Zur Datenübermittlung in Drittstaaten
Nach dem Urteil des Europäischen Gerichtshofs zu Safe Harbor, ist diese Thematik natürlich besonders „heiß“. Wie genau die finalen Vorschriften der Datenschutz-Grundverordnung zur Übermittlung personenbezogener Daten in Drittstaaten (also außerhalb des europäischen Wirtschaftsraums) aussehen werden, bleibt daher, vorbehaltlich etwaiger Anpassung nach dem Urteil des Europäischen Gerichtshofs, abzuwarten.
Dem Grunde nach wird es jedoch ähnliche Vorgaben geben, wie sie schon derzeit innerhalb der Datenschutzrichtlinie existieren. So soll die EU-Kommission die Möglichkeit besitzen, Angemessenheitsentscheidung zu treffen. Alternativ können Datenübermittlung auch auf der Grundlage von Standardvertragsklauseln oder unternehmensinternen Vorschriften (BCR) erfolgen.
Neu ist jedoch etwa, dass Art. 43 Abs. 2 DS-GVO konkrete Vorgaben an den Inhalt von BCR macht.
Mit Blick auf die gesetzlichen Ausnahmen für Datenübermittlungen in Drittstaaten (wenn also kein Angemessenheitsbeschluss existiert und auch keine Standardvertragsklauseln oder BCR genutzt werden), legt Art. 44 DS-GVO die Voraussetzungen fest. So soll, wie auch derzeit, eine Datenübermittlung auf der Grundlage einer Einwilligung der betroffenen Person möglich sein. Interessant ist insoweit, dass Kommission und Parlament allein die „Zustimmung“ zur Datenübermittlung verlangen, während der Rat darüber hinausgehend eine „ausdrückliche“ Einwilligung verlangt.
Weiterhin soll eine Datenübermittlung auch zur Durchführung eines Vertrages zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen erlaubt sein.
Die Entwürfe von Kommission und Rat sehen zudem die Möglichkeit einer Übermittlung für den Fall vor, wenn diese zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist. Einschränkend darf eine solche Übermittlung jedoch nicht häufig, massiv (so die Kommission) oder in großem Maßstab (so der Rat) erfolgen. Der Rat möchte in seinem Entwurf zudem mögliche entgegenstehende Interessen und Grundrechte der betroffenen Personen einbeziehen, welche in diesem Fall der Datenübermittlung nicht überwiegen dürften.
Es stellt sich auch die Frage, was mit den derzeit existierenden Entscheidungen der EU-Kommission zu den Standardvertragsklauseln geschieht. Nach dem Entwurf der Kommission bleiben diese so lange in Kraft bis sie von der Kommission selbst geändert ersetzt oder aufgehoben wurden (Art. 41 Abs. 8 DS-GVO). Das Parlament möchte jedoch eine Ablauffrist einführen und betreffende Kommissionsentscheidungen sollen fünf Jahre nach Inkrafttreten der DS-GVO unwirksam werden.