DSGVO Artikel 49 enthält eine Liste von Ausnahmeregelungen – d. h. Ausnahmen –, die Organisationen auf alle internationalen Datenübermittlungen in Drittländer anwenden können, wenn kein anderer Teil von Kapitel V DSGVO anwendbar ist.
Ausnahmen für bestimmte Situationen
- Liegt kein Angemessenheitsbeschluss gemäß Artikel 45 Absatz 3 oder keine geeigneten Garantien gemäß Artikel 46, einschließlich verbindlicher Unternehmensvorschriften, vor, erfolgt eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation nur unter einer der folgenden Bedingungen:
- (a) Die betroffene Person hat der vorgeschlagenen Übermittlung ausdrücklich zugestimmt, nachdem sie über die möglichen Risiken einer solchen Übermittlung für die betroffene Person aufgrund des Fehlens eines Angemessenheitsbeschlusses und geeigneter Garantien informiert wurde;
- (b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Wunsch der betroffenen Person erfolgen;
- (c) die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich, der im Interesse der betroffenen Person zwischen dem Verantwortlichen und einer anderen natürlichen oder juristischen Person geschlossen wird;
- (d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich;
- (e) die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- (f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, wenn die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu erteilen;
- (g) die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten dazu dient, die Öffentlichkeit zu informieren, und das entweder für die allgemeine Öffentlichkeit oder für jede Person, die ein berechtigtes Interesse nachweisen kann, einsehbar ist, aber nur insoweit, als die im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehenen Voraussetzungen für eine Konsultation im Einzelfall erfüllt sind.
Wenn eine Übertragung nicht auf einer Bestimmung in Artikel 45 oder 46, einschließlich der Bestimmungen über verbindliche Unternehmensvorschriften, beruhen kann und keine der in Unterabsatz 13 dieses Absatzes genannten Ausnahmen für eine bestimmte Situation anwendbar ist, erfolgt eine Übertragung an einen Dritten Die Übermittlung an ein Land oder eine internationale Organisation darf nur erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Anzahl betroffener Personen betrifft, zur Wahrung zwingender berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen, Rechte und Freiheiten des Verantwortlichen nicht überwiegen die betroffene Person und der Verantwortliche alle Umstände im Zusammenhang mit der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien für den Schutz personenbezogener Daten getroffen hat. Der Verantwortliche unterrichtet die Aufsichtsbehörde über die Übermittlung. Der Verantwortliche informiert die betroffene Person zusätzlich zu den in den Artikeln 14 und XNUMX genannten Informationen über die Übermittlung und über die verfolgten zwingenden berechtigten Interessen.- Eine Übermittlung gemäß Absatz 1 Unterabsatz XNUMX Buchstabe g darf nicht die Gesamtheit der im Register enthaltenen personenbezogenen Daten oder ganze Kategorien personenbezogener Daten betreffen. Ist das Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, so erfolgt die Übermittlung nur auf Antrag dieser Personen oder wenn sie Empfänger sind.
- Absatz 1 Unterabsatz XNUMX Buchstaben a, b und c sowie Unterabsatz XNUMX gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
- Das in Absatz 1 Unterabsatz XNUMX Buchstabe d genannte öffentliche Interesse wird im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt.
- Liegt kein Angemessenheitsbeschluss vor, kann das Recht der Union oder der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen für die Übermittlung bestimmter Kategorien personenbezogener Daten an ein Drittland oder eine internationale Organisation vorsehen. Die Mitgliedstaaten teilen der Kommission diese Bestimmungen mit.
- Der Verantwortliche oder Auftragsverarbeiter dokumentiert die Bewertung sowie die geeigneten Garantien gemäß Absatz 1 Unterabsatz 30 dieses Artikels in den in Artikel XNUMX genannten Aufzeichnungen.
Ausnahmen für bestimmte Situationen
- In Ermangelung von Angemessenheitsvorschriften gemäß Abschnitt 17A des Gesetzes von 2018 oder angemessener Schutzmaßnahmen gemäß Artikel 46, einschließlich verbindlicher Unternehmensvorschriften, darf eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten nur an ein Drittland oder eine internationale Organisation erfolgen unter einer der folgenden Bedingungen:
- (a) Die betroffene Person hat der vorgeschlagenen Übermittlung ausdrücklich zugestimmt, nachdem sie über die möglichen Risiken einer solchen Übermittlung für die betroffene Person aufgrund des Fehlens eines Angemessenheitsbeschlusses und geeigneter Garantien informiert wurde;
- (b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Wunsch der betroffenen Person erfolgen;
- (c) die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich, der im Interesse der betroffenen Person zwischen dem Verantwortlichen und einer anderen natürlichen oder juristischen Person geschlossen wird;
- (d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich;
- (e) die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- (f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, wenn die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu erteilen;
- (g) die Übermittlung erfolgt aus einem Register, das nach innerstaatlichem Recht zur Information der Öffentlichkeit bestimmt ist und entweder für die allgemeine Öffentlichkeit oder für jede Person, die ein berechtigtes Interesse nachweisen kann, einsehbar ist, jedoch nur für die Öffentlichkeit soweit die im innerstaatlichen Recht vorgesehenen Voraussetzungen für eine Konsultation im Einzelfall erfüllt sind.
