Artikel 46 EU-DSGVO: Datenübermittlung vorbehaltlich geeigneter Garantien

  1. Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

  2. Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in

    1. einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,

    2. verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,

    3. Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,

    4. von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,

    5. genehmigten Verhaltensregeln gemäß Artikel 40zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder

    6. einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

  3. Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in

    1. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder

    2. Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

  4. Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.

  5. Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

Kommentar zu Art. 46 DSGVO

Was sagt Art. 46 DSGVO aus?


Um Daten in ein Drittland (Nicht-EU-Land) zu übermitteln, sind die besonderen Voraussetzungen des 5. Kapitels der DSGVO zu beachten. Art. 46 DSGVO regelt eine der Möglichkeiten, mit denen sich sicherstellen lässt, dass bei der Datenübermittlung an Drittländer und internationale Organisationen das durch die DSGVO vorgegebene Schutzniveau gewährleistet wird.

Neben der Möglichkeit der Übermittlung gemäß Art. 45 DSGVO aufgrund eines Angemessenheitsbeschlusses der EU- Kommission oder aufgrund einer wirksamen Einwilligung des Betroffenen kann eine Übermittlung von Daten in Drittländer auch aufgrund geeigneter Garantien gemäß Art. 46 DSGVO erfolgen. Geeignete Garantien sind dabei Vorkehrungen zur Sicherstellung der Einhaltung der wesentlichen Grundsätze der EU-Datenschutzvorschriften in Nicht-EU-Ländern (angemessenes Schutzniveau). In Art.46 Abs. 2 DSGVO werden einige Möglichkeiten geeigneter Garantien aufgezählt, die keiner Genehmigung durch die Aufsichtsbehörde bedürfen. Die aktuell gebräuchlichsten sind dabei die „binding corporate rules“ gemäß Art. 46 Abs. 2 b DSGVO sowie der Abschluss von Standardvertragsklauseln gemäß Art. 46 Abs. 2 c DSGVO. Die Erstellung von internen verbindlichen Datenschutzregeln (binding corporate rules) ist jedoch in der Regel mit einem sehr hohen Aufwand verbunden, da das Unternehmen Regeln zum Umgang mit personenbezogenen Daten auch in Drittländern festlegt und diese Regeln für alle Mitarbeiter rechtlich bindend sein müssen.

Empfehlenswert ist oftmals das Abschließen von Standardvertragsklauseln, welche von der EU-Kommission für die Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland veröffentlicht wurden. Abs. 3 nennt noch zwei weitere Möglichkeiten für geeignete Garantien, die aber der Genehmigung der zuständigen Aufsichtsbehörde unterliegen. In diesen Fällen wendet die Aufsichtsbehörde das Kohärenzverfahren an (s. Abs. 4). In Abs. 5 ist abschließend geregelt, wie lange die jeweiligen Genehmigungen gültig sind.

Was muss getan werden?


Wer auf Grundlage geeigneter Garantien personenbezogene Daten ins Ausland übermitteln will, muss vertragliche Regelungen mit dem Datenempfänger treffen, die ein angemessenes Schutzniveau für die Datenverarbeitung in diesem Gebiet gewährleisten. Wir helfen Ihnen in diesen Fällen gerne mit unserer individuellen Datenschutzberatung.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr