Personenbezogene Daten in Länder außerhalb der EU / des EWR oder an internationale Organisationen zu übermitteln kann zusätzliche Risiken mit sich bringen, da die Empfänger in einigen Fällen keinen (oder zumindest keinen den europäischen Standards entsprechenden) Datenschutzregeln unterliegen. Aus diesem Grund gibt es in Kapitel V der Verordnung (EU) 2018/1725 spezifische Regeln für solche Übermittlungen.
Der EDSB hat die verschiedenen Möglichkeiten, solche Übermittlungen abzusichern, in einem Positionspapier zur Übermittlung personenbezogener Daten an Drittländer und internationale Organisationen durch Organe und Einrichtungen der EU erklärt. Obwohl sich dieses Papier noch auf die alte Verordnung (EG) 45/2001 bezieht, ist die generelle Architektur der möglichen Sicherungsmaßnahmen gleichgeblieben. Vorzugsweise sollten Übermittlungen an Empfänger erfolgen, die als angemessen anerkannten Datenschutzregeln unterliegen. Die zweitbeste Option ist es, solche Übermittlungen entweder über Standardvertragsklauseln abzusichern, oder sie auf internationale Abkommen, die geeignete Garantien bieten, zu stützen. Solche Übermittlungen benötigen keine spezifische Genehmigung durch den EDSB.
Eine weitere Sicherungsmöglichkeit sind 'ad hoc'-Vertragsklauseln zwischen dem übermittelnden EU-Organ, -Einrichtung oder Agentur (EUI) und dem Empfänger. Eine zusätzliche Möglichkeit sind Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen beinhalten. Wenn die EUI eine dieser beiden Möglichkeiten nutzen möchten, müssen sie vorab eine Genehmigung durch den EDSB erhalten (siehe Artikel 48(3), sowie 58(3)(e) und (f) der Verordnung (EU) 2018/1725).
Zu guter Letzt gibt es Ausnahmeregelungen für bestimmte Situationen (siehe Artikel 50 der Verordnung (EU) 2018/1725; der Europäische Datenschutzausschuss hat die gleichwertigen Regeln in der DSGVO in seiner Stellungnahme 2/2018 analysiert).
Die EUI können sich nicht auf Artikel 48(3) der Verordnung stützen, ohne den EDSB konsultiert und eine Genehmigung erhalten zu haben. Diese Genehmigungen sind das Nachfolgeinstrument zu Genehmigungen nach Artikel 9(7) der alten Verordnung (EG) 45/2001. Genehmigungen, die der EDSB nach diesem Artikel der alten Verordnung erteilt hat, bleiben gültig, bis sie geändert, ersetzt, oder widerrufen werden (siehe Artikel 48(4) der Verordnung (EU) 2018/1725).
Der EDSB veröffentlicht diese Genehmigungen, die Sie untenstehend finden.
EDPS Decision of 13 March 2019 concerning the use of the IOSCO-ESMA Administrative Arrangement by the European Securities and Markets Authority.
EDPS Decision pursuant to Article 9(7) of Regulation (EC) No 45/2001 concerning the transfers of personal data carried out by the European Centre for Disease Prevention and Control (ECDC) to the World Health Organization (WHO) (Case 2017-1120)
EDPS Decision pursuant to Article 9(7) of Regulation (EC) No 45/2001 concerning the transfers of personal data carried out by the European Central Bank for its supervisory activities (Case 2016-0308)
EDPS Decision concerning the transfers of personal data carried out by OLAF through the Investigative Data Consultation Platform pursuant to Article 9(7) of Regulation (EC) No 45/2001