Inhalt
Nr. 11.1 – Geeignete Garantien für die Datenübermittlung
(Art. 46 Abs. 2 lit. f i.V.m. Art. 42 Abs. 1 und 2 DSGVO)
Kriterium
(1) Der Cloud-Anbieter übermittelt personenbezogene Daten in Drittstaaten oder an internationale Organisationen nur, sofern für den Empfängerstaat oder die internationale Organisation ein Beschluss der Europäischen Kommission nach Art. 45 Abs. 3 DSGVO vorliegt, dass dort ein angemessenes Datenschutzniveau gilt.
(2) Alternativ kann die Übermittlung stattfinden, wenn der Empfänger die in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung festgelegten geeigneten Garantien im Sinne des Art. 46 Abs. 2 oder 3 DSGVO vorweist und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe in dem Drittstaat oder gegenüber der Internationalen Organisation zur Verfügung stehen. Geeignete Garantien sind auch bei einem Zertifikat nach Art. 42 Abs. 2 DSGVO gegeben, wenn außerdem rechtsverbindliche und durchsetzbare Verpflichtungen des Cloud-Anbieters in dem Drittstaat bestehen, geeignete Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, anzuwenden.
Erläuterung
Verarbeitungen (sowohl Auftragsverarbeitungen als auch Datenverarbeitungen in eigener Verantwortlichkeit) von personenbezogenen Daten von betroffenen Personen in der EU oder im EWR sind außerhalb der EU und des EWR nur unter den in Art. 44 ff. DSGVO genannten Voraussetzungen zulässig. Das Gleiche gilt für die Übermittlung von personenbezogenen Daten in ein EU-Drittland oder an eine Internationale Organisation, für die kein angemessenes Datenschutzniveau anerkannt ist.
Beinhaltet die Auftragsverarbeitung die weisungsgebundene Datenübermittlung an Drittländer oder an internationale Organisationen, verpflichtet Art. 44 DSGVO zusätzlich zur Einhaltung der Bedingungen von Kapitel 5 DSGVO. Der Cloud-Anbieter darf sich daher für die Datenübermittlung nur auf einen Angemessenheitsbeschluss nach Art. 45 Abs, 3 DSGVO oder die geeigneten Garantien nach Art. 46 Abs. 2 oder 3 DSGVO stützen, die zwischen ihm und dem Cloud-Nutzer nach Nr. 1.4 festgelegt worden sind.
Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er ein Verzeichnis eingesetzter Subauftragsverarbeiter aus Drittländern mit Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vorlegt. Liegt kein Angemessenheitsbeschluss vor, können Nachweise durch Dokumente zu den vereinbarten geeigneten Garantien nach Art. 46 Abs. 2 oder 3 DSGVO vorgelegt werden (z.B. Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften nach Art. 47 DSGVO). Eine Zertifizierung nach Art. 42 Abs. 2 DSGVO, die diesem oder einem vergleichbaren anerkannten Kriterienkatalog entspricht, kann ebenfalls als Nachweis dienen.