DSGVO Gesetzestexte
Artikel 36 EU-DSGVO: Vorherige Konsultation

Artikel 36 EU-DSGVO: Vorherige Konsultation

  1. Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
    1. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben.
    2. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden.
    3. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung.
    4. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
  3. Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
    1. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
    2. die Zwecke und die Mittel der beabsichtigten Verarbeitung;
    3. die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
    4. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    5. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
    6. alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
  4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen.
  5. Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.
Zum Inhaltsverzeichnis
Zur Kapitelübersicht
Vorheriger Artikel
Nächstes Kapitel
Nächster Artikel
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung

Kommentar zu
Artikel 36 EU-DSGVO: Vorherige Konsultation

Kommentar zu Art. 45 DSGVO

Art. 45 DSGVO besagt, dass Unternehmen personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln dürfen, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Hat die Kommission das Datenschutzniveau des jeweiligen Drittlandes, Gebietes oder der internationalen Organisation für angemessen befunden, ist eine Datenübermittlung ohne Genehmigung zulässig. Diese Vorschrift betrifft den Datenaustausch mit Ländern, die nicht zur Europäischen Union oder dem Europäischen Wirtschaftsraum zählen.

Wann fasst die EU-Kommission einen Angemessenheitsbeschluss?

Die EU-Kommission prüft nach diesen Kriterien, ob ein angemessenes Datenschutzniveau in den Drittländern vorliegt:

  1. Gesetze und Rechtsbehelfe

Das Drittland bietet Rechtsvorschriften, die die Menschenrechte und Grundfreiheiten, die Sicherheit, das Strafrecht und die Nutzung personenbezogener Daten regeln. Es wendet diese Gesetze, Datenschutzregelungen und Sicherheitsvorschriften an. Betroffene, deren personenbezogene Daten übermittelt werden, können ihre Rechte durchsetzen und Rechtsbehelfe nutzen.

  1. Unabhängige Aufsichtsbehörden

Außerdem muss das Drittland oder die internationale Organisation einer unabhängigen Aufsichtsbehörde unterliegen. Letztere ist dafür verantwortlich, dass die Datenschutzregelungen eingehalten und durchgesetzt werden.

  1. Internationale Verpflichtungen

Das Drittland oder die internationale Organisation unterliegen rechtsverbindlichen Verpflichtungen, die insbesondere dem Schutz personenbezogener Daten dienen.

Nach dieser Prüfung kann die EU-Kommission beschließen, dass ein angemessenes Schutzniveau im Sinne des Art. 45 DSGVO vorliegt. Sie nennt das Prüfungsverfahren, den Anwendungsbereich und die Aufsichtsbehörden. Eine regelmäßige Überprüfung muss wenigstens im 4-Jahres-Abstand erfolgen.

Was bedeutet Art. 45 DSGVO für Unternehmen?

Bevor Sie personenbezogene Daten an Drittstaaten übermitteln, informieren Sie sich auf der Webseite der EU-Kommission oder im Amtsblatt der EU. Die dort veröffentlichte Liste verrät, welche Drittländer, Gebiete und internationalen Organisationen ein angemessenes Datenschutzniveau bieten. Die EU-Kommission kann einen bestehenden Angemessenheitsbeschluss ändern, ersetzen oder aufheben. Deshalb ist es wichtig, regelmäßig zu überprüfen, ob dieser noch aktuell ist.