Inhalt
Drittstaatentransfer unter der Datenschutz- Grundverordnung (DS-GVO)
1. Allgemeines zur Drittlandsübermittlung
a. Anwendungsbereich des Kapitels V der DS-GVO: der Transferbegriff
Das Kapitel V der DS-GVO ist in der deutschen Fassung mit „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“ (englische Sprachfassung: „Transfers of personal data to third countries or international organisations“) überschrieben. Was unter einer Übermittlung i.S.d. Kapitel V der DS-GVO zu verstehen ist, wird weder dort noch in Art. 4 DS-GVO definiert. Grundsätzlich versteht man darunter jede zielgerichtete Übertragung personenbezogener Daten über die Grenzen der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR) hinaus durch einen Verantwortlichen oder Auftragsverarbeiter.[1]
Zu beachten ist, dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittstaat (beispielsweise für administrative oder Supportzwecke) um einen Transfer gemäß Kapitel V DS-GVO handeln kann,[2] zumindest dann, wenn der Zugriff später auch tatsächlich erfolgt. Um die Unterscheidung zwischen einer Übermittlung i.S.v. Art. 4 Nr. 2 DS-GVO und einer Übermittlung gem. Kapitel V DS-GVO zu verdeutlichen, wird für letztere im Deutschen häufig auch der Begriff „Transfer“ gebraucht.
Auch der Begriff des Drittlandes ist in der DS-GVO nicht definiert. Gemeint sind Staaten, in denen die DS-GVO nicht gilt. Die DS-GVO gilt zum einen unmittelbar in den Mitgliedstaaten der Europäischen Union, also den Vertragspartner des EU-Vertrags. Darüber hinaus gilt die DS-GVO durch Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses vom 6.7.2018 auch in den übrigen EWR-Staaten (Island, Liechtenstein, Norwegen). Sofern personenbezogene Daten in Ländern außerhalb des Europäischen Wirtschaftsraumes verarbeitet werden sollen, handelt es sich bei diesen deshalb um Drittländer. Synonym wird oft auch der Begriff Drittstaat verwendet.
Der Begriff „internationale Organisation“ wird in Art. 4 Nr. 26 DS-GVO definiert als „eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde“. Beispiele hierfür sind etwa die Vereinten Nationen (UN), die Weltgesundheitsorganisation (WHO) oder international tätige Anti-Doping-Organisationen.
b. Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung in Drittländer
Eine Datenübermittlung in ein Drittland ist nach Art. 44 Abs. 1 S. 1 DS-GVO nur dann zulässig, wenn neben den Bestimmungen des V. Kapitels auch die übrigen Bestimmungen der DS-GVO eingehalten werden. Für die Prüfung, ob eine Übermittlung in ein Drittland rechtmäßig ist, empfiehlt sich daher ein zweistufiges Vorgehen.
Auf einer 1. Stufe muss zunächst geprüft werden, ob für die Verarbeitung von personenbezogenen Daten gem. Art. 4 Nr. 1, 2 DS-GVO eine Rechtsgrundlage gem. Art. 6 Abs. 1 DS-GVO einschlägig ist. Sofern besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO (z.B. Gesundheitsdaten, Angaben zur sexuellen Orientierung oder politischen Auffassung) von der spezifischen Verarbeitung umfasst sind, dürfen diese nur verarbeitet werden, wenn zusätzlich die Voraussetzungen einer Rechtsgrundlage nach Art. Art. 9 Abs. 2 DS-GVO erfüllt werden. Zusätzlich zu den Artikeln 6 und 9 DSGVO muss auch die Beachtung aller übrigen Bestimmungen der DS-GVO, insbesondere die Einhaltung der Datenschutz-Grundsätze des Art. 5 DS-GVO (z.B. Informationspflichten, Zweckbindung) gewährleistet sein. Erwähnenswert in diesem Zusammenhang ist, dass die Informationspflichten der Artt. 13 und 14 DS-GVO auch Angaben zu beabsichtigten Drittstaatsübermittlungen umfassen, und zwar grundsätzlich die namentliche Nennung des Empfängerlandes und des eingesetzten Transferinstruments.[3]
In diesem Sinne im Einklang mit den übrigen Anforderungen der DS-GVO verarbeitete personenbezogene Daten dürfen nur dann an ein Drittland übermittelt werden, wenn die Übermittlung zusätzlich nach einer der Bestimmungen des Kapitels V DS-GVO legitimiert werden kann (2. Stufe). Diese zweistufige Prüfung ist nach Art. 44 Abs. 1 S. 2 DSGVO auch bei einer etwaigen Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder von der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation vorzunehmen.
