Genehmigte Verhaltensregeln, genehmigter Zertifizierungsmechanismus und einzeln ausgehandelte Vertragsklauseln
Mit der DS-GVO neu hinzugekommen ist gemäß Art. 46 Abs. 2 lit. e DS-GVO die Möglichkeit, Datenübermittlungen auf Grundlage von branchenspezifischen Verhaltensregeln gemäß Art. 40 DS-GVO zu legitimieren, sofern diese mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters versehen sind und von der zuständigen Aufsichtsbehörde genehmigt worden sind.
Auch Zertifizierungen nach Art. 42 DS-GVO können nun gemäß Art. 46 Abs. 2 lit. f DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters als rechtliche Grundlage für einen Datentransfer in ein Drittland herangezogen werden, wenn die Zertifizierungsmechanismen zuvor genehmigt worden sind.
Die europäischen Aufsichtsbehörden werden in der Folgezeit die für eine praktische Anwendung dieser Instrumente notwendigen weiteren Einzelheiten im Hinblick auf rechtliche Rahmenbedingungen und Verfahrensfragen erarbeiten.
Ebenso können gemäß Art. 46 Abs. 3 DS-GVO einzeln ausgehandelte individuelle Vertragsklauseln eine Datenübermittlung in ein Drittland legitimieren, allerdings nur nach Genehmigung der Aufsichtsbehörde und Durchführung des Kohärenzverfahrens nach Art. 63 DS-GVO.
Weitere Informationen
- EDSA-Leitlinien 1/2019 zu Verhaltensregeln und Überwachungsstellen gemäß Art. 40 f. DS-GVO (derzeit nur in englischer Sprache verfügbar)
- EDSA-Leitlinien 1/2018 zu Zertifizierung und Identifizierung von Zertifizierungskriterien im Einklang mit Art. 42 und 43 DS-GVO (derzeit nur in englischer Sprache verfügbar)
- EDSA-Leitlinien 4/2018 zur Akkreditierung von Zertifizierungsstellen nach Art. 43 DS-GVO (derzeit nur in englischer Sprache verfügbar)