier Jahre erneut bewertet und kann gegebenenfalls mit Wirkung für die Zukunft geändert, ausgesetzt oder aufgehoben werden.

Übermittlungen auf Grundlage geeigneter Garantien

Artikel 10 der Verordnung beschreibt Übermittlungen auf Grundlage geeigneter Garantien. In Fällen, in denen kein Angemessenheitsbeschluss vorliegt, kann die Datenübermittlung durch Vereinbarungen (die keine internationale Übereinkommen sind), verbindliche unternehmensinterne Vorschriften, Standardverträge oder Verpflichtungserklärungen mit geeigneten Garantien erfolgen. Diese Garantien zielen darauf ab, den Schutz personenbezogener Daten und die Rechte der betroffenen Person zu gewährleisten.

In verbindliche unternehmensinterne Vorschriften aufzunehmende Aspekte: In Artikel 13 der Verordnung sind die Mindestanforderungen für verbindliche unternehmensinterne Vorschriften festgelegt. Diese Regeln müssen für jedes Mitglied der Unternehmensgruppe, das an gemeinsamen wirtschaftlichen Tätigkeiten beteiligt ist, rechtsverbindlich und durchsetzbar sein. Zudem müssen sie Aspekte wie Kategorien personenbezogener Daten, Verarbeitungstätigkeiten und -zwecke, betroffene Personengruppen und die Länder, in die die Daten übermittelt werden, umfassen. Auch Zusagen hinsichtlich der Ausübung der Rechte der betroffenen Personen und Mechanismen zur Überprüfung des Datenschutzes müssen in diesen Vorschriften enthalten sein.

Geeignete Garantien durch Standardverträge: Artikel 14 der Verordnung besagt, dass Standardverträge verwendet werden können, um geeignete Garantien für die Datenübermittlung zu bieten. Diese Standardverträge werden vom Ausschuss zum Schutz personenbezogener Daten festgelegt und veröffentlicht und enthalten Punkte wie Datenkategorien, Zwecke der Datenübermittlung, Empfängergruppen und technische und administrative Maßnahmen, die vom Datenempfänger zu ergreifen sind. Diese Verträge müssen unverändert verwendet und von den Parteien oder ihren bevollmächtigten Vertretern unterzeichnet werden.

Geeignete Garantien durch Verpflichtungserklärungen: Artikel 15 der Verordnung regelt, dass geeignete Garantien durch Verpflichtungserklärungen gewährleistet werden können. Die Verpflichtungserklärung muss Bestimmungen zum Schutz personenbezogener Daten enthalten, und Zweck, Umfang, Art und rechtliche Grundlage der Übermittlung müssen klar angegeben werden. Sie sollte auch Verpflichtungen enthalten, die notwendigen technischen und administrativen Maßnahmen zu ergreifen, um das Niveau der Datensicherheit zu gewährleisten. Um die Datenübermittlung auf Grundlage einer Verpflichtungserklärung vornehmen zu können, muss der Datenübermittler beim Ausschuss eine Genehmigung beantragen.

Ausnahmetransfers

Artikel 16 der Verordnung regelt Ausnahmefälle für die Übermittlung, in denen weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen. Diese Fälle umfassen Situationen, in denen die Übermittlung zum Wohle der betroffenen Person oder im öffentlichen Interesse zwingend erforderlich ist. Ausnahmetransfers sind unregelmäßige, einmalige oder seltene Übermittlungen, die keine Kontinuität aufweisen und nicht im normalen Geschäftsablauf stattfinden.

Fazit

Die „Verordnung über die Verfahren und Grundsätze zur Übermittlung personenbezogener Daten ins Ausland“ führt wichtige Verpflichtungen für die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter bei der Übertragung personenbezogener Daten ins Ausland ein. Die Verordnung enthält detaillierte Vorschriften zum Schutz personenbezogener Daten und der Rechte der betroffenen Personen. Bei der Übermittlung personenbezogener Daten ins Ausland ist die Einhaltung der in der Verordnung festgelegten Verfahren und Grundsätze von großer Bedeutung für die Datensicherheit und die rechtliche Verantwortung.

Autor: Müge Şengönül