Um die möglichen Rechtsgrundlagen nach dem Kapitel V der DS-GVO von sonstigen datenschutzrechtlichen Rechtsgrundlagen (z.B. Art. 6 und 9 DS-GVO) abzugrenzen, bezeichnet man erstere üblicherweise als Transfer- oder Übermittlungsinstrumente. Diese werden im folgenden Abschnitt näher erläutert.
2. Die einzelnen Transferinstrumente
a. Angemessenheitsbeschlüsse
Ein Angemessenheitsbeschluss gem. Art. 45 DS-GVO ermöglicht eine den Anforderungen von Kapitel V DS-GVO entsprechende Datenübermittlung an das jeweilige Drittland. Der EU-Kommission kommt hier eine zentrale Beurteilungskompetenz zu, im Rahmen von sog. Angemessenheitsbeschlüssen festzustellen, dass in einem Drittland ein mit der EU vergleichbares Datenschutzniveau gewährleistet ist. Dabei muss die Europäische Kommission gemäß Art. 45 Abs. 2 lit. b DS-GVO insbesondere auch prüfen, ob wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen bestehen, deren personenbezogene Daten übermittelt werden. Diese Beurteilung erstreckt sich unter Umständen nicht auf ein Land als Ganzes, sondern kann sich auch auf bestimmte Regionen, Branchen oder internationale Organisationen innerhalb eines Drittlandes beschränken (Art. 45 Abs. 1 DS-GVO). Erlässt die EU-Kommission einen Angemessenheitsbeschluss zu einem Drittland, einem Gebiet oder einem oder mehreren Sektoren, ist für einen entsprechenden Drittstaatentransfer keine weitere Legitimierung nach Kapitel V der DS-GVO erforderlich.
Da die Kommission nicht nur laufend neue Angemessenheitsbeschlüsse erlässt, sondern die bestehenden auch regelmäßig überprüft und ggf. widerruft, müssen Verantwortliche allerdings regelmäßig prüfen, ob der Angemessenheitsbeschluss, auf den sie ihre Übermittlungen stützen, weiterhin unverändert fortbesteht. Eine aktuelle Liste aller Angemessenheitsbeschlüsse und weitere Informationen hierzu sind auf der Website der Europäischen Kommission verfügbar.[4]
Der aktuelle Angemessenheitsbeschluss der Europäischen Kommission für die USA
vom 10.07.2023[5] ermöglicht einen Transfer an selbstzertifizierte US-Organisationen, die auf einer vom US Handelsministerium geführten Liste aktuell aufgeführt werden. Die Liste ist abrufbar unter https://www.dataprivacyframework.gov/s/.
b. Geeignete Garantien
Als weiteres Transferinstrument führt Art. 46 DS-GVO verschiedene Arten geeigneter Garantien auf. In diesem Zusammenhang sind nicht nur die vertraglichen Beziehungen zwischen Datenexporteur und Datenimporteur relevant, sondern auch die Zugriffsmöglichkeit auf die Daten durch Behörden des Drittlandes und das Rechtssystem dieses Landes insgesamt (Gesetzgebung und Rechtsprechung, Verwaltungspraxis von Behörden).
