Artikel 46 EU-DSGVO: Datenübermittlung vorbehaltlich geeigneter Garantien
- Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
- Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
- einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
- verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
- Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
- von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
- genehmigten Verhaltensregeln gemäß Artikel 40zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
- einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
- Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in
- Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
- Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
- Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
- Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
Kommentar zu Artikel 55 DSGVO
Was sagt Art. 55 DSGVO aus?
Diese Norm regelt die räumliche Zuständigkeit der Aufsichtsbehörden. Nach Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedsstaats für die Erfüllung ihrer Aufgaben (Art. 57 DSGVO) und die Ausübung der Befugnisse, die ihr mit der DSGVO übertragen wurden (Art. 58 DSGVO), zuständig. Eine Datenschutzaufsichtsbehörde ist also zuständig, wenn ein Verantwortlicher über eine Niederlassung in ihrem Hoheitsgebiet verfügt oder wenn es um Verarbeitungstätigkeiten geht, die erhebliche Auswirkungen auf Personen in ihrem Hoheitsgebiet haben. Eine Zuständigkeit im Sinne des Art. 55 Abs. 1 DSGVO besteht zudem dann, wenn die Verarbeitungstätigkeit auf Personen ausgerichtet ist, die ihren Wohnsitz im Hoheitsgebiet der Aufsichtsbehörde haben. Auch wenn ein Betroffener eine Beschwerde bei einer Aufsichtsbehörde einreicht, ist diese zuständig.
Die Aufsichtsbehörde des betroffenen Mitgliedsstaats ist nach Abs. 2 auch bei grenzüberschreitenden Tätigkeiten zuständig, wenn die Datenverarbeitung durch Behörden oder private Stellen zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist (Art. 6 Abs. 1 c DSGVO) oder wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 e DSGVO). Für sonstige grenzüberschreitende Tätigkeiten gilt jedoch grundsätzlich Art. 56 DSGVO.
Die Aufsichtsbehörde ist nach Abs. 3 nicht für die Überwachung der Datenverarbeitung von Gerichten im Rahmen ihrer justiziellen Tätigkeiten zuständig.
Wer ist in Deutschland zuständig?
In Deutschland hat jedes Bundesland seine eigene Datenschutzaufsichtsbehörde mit Zuständigkeit für den öffentlichen Bereich des Landes (z. B. Behörden, Gemeindeverbände) und, mit Ausnahme von Bayern, gleichzeitig auch für den nicht-öffentlichen Bereich (z. B. Unternehmen, Vereine). Zudem hat jeder EU-Mitgliedsstaat auch eine bundesweite Aufsichtsbehörde bzw. einen Bundesbeauftragten für Datenschutz, der für öffentliche Stellen des Bundes zuständig ist.
Was ist neu?
Neu ist in diesem Zusammenhang das sogenannte One-Stop-Shop-Konzept, bei dem für ein Unternehmen nur noch eine Aufsichtsbehörde zuständig sein soll. Es kommt allerdings nur bei grenzüberschreitenden Verarbeitungen in unterschiedlichen Mitgliedstaaten zum Tragen (siehe Art. 56 DSGVO).
Was muss getan werden?
Die zuständige Aufsichtsbehörde ist Ihre Anlaufstelle für Fragen zum Datenschutz sowie für Meldungen über derartige Verstöße. Ihre Aufgabe als Verantwortlicher ist es, die für Sie zuständige Aufsichtsbehörde zu ermitteln und Verstöße zu vermeiden. Sie können Ihre offenen Fragen auch gerne über unsere Datenschutz-Beratung an uns richten.