Angemessenheitsbeschluss
Nach Art. 45 Abs. 3 DSGVO kann die Europäische Kommission einen Angemessenheitsbeschluss fassen. Hierbei stellt sie fest, dass ein Drittland ein angemessenes, mit der DSGVO vergleichbares, Schutzniveau bietet. Wenn ein solcher Angemessenheitsbeschluss vorliegt, darf nach Art. 45 Abs. 1 DSGVO eine Übermittlung personenbezogener Daten an ein Drittland ohne eine weitere Genehmigung stattfinden.
Eine Auflistung an Länder, die einen Angemessenheitsbeschluss haben: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Auftragsverarbeiter
Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Auftragsverarbeitung
Die Auftragsverarbeitung ist die Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines Vertrages.
Ausnahmen nach Art. 49 DSGVO
Art. 49 Abs. 1 DSGVO sieht Ausnahmen für bestimmte Fälle vor, in denen trotz fehlenden Angemessenheitsbeschluss oder anderer geeigneter Garantie wie BCR die Drittlandübermittlung zulässig sein soll.
Binding Corporate Rules (BCR)
Wenn kein Angemessenheitsbeschluss vorliegt, dann reicht als geeignete Garantie nach Art. 46 Abs. 2 b) DSGVO verbindlich interne Datenschutzvorschriften bzw. sog. Binding Corporate Rules (BCR) gemäß Art. 47 DSGVO aus. Binding Corporate Rules sind rechtlich bindende interne Unternehmensvorschriften, die den Datenschutz in der Unternehmensgruppe regeln.
Controller-to-Controller
Bei der Controller-to-Controller-Konstellation werden personenbezogenen Daten von einem Verantwortlichen an einen anderen Verantwortlichen weitergegeben, wobei die beiden Verantwortlichen jeweils eigenständig über die Zwecke und Mittel der Verarbeitung entscheiden und sie jeweils regeln (im Gegensatz zur gemeinsamen Verantwortlichkeit).
Drittlandübermittlung
Bei der Drittlandübermittlung werden personenbezogene Daten in einem Drittland, also einem Land, das nicht zum Europäischen Wirtschaftsraum (EWR) gehört, weitergegeben.
EU-Länder
Das sind die 27 Mitgliedsstaaten der Europäischen Union: https://european-union.europa.eu/principles-countries-history/country-profiles_de
EWR-Länder
Dazu gehören zum einen die 27 EU-Mitgliedsstaaten und zum anderen die restlichen Vertragsstaaten des Europäischen Wirtschaftsraum (EWR), also zusätzlich zu den oben genannten Ländern Island, Liechtenstein und Norwegen. Eine genaue Auflistung zu den Ländern: https://www.oesterreich.gv.at/lexicon/E/Seite.991094.html
Gemeinsame Verantwortlichkeit
Nach Art. 4 Nr. 7 DSGVO ist die Datenverarbeitung allein oder als gemeinsame Verantwortlichkeit möglich. Eine gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen (Art. 26 Abs. 1 Satz 1 DSGVO).
Standarddatenschutzklausel der EU-Kommission (SDK)
Wenn kein Angemessenheitsbeschluss vorliegt, kann eine Übermittlung personenbezogener Daten an ein Drittland nur stattfinden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat. Eine solche geeignete Garantie stellen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden, nach Art. 46 Abs. 2 c) DSGVO dar. Auch hier bedarf die Drittlandübermittlung keiner besonderen Genehmigung.
Die EU-Kommission hat am 04.06.2021 neue Standarddatenschutzklauseln für die Datenübermittlung an Drittländer veröffentlicht:
- Beschluss über die Einführung der neuen Standarddatenschutzklauseln für Drittlandübermittlungen (deutsch/ englisch)
- Text der neuen Standarddatenschutzklauseln für Drittlandübermittlungen (deutsch/ englisch)
Transfer Impact Assessment
Beim Transfer Impact Assessment handelt es sich um eine Risikobewertung für Drittlandübermittlungen. Es soll beurteilt werden, ob ein angemessener Schutz der personenbezogenen Daten gewährleistet wird. Die Pflicht zur Durchführung eines Transfer Impact Assessment ergibt sich aus den EU-Standarddatenschutzklauseln.
Verantwortlicher
Nach Art. 4 Nr. 7 DSGVO ist ein Verantwortlicher jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.