Für alle dort vorgesehenen Mechanismen ist zu beachten, dass diese für sich genommen möglicherweise nicht ausreichen, um ein mit EU-Recht der Sache nach gleichwertiges Datenschutzniveau zu gewährleisten, insbesondere deshalb, weil sie den Umgang mit personenbezogenen Daten durch staatliche Stellen des Empfängerlandes nicht beschränken. In den EDSA-Empfehlungen 01/2020[6] werden daher zusätzliche Maßnahmen
aufgezeigt, die ggf. – wenn eine vom Datenexporteur vor dem Transfer vorzunehmende
Prüfung der Rechtslage im Empfängerland für den einzelnen Transfer in Bezug auf staatliche Datenzugriffe und hiergegen möglichen Rechtsschutz für Betroffene aus der EU Defizite ergibt[7] – ergriffen werden müssen, um das von der DSGVO verlangte Schutzniveau doch noch zu erreichen.
Garantien i.S.d. Art. 46 DS-GVO sind beispielsweise Verwaltungsvereinbarungen oder
andere bindende und durchsetzbare Dokumente (Art. 46 Abs. 2 lit. a, Abs. 3 lit. b DSGVO) für Datenübermittlungen zwischen Behörden und sonstigen öffentlichen Stellen.[]
Häufige Verwendung als geeignete Garantien finden Standarddatenschutzklauseln
(Standard Contractual Clauses, SCCs) gem. Art. 46 Abs. 2 lit. c und d DS-GVO. Art. 46 Abs. 2 lit. c betrifft Klauseln, die unmittelbar von der Europäischen Kommission erlassen werden. Die aktuellen, von der Europäischen Kommission im Jahr 2021 erlassenen Standarddatenschutzklauseln zum Drittstaatentransfer sind modular aufgebaut und können ohne weitere Genehmigung verwendet werden.[9] Neben allgemeinen Klauseln müssen Verantwortliche und Auftragsverarbeiter das für ihre jeweilige Situation passende Modul auswählen. Empfänger im Drittstaat, die in Bezug auf den Drittstaatstransfer gem. Art. 3 Abs. 2 DS-GVO in den räumlichen Anwendungsbereich der DS-GVO einbezogen sind, sind allerdings vom Anwendungsbereich der Standarddatenschutzklauseln der Kommission ausgenommen; für den Fall, dass der Drittstaatstransfer im Zusammenhang mit einer Auftragsverarbeitung zwischen Exporteur und Importeur steht, sind die nach Art. 28 DS-GVO notwendigen Vereinbarungen zur Auftragsverarbeitung bereits in den Standarddatenschutzklauseln der Kommission aus dem Jahr 2021 enthalten.[10]
Die Standarddatenschutzklauseln sollen ein gleichwertiges Schutzniveau wie in der EU gewährleisten; ob ein solches für den jeweiligen Transfer tatsächlich erreicht werden kann, muss der Verantwortliche entsprechend den Empfehlungen 01/2020 und 02/2020 des EDSA vor jedem Einsatz und in regelmäßigen Intervallen wiederholend auch während des laufenden Einsatzes eigenständig prüfen. Falls erforderlich, muss er zusätzliche Maßnahmen ergreifen oder den Transfer einstellen.
Weitere Möglichkeiten, geeignete Garantien sicherzustellen, sind die Anwendung genehmigter Verhaltensregeln gem. Art. 40, 46 Abs. 2 lit. e DS-GVO oder eines genehmigten Zertifizierungsmechanismus gem. Art. 42, 46 Abs. 2 lit. f DS-GVO, welche jeweils um weitere rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland ergänzt werden müssen. Zu beiden vorgenannten Übermittlungsinstrumenten hat der EDSA Leitlinien herausgegeben.[11]
Als geeignete Garantien für Drittlandsübermittlungen innerhalb einer Unternehmensgruppe oder von Gruppen von Unternehmen kommen zudem verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) gem. Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO in Betracht. Diese werden nach einem informellen Abstimmungsverfahren zwischen den Datenschutzaufsichtsbehörden aller europäischen Mitgliedstaaten im Kohärenzverfahren beschlossen und von der Aufsichtsbehörde am Hauptsitz der Unternehmensgruppe genehmigt. Danach sind die einzelnen Transfers auf der Grundlage der BCR genehmigungsfrei. Genehmigungsverfahren für BCR dauern zwischen 6 Monaten und 3 Jahren.
