DSGVO Artikel 46 ermöglicht die Übermittlung von Daten an ein anderes Land oder eine internationale Organisation ohne „Angemessenheitsentscheidung“ (siehe Artikel 45).
Die meisten Länder, die Daten aus dem Vereinigten Königreich oder der EU empfangen können, verfügen nicht über eigene Datenschutzrahmen, daher spielt Artikel 46 eine wichtige Rolle bei der Sicherung der Rechte und Freiheiten eingebürgerter Bürger in einer globalen Wirtschaft.
Übertragungen unterliegen angemessenen Sicherheitsvorkehrungen
- Liegt keine Entscheidung gemäß Artikel 45 Absatz 3 vor, darf ein Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übermitteln, wenn der Verantwortliche oder Auftragsverarbeiter angemessene Garantien bereitgestellt hat und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person gewährleistet sind Wirksame Rechtsbehelfe für betroffene Personen stehen zur Verfügung.
- Die in Absatz 1 genannten angemessenen Schutzmaßnahmen können, ohne dass eine besondere Genehmigung einer Aufsichtsbehörde erforderlich ist, vorgesehen werden durch:
- (a) ein rechtsverbindliches und durchsetzbares Instrument zwischen Behörden oder Stellen;
- (b) verbindliche Unternehmensvorschriften gemäß Artikel 47;
- (c) Standarddatenschutzklauseln, die von der Kommission gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren angenommen werden;
- (d) Standarddatenschutzklauseln, die von einer Aufsichtsbehörde angenommen und von der Kommission gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren genehmigt wurden;
- (e) ein genehmigter Verhaltenskodex gemäß Artikel 40 zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland, die geeigneten Garantien anzuwenden, auch in Bezug auf die Rechte der betroffenen Personen; oder
- (f) ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland, die geeigneten Garantien anzuwenden, auch in Bezug auf die Rechte der betroffenen Personen.
- Vorbehaltlich der Genehmigung der zuständigen Aufsichtsbehörde können die in Absatz 1 genannten geeigneten Garantien insbesondere auch vorgesehen werden durch:
- (a) Vertragsklauseln zwischen dem Verantwortlichen oder Auftragsverarbeiter und dem Verantwortlichen, Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder bei der internationalen Organisation; oder
- (b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder Stellen einzufügen sind und durchsetzbare und wirksame Rechte betroffener Personen umfassen.
- Die Aufsichtsbehörde wendet in den in Absatz 63 dieses Artikels genannten Fällen den in Artikel 3 genannten Kohärenzmechanismus an.
- Genehmigungen eines Mitgliedstaats oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG bleiben gültig, bis sie von dieser Aufsichtsbehörde gegebenenfalls geändert, ersetzt oder aufgehoben werden. Entscheidungen, die die Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlässt, bleiben in Kraft, bis sie erforderlichenfalls durch einen gemäß Absatz 2 dieses Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
Übertragungen unterliegen angemessenen Sicherheitsvorkehrungen
- In Ermangelung von Angemessenheitsvorschriften gemäß Abschnitt 17A des Gesetzes von 2018 darf ein Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übermitteln, wenn der Verantwortliche oder Auftragsverarbeiter angemessene Garantien bereitgestellt hat und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person gewährleistet sind Wirksame Rechtsbehelfe für betroffene Personen stehen zur Verfügung.
- Die in Absatz 1 genannten geeigneten Schutzmaßnahmen können, ohne dass eine besondere Genehmigung des Kommissars erforderlich ist, vorgesehen werden durch:
- (a) ein rechtsverbindliches und durchsetzbares Instrument zwischen Behörden oder Stellen;
- (b) verbindliche Unternehmensvorschriften gemäß Artikel 47;
- (c) Standarddatenschutzklauseln, die in den vom Minister gemäß Abschnitt 17C des Gesetzes von 2018 erlassenen und derzeit geltenden Vorschriften festgelegt sind;
- (d) Standarddatenschutzklauseln, die in einem Dokument festgelegt sind, das vom Datenschutzbeauftragten gemäß Abschnitt 119A des Gesetzes von 2018 herausgegeben (und nicht zurückgezogen) wurde und derzeit in Kraft ist;
- (e) ein genehmigter Verhaltenskodex gemäß Artikel 40 zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland, die geeigneten Garantien anzuwenden, auch in Bezug auf die Rechte der betroffenen Personen; oder
- (f) ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland, die geeigneten Garantien anzuwenden, auch in Bezug auf die Rechte der betroffenen Personen.
- Mit Genehmigung des Kommissars können die in Absatz 1 genannten geeigneten Schutzmaßnahmen auch vorgesehen werden, insbesondere durch:
- (a) Vertragsklauseln zwischen dem Verantwortlichen oder Auftragsverarbeiter und dem Verantwortlichen, Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder bei der internationalen Organisation; oder
- (b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder Stellen einzufügen sind und durchsetzbare und wirksame Rechte betroffener Personen umfassen.
Mit ISMS.online gehören Herausforderungen rund um Versionskontrolle, Richtliniengenehmigung und Richtlinienfreigabe der Vergangenheit an.
Die Diskussion über die Übermittlung personenbezogener Daten in Länder ohne begleitenden Angemessenheitsrahmen erstreckt sich über sechs Schlüsselbereiche:
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Die regionalen behördlichen und rechtlichen Vorschriften variieren je nachdem, woher die Daten stammen und wohin sie übertragen werden.
Organisationen sollten alle relevanten Gesetze, Rahmenwerke und Vorschriften berücksichtigen, wann immer sie Daten zwischen Gerichtsbarkeiten übertragen müssen, einschließlich der Nutzung einer benannten Aufsichtsbehörde.
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a) und 46 (3)(b)
Kunden sollten jederzeit die Möglichkeit haben, eine Liste potenzieller Empfängerländer und -organisationen einzusehen, einschließlich eines Protokolls aller Länder, die an der Vergabe von PII-Unteraufträgen beteiligt sind (siehe ISO 27701 Abschnitt 8.5.1).
Unter bestimmten Umständen können Organisationen nicht immer im Voraus offenlegen, woher Transferanträge stammen – insbesondere bei Strafverfahren. Dies ist unvermeidbar und es sollte die Priorität der Organisation sein, die Integrität einer Strafverfolgungsmaßnahme aufrechtzuerhalten (siehe ISO 27701, Abschnitte 7.5.1, 8.5.4 und 8.5.5).
DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
---|---|---|
EU-DSGVO Artikel 46 (1) bis 46 (5) | ISO 27701 7.5.1 | Andere |
EU-DSGVO Artikel 46 (1) bis 46 (3)(b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Wir stellen Ihnen eine vorgefertigte Umgebung zur Verfügung, um Ihren Ansatz zum Schutz Ihrer europäischen und britischen Kundendaten so zu beschreiben und zu demonstrieren, dass er sich nahtlos in Ihr bestehendes Managementsystem einfügt.
Mit ISMS.online ist es für Sie einfach, sich direkt auf den Weg zur DSGVO-Konformität zu machen und ganz einfach ein Schutzniveau nachzuweisen, das über „angemessen“ hinausgeht – und das alles an einem sicheren, immer verfügbaren Ort, auf den Sie von überall aus zugreifen können.
Erfahren Sie mehr von Planen einer Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo