Kommentar zu Kapitel 5 DSGVO
Kapitel 5 der Datenschutzgrundverordnung (DSGVO) legt die Voraussetzungen für die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen fest. In den allgemeinen Grundsätzen (Art. 44 DSGVO) ist festgelegt, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen bei dieser Übermittlung nicht untergraben werden darf.
Nach Art. 45 DSGVO muss ein Angemessenheitsbeschluss der Europäischen Kommission über das Datenschutzniveau im Drittland oder der internationalen Organisation vorliegen, bevor eine Datenübermittlung vorgenommen werden darf. Die Kommission überprüft also zunächst das Schutzniveau im jeweiligen Drittland, bevor die Übermittlung stattfinden darf.
Art. 46 DSGVO sieht, für den Fall, dass kein Angemessenheitsbeschluss vorliegt, darüber hinaus vor, dass der Verantwortliche oder Auftragsverarbeiter im Drittland geeignete Garantien vorweisen muss und den betroffenen Personen durchsetzbare Rechte und Rechtsbehelfe zur Verfügungen stehen müssen, um eine Übermittlung vornehmen zu dürfen. Das könnte beispielsweise gewährleistet sein, wenn interne Datenschutzvorschriften, Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde oder individuell ausgehandelte Vertragsklauseln nach Genehmigung der entsprechenden Behörde bestehen oder wenn der Verantwortliche und Auftragsverarbeiter den betroffenen Personen Rechte in Hinblick auf den Schutz ihrer personenbezogenen Daten einräumen (Art. 46 Absatz 2 und 3 DSGVO).
Bestimmte Ausnahmen für diese Regelungen sieht Art. 49 DSGVO vor. Sind dessen Voraussetzungen gegeben, kann auch ohne Angemessenheitsbeschluss oder geeignete Garantien eine Übermittlung erfolgen. Hintergrund für die Regelungen in Kapitel 5 ist, dass die übermittelten personenbezogenen Daten von EU-Bürgern auch außerhalb der Europäischen Union geschützt werden.