Man unterscheidet verbindliche interne Datenschutzvorschriften für Verantwortliche (controller binding corporate rules, BCR – C) von verbindlichen internen Datenschutzvorschriften für Auftragsverarbeiter (processor binding corporate rules, BCR – P). Erstere gelten für den Transfer personenbezogener Daten von gruppenangehörigen Verantwortlichen in der EU – ggfs. auch mittels gruppenangehöriger Auftragsverarbeiter in der EU – an gruppenangehörige Verantwortliche oder Auftagsverarbeiter in Drittstaaten. Letztere kommen zum Einsatz, wenn gruppenangehörige Unternehmen in der EU als (Unter-)Auftragsverarbeiter für einen Verantwortlichen, der selbst nicht Teil der Unternehmensgruppe ist, personenbezogene Daten an andere gruppenangehörige Unternehmen in Drittstaaten weitergeben. Der EDSA hat die inhaltlichen Mindestanforderungen der DS-GVO an verbindliche interne Datenschutzvorschriften aus Art. 47 DS-GVO in mehreren Dokumenten präzisiert und Formulare zur Antragstellung zur Verfügung gestellt.[12]
c. Die Transferinstrumente des Art. 49 DS-GVO
Unter der Überschrift „Ausnahmen für bestimmte Fälle“ regelt Art. 49 DS-GVO mehrere Fallgruppen, in denen ein Transfer personenbezogener Daten in einen Drittstaat unabhängig davon zulässig ist, ob dabei ein mit EU-Recht der Sache nach gleichwertiges Datenschutzniveau gewährleistet werden kann oder nicht. Der Regelung liegt die Wertung des Gesetzgebers zugrunde, dass bestimmte private und öffentliche Interessen so hoch zu gewichten sind, dass deshalb eine Ausnahme von dem Grundsatz angezeigt ist, dass der DS-GVO unterfallende personenbezogene Daten nicht in Rechtsordnungen verbracht werden dürfen, die das nach europäischen Recht bestehende Schutzniveau im Ergebnis unterschreiten und die Daten bzw. den jeweiligen Betroffenen daher Gefahren aussetzen, die in der EU so nicht bestünden.
Zu beachten ist, dass die einzelnen Fallgruppen des Art. 49 DS-GVO im Gesetzestext und den zugehörigen Erwägungsgründen unterschiedlich engen Voraussetzungen, Vorgaben und Beschränkungen unterworfen werden. Eine Nivellierung dieser differenzierten gesetzlichen Regelung, indem etwa alle Fallgruppen des Art. 49 DS-GVO unter Berufung auf den Ausnahmecharakter der Vorschrift unterschiedslos auf nicht regelmäßige oder nur gelegentliche Übermittlungen begrenzt werden, ist nicht statthaft.[13]
Als erste mögliche Rechtsgrundlage wird die ausdrückliche Einwilligung gem. Art. 49 Abs. 1 lit. a DS-GVO angeführt, nachdem die betroffene Person über die für sie bestehenden Risiken derartiger Übermittlungen ohne einen Angemessenheitsbeschluss oder geeignete Garantien unterrichtet wurde. Hierbei ist besonders die Information der Betroffenen, insbesondere auch zu den Betroffenenrechten, wichtig, um eine rechtskonforme Anwendung zu gewährleisten. Diese Rechtsgrundlage kann gem. Art. 49 Abs. 3 DS-GVO nicht von Behörden in Ausübung ihrer hoheitlichen Befugnisse angewandt werden.
Daneben kann ein Transfer für die Vertragserfüllung zwischen dem Verantwortlichen und der betroffenen Person (Art. 49 Abs. 1 lit. b DS-GVO) bzw. im Interesse der betroffenen Person (Art. 49 Abs. 1 lit. c DS-GVO) oder in den Fällen des Art. 49 Abs. 1 lit. b DSGVO zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich sein. Nach Erwägungsgrund 111 S. 1 DS-GVO ist hierbei besonders zur prüfen, inwiefern der Transfer gelegentlich, also nicht systematisch wiederholend stattfindet und erforderlich ist. Auch diese Rechtsgrundlagen können gem. Art. 49 Abs. 3 DS-GVO nicht von Behörden in Ausübung ihrer hoheitlichen Befugnisse angewandt werden.
