BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

§ 4c Ausnahmen

Absatz 2 Text

(2) Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Bei den Post- und Telekommunikationsunternehmen ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor.

Ausnahmen durch Genehmigung

Zusätzlich zu den gesetzlich definierten Ausnahmen des § 4c Abs. 1 Satz 1 eröffnet das Gesetz in Abs. 2 die Möglichkeit, dass die Aufsichtsbehörde Ausnahmen genehmigt. Der legitimierende Grund der Ausnahmen des Abs. 1 Satz 1 liegt im Einzelfall am übergeordneten Interesse an der Übermittlung bzw. der Interessenlage des Betroffenen oder den von ihm selbst getroffenen Verfügungen. Das Gesetz honoriert in Abs. 2 den Umstand, dass die verantwortliche Stelle durch eigene Schutzvorkehrungen dafür sorgt, dass sich das fehlende angemessene Schutzniveau im Empfängerland nicht nachteilig auf die Betroffenen auswirkt. Ob die Vorkehrungen ausreichen, prüft die Aufsichtsbehörde im Rahmen des Genehmigungsverfahrens.

Eine Genehmigung nach Abs. 2 kann sich auf eine einzelne Übermittlung oder auch auf einen oder mehrere Typen von Übermittlungen beziehen. Dabei können sowohl die Empfänger als auch die Empfängerländer variieren.


Zuständigkeit

Zuständig für die Erteilung der Genehmigung ist die Aufsichtsbehörde. Bei nicht-öffentlichen Stellen ist das die Aufsichtsbehörde, in deren Zuständigkeitsbereich der Hauptsitz der verantwortlichen Stelle liegt. Bei Post- und Telekommunikationsunternehmen ist die BfDI zuständig. Soll eine Regelung genehmigt werden, die für mehrere EU/EWR-Staaten gelten soll, müssen sich die Aufsichtsbehörden der betreffenden Staaten abstimmen.

Die Genehmigung ist ein Verwaltungsakt. Wird sie verweigert, kann die verantwortliche Stelle Verpflichtungsklage erheben (§§ 68 ff. VwGO).

Die Aufsichtsbehörden entscheiden aufgrund eigener Beurteilung. Hat allerdings die EU-Kommission bestimmte Regelungen nach Art. 31 Abs. 2 EU-Datenschutzrichtlinie als ausreichende Garantien anerkannt oder für unzureichend erklärt, so sind die Aufsichtsbehörden daran gebunden (Art. 26 Abs. 4 bzw. Abs. 3 EU-Datenschutzrichtlinie)).

Genehmigungen sind grundsätzlich für einen bestimmten Zeitraum zu befristen. Die Dauer orientiert sich am jeweiligen Sachzusammenhang.

Ausnahmen nach Abs. 2 sind auch für Übermittlungen durch öffentliche Stellen möglich. Anstelle einer Genehmigung durch die für sie zuständigen Aufsichtsbehörde BfDI ist jedoch gesetzlich eine Prüfung durch die Stelle selbst vorgesehen (Satz 3).


Im Genehmigungsverfahren hat die Aufsichtsbehörde zu prüfen, ob die in § 4c Abs. 2 Satz 1 und 2 geforderten Garantien vorliegen und ausreichen. Soweit der Antrag auf Genehmigung sich nicht auf eine einmalige Aktion, sondern auf eine auf Dauer angelegte Übermittlungspraxis bezieht - was der typische Fall ist - ist auch zu prüfen, ob für die angebotenen Garantien ein ebenso dauerhafter Bestand gewährleistet ist. Das umfasst die Bereitwilligkeit und Fähigkeit der übermittelnden Stellen, die Einhaltung der Garantien langfristig zu erfüllen.

Erteilt eine Aufsichtsbehörden eine Genehmigung zu Unrecht, kann dies eine Amtshaftung gegenüber den Betroffenen nach sich ziehen (Art. 34 GG i.V.m. § 839 BGB).


Garantien

Die Genehmigung hängt davon ab, ob der Antragsteller „ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist“. Wenn hier auf das Persönlichkeitsrecht und damit verbundene Rechte abgestellt wird, meint dies nichts anderes als das in § 1 Abs. 1 BDSG definierte Schutzgut des BDSG. Hier wie dort ist aber letztlich das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung gemeint (Kommentar zu § 1 Abs. 1).


Weder die EU-Richtlinie noch das Gesetz konkretisieren näher, wann Garantien als ausreichend gelten können. Der Maßstab ist der gleiche wie bei der Anerkennung des angemessenen Schutzniveaus eines Drittlandes im Sinne von § 4b Abs. 3. In beiden Fällen kommt es auf die Gleichwertigkeit der Regelung mit den im BDSG festgeschriebenen Schutzprinzipien an. Ebenso wichtig wie der Inhalt der materiellen Regelungen zum Datenumgang ist die Sicherung ihrer praktischen Durchsetzung. Unabhängig von der rechtlichen Form der Regelungen müssen organisatorische Vorkehrungen getroffen sein, die ihre konsequente und kontrollierbare Anwendung sichern.


Als Beispiele, in welcher Form Garantien gestaltet werden können, nennt das Gesetz

Die EU-Kommission hat

erarbeitet und als ausreichende Garantien anerkannt. Ebenso hat sie in einer Reihe von Fällen von internationalen Unternehmen vorgelegte verbindliche Unternehmensregelungen als ausreichend anerkannt.


Online-Kommentare

← § 4c BDSG a.F. Kommentar Absatz 1   § 4c BDSG a.F. Kommentar Absatz 3 →

← § 4b BDSG a.F. Kommentare   § 4d BDSG a.F. Kommentare →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.