Wenn eine Übertragung nicht auf einer Bestimmung in Artikel 45 oder 46, einschließlich der Bestimmungen über verbindliche Unternehmensvorschriften, beruhen kann und keine der in Unterabsatz 13 dieses Absatzes genannten Ausnahmen für eine bestimmte Situation anwendbar ist, erfolgt eine Übertragung an einen Dritten Die Übermittlung an ein Land oder eine internationale Organisation darf nur erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Anzahl betroffener Personen betrifft, zur Wahrung zwingender berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen, Rechte und Freiheiten des Verantwortlichen nicht überwiegen die betroffene Person und der Verantwortliche alle Umstände im Zusammenhang mit der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien für den Schutz personenbezogener Daten getroffen hat. Der Verantwortliche informiert den Kommissar über die Übertragung. Der Verantwortliche informiert die betroffene Person zusätzlich zu den in den Artikeln 14 und XNUMX genannten Informationen über die Übermittlung und über die verfolgten zwingenden berechtigten Interessen.- Eine Übermittlung gemäß Absatz 1 Unterabsatz XNUMX Buchstabe g darf nicht die Gesamtheit der im Register enthaltenen personenbezogenen Daten oder ganze Kategorien personenbezogener Daten betreffen. Ist das Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, so erfolgt die Übermittlung nur auf Antrag dieser Personen oder wenn sie Empfänger sind.
- Absatz 1 Unterabsatz XNUMX Buchstaben a, b und c sowie Unterabsatz XNUMX gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
- Das in Absatz 1 Unterabsatz 18 Buchstabe d genannte öffentliche Interesse muss ein öffentliches Interesse sein, das im innerstaatlichen Recht anerkannt ist (sei es in Vorschriften gemäß Abschnitt 1 Absatz 2018 des Gesetzes von XNUMX oder anderweitig).
- Dieser Artikel und Artikel 46 unterliegen Beschränkungen in den Vorschriften gemäß Abschnitt 18 Absatz 2 des Gesetzes von 2018.
- Der Verantwortliche oder Auftragsverarbeiter dokumentiert die Bewertung sowie die geeigneten Garantien gemäß Absatz 1 Unterabsatz 30 dieses Artikels in den in Artikel XNUMX genannten Aufzeichnungen.
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Die Ausnahmen gemäß Artikel 49 DSGVO gelten für mehrere Schlüsselsituationen:
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) und 49 (6)
Von Zeit zu Zeit kann es erforderlich sein, personenbezogene Daten zwischen zwei verschiedenen Gerichtsbarkeiten zu übertragen. In diesem Fall sollten Organisationen die Notwendigkeit dafür begründen und dokumentieren.
Die regionalen behördlichen und rechtlichen Vorschriften variieren je nachdem, woher die Daten stammen und wohin sie übertragen werden.
Organisationen sollten alle relevanten Gesetze, Rahmenwerke und Vorschriften berücksichtigen, wann immer sie Daten zwischen Gerichtsbarkeiten übertragen müssen, einschließlich der Nutzung einer benannten Aufsichtsbehörde.
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) und 49 (6)
Wann immer PII zwischen Gerichtsbarkeiten übertragen werden sollen, müssen Organisationen den Kunden rechtzeitig über die zugrunde liegende Notwendigkeit informieren.
Transferziele können sein:
Organisationen sollten den Kunden über etwaige Übertragungen rechtzeitig informieren, damit Einwände erhoben und unter bestimmten Umständen Kündigungswünsche gestellt werden können.
Organisationen müssen ihre Kunden nicht immer über Änderungen ihrer Datenübertragungsvereinbarungen informieren, aber in Verträgen sollten die Umstände klar dargelegt werden do Sie müssen eine Vorwarnung anbieten.
Bei der Übertragung personenbezogener Daten in ein anderes Land sollten Organisationen offizielle Mechanismen in Betracht ziehen, wie zum Beispiel:
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 49 (1)(a) bis 49 (6) | ISO 27701 7.5.1 | Andere |
| EU-DSGVO Artikel 49 (1)(a) bis 49 (6) | ISO 27701 8.5.1 | Andere |
Die ISMS.online-Plattform umfasst integrierte Anleitungen für jeden Schritt, kombiniert mit unserem Implementierungsansatz „Übernehmen, Anpassen, Hinzufügen“, sodass der Nachweis Ihrer DSGVO-Konformität wesentlich einfacher ist. Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.
Durch die Abbildung Ihrer Arbeit über mehrere Standards und Frameworks hinweg erleichtert unsere intuitive Plattform das Erreichen mehrerer Informationssicherheits- und Datenschutzziele.
Erfahren Sie mehr von Planen einer Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