Weiterhin ist eine Übermittlung personenbezogener Daten in ein Drittland zulässig, wenn dieser Transfer aus wichtigen Gründen des öffentlichen Interesses gem. Art. 49 Abs. 1 lit. d DS-GVO notwendig ist. Ein öffentliches Interesse i.S.d. Art. 49 Abs. 1 lit. d DS-GVO setzt voraus, dass es im europäischen oder nationalen Recht anerkannt ist (Art. 49 Abs. 4 DS-GVO). Gemäß Erwägungsgrund 112 DS-GVO ist hierbei insbesondere an eine internationale behördliche Zusammenarbeit, etwa im Bereich der Zoll- oder Steuerbehörden, aber auch auf dem Gebiet der öffentlichen Gesundheit zum Beispiel zur Untersuchung ansteckender Krankheiten[14] oder der Bekämpfung unerlaubten Dopings im Sport, zu denken.
Artikel 49 Abs. 1 lit. e DS-GVO gestattet einen Transfer personenbezogener zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, sofern er hierfür erforderlich ist und nur gelegentlich erfolgt (EG 111 S. 1 DS-GVO), also nicht systematisch wiederholend.
Wenn die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, ist ein Transfer personenbezogener Daten in ein Drittland auch zulässig, wenn die Übermittlung zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten gemäß Art. 49 Abs. 1 lit. f DS-GVO erforderlich ist. Hierunter fallen nach Erwägungsgrund 112 vor allem Notfälle und Krisensituationen, in denen es um den Schutz der körperlichen Unversehrtheit und des Lebens geht.
Artikel 49 Abs. 1 lit. g DS-GVO regelt die Übermittlung personenbezogener Daten, die aus einem Register offengelegt werden, das nach europäischem oder nationalem Recht zur Information der Öffentlichkeit bestimmt ist oder Personen mit berechtigten Interessen nach europäischem oder nationalen Recht zur Einsichtnahme offensteht. Dies können beispielsweise Unternehmensregister oder Grundbücher sein. Diese Datenübermittlungen dürfen aber gem. Art. 49 Abs. 2 DS-GVO nicht die Gesamtheit der Daten oder ganze Kategorien personenbezogener Daten aus dem Register umfassen. Dient das Register der Einsichtnahme durch Personen mit berechtigtem Interesse, darf die Übermittlung zudem nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen selbst die Adressaten der Übermittlung sind.
Schließlich ist eine Übermittlung in ein Drittland gem. Art. 49 Abs. 1 Unterabsatz 2 sowie EG 113 DS-GVO auch zur Wahrung zwingender berechtigter Interessen des Verantwortlichen zulässig, wenn die Übermittlung nicht wiederholt erfolgt und nur eine begrenzte Zahl Betroffener betrifft. Über derartige Übermittlungen muss der Verantwortliche die für ihn zuständige Datenschutzaufsichtsbehörde in Kenntnis setzen, um ihre Gelegenheit zur Prüfung und ggfs. zur Ausübung ihrer Befugnisse zu geben.
3. weiterführende Hinweise
Weitere Informationen zum Thema Drittstaatentransfer können folgenden Veröffentlichungen entnommen werden:
EDSA: Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR [bisher nur in Englisch verfügbar], S. 3., abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/
guidelines/guidelines-052021-interplay-between-application-article-3_en
Europäische Kommission: Adequacy decisions, abrufbar unter: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de
DSK: Übermittlung personenbezogener Daten aus Europa an die USA Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023, abrufbar unter: https://datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf
EDSA: Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de
EDSA: Empfehlungen 02/2020 zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen des EDSA, abrufbar unter: Empfehlungen 02/2020 zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen | European Data Protection Board (europa.eu)
Europäische Kommission: DURCHFÜHRUNGSBESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Text von Bedeutung für den EWR), abrufbar unter: https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914&qid=1688729959265
EDSA: Leitlinien 4/2021 über Verhaltensregeln als Instrument für Übermittlungen, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042021-codes-conduct-tools-transfers_de
EDSA: Leitlinien 7/2022 über die Zertifizierung als Instrument für Übermittlungen, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072022-certification-tool-transfers_de
EDSA: Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR), abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-12022-application-approval-and_de
Art. 29 Gruppe: WP 257 rev.01, Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, Adopted on 28 November 2017, As last Revised and Adopted on 6 February 2018, abrufbar unter: https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en
Fußnoten
[1]Die Leitlinien 05/2021 des Europäischen Datenschutzausschusses (EDSA) definieren einen „transfer“ gemäß Kapitel V DS-GVO wie folgt: Ein Exporteur im räumlichen Anwendungsbereich der DS-GVO macht personenbezogene Daten einem Importeur in einem Drittstaat zugänglich, unabhängig davon, ob der Importeur in den räumlichen Anwendungsbereich der DS-GVO einbezogen ist, so EDSA: Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR [bisher nur in Englisch verfügbar], S. 3., abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3_en.
[2] Ebd., S. 8, Rn. 16.
[3]Artikel 29-Gruppe: Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev.01, zuletzt überarbeitet und angenommen am 11. April 2018, S. 47/48, abrufbar unter:https://ec.europa.eu/newsroom/article29/items/622227.
[4]Europäische Kommission: Adequacy decisions, abrufbar unter: https://commission.europa.eu/law/law-topic/dataprotection/international-dimension-data-protection/adequacy-decisions_de.
[5]Angemessenheitsbeschluss zum EU-US Data Privacy Framework, abrufbar unter: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en; s. PM der Europäischen Kommission, abrufbar unter: https:// ec.europa.eu/commission/presscorner/detail/en/ip_23_3721; Q&A https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752 . Für weitere Anwendungshinweise hierzu siehe insbesondere auch die Handreichung der DSK vom 04.09.2023: Übermittlung personenbezogener Daten aus Europa an die USA – Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU-USA (EU-US Data Privacy Framework) vom 10. Juli 2023, abrufbar unter: https://datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf sowie die zugehörige Pressemitteilung, abrufbar unter: https://datenschutzkonferenz-online.de/media/pm/230904_DSK_PM_Anwendungshinweise_EU_US.pdf.
[6]EDSA: Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de.
[7]Vorgaben für ein solches sog. „transfer impact assessment“ (TIA) enthalten die Empfehlungen 02/2020 zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen des EDSA, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_de.
[8]EDSA: Leitlinien 2/2020 zu Artikel 46 Absatz 2 Buchstabe a und Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten zwischen Behörden und öffentlichen Stellen im EWR und Behörden und öffentlichen Stellen außerhalb des EWR, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22020-articles-46-2-and-46-3-b-regulation_de.
[9]Europäische Kommission: DURCHFÜHRUNGSBESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Text von Bedeutung für den EWR), abrufbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914&qid=1688729959265.
[10]Art. 1 Abs. 1 und 2 des DURCHFÜHRUNGSBESCHLUSSES (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, abrufbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914&qid=1688729959265.
[11]EDSA: Leitlinien 4/2021 über Verhaltensregeln als Instrument für Übermittlungen, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042021-codes-conduct-tools-transfers_de; EDSA: Leitlinien 7/2022 über die Zertifizierung als Instrument für Übermittlungen, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072022-certification-tool-transfers_de.
[12]Für BCR-C – EDSA: Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR), abrufbar unter: https://edpb.europa.eu/our-worktools/our-documents/recommendations/recommendations-12022-application-approval-and_de. Für BCR-P – Art. 29 Gruppe: WP 257 rev.01, Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, Adopted on 28 November 2017, As last Revised and Adopted on 6 February 2018, abrufbar unter: https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en; Art. 29 Gruppe: WP 265, Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, Adopted on 11 April 2018, abrufbar unter: https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en.
[13]Insoweit nicht ganz eindeutig: EDSA: Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogationsarticle-49-under-regulation_de
[14]EDSA: Leitlinien 3/2020 für die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke im Zusammenhang mit dem COVID-19-Ausbruch. URL: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_de
Veröffentlicht am 25.08.2025, inhaltlicher Stand Januar 2024.