Richtlinie (EU) 2016/680

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

KAPITEL V - Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

Artikel 35

Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

(1) Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, einschließlich der Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation, nur unter Einhaltung der nach Maßgabe anderer Bestimmungen dieser Richtlinie erlassenen nationalen Bestimmungen, zulässig ist, wenn die in diesem Kapitel festgelegten Bedingungen eingehalten werden, nämlich
  1. die Übermittlung für die in Artikel 1 Absatz 1 genannten Zwecke erforderlich ist;
  2. die personenbezogenen Daten an einen Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in Artikel 1 Absatz 1 genannten Zwecke zuständige Behörde ist, übermittelt werden;
  3. in Fällen, in denen personenbezogene Daten aus einem anderen Mitgliedstaat übermittelt oder zur Verfügung gestellt werden, dieser Mitgliedstaat die Übermittlung zuvor in Einklang mit seinem nationalen Recht genehmigt hat;
  4. die Kommission gemäß Artikel 36 einen Angemessenheitsbeschluss gefasst hat oder, wenn kein solcher Beschluss vorliegt, geeignete Garantien im Sinne des Artikels 37 erbracht wurden oder bestehen oder, wenn kein Angemessenheitsbeschluss gemäß Artikel 36 vorliegt und keine geeigneten Garantien im Sinne des Artikels 37 vorhanden sind, Ausnahmen für bestimmte Fälle gemäß Artikel 38 anwendbar sind und
  5. im Fall der Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation die zuständige Behörde, die die ursprüngliche Übermittlung durchgeführt hat, oder eine andere zuständige Behörde des gleichen Mitgliedstaats die Weiterübermittlung genehmigt nach gebührender Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittland oder der internationalen Organisation, an das bzw. die personenbezogene Daten weiterübermittelt werden.


(2) Die Mitgliedstaaten sehen vor, dass Übermittlungen ohne vorherige Genehmigung durch einen anderen Mitgliedstaat gemäß Absatz 1 Buchstabe c nur dann zulässig sind, wenn die Übermittlung der personenbezogenen Daten erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Die Behörde, die für die Erteilung der vorherigen Genehmigung zuständig ist, wird unverzüglich unterrichtet.


(3) Sämtliche Bestimmungen dieses Kapitels werden angewendet, um sicherzustellen, dass das durch diese Richtlinie gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.


Artikel 36

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden dürfen, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.


(2) Bei der Prüfung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission insbesondere
  1. die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. der betreffenden internationalen Organisation geltenden Vorschriften sowohl allgemeiner als auch sektoraler Art, auch in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht, und der Zugang der Behörden zu personenbezogenen Daten sowie die Durchsetzung dieser Vorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
  2. die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
  3. die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Rechtsinstrumenten sowie aus der Teilnahme des Drittlandes oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.


(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland beziehungsweise ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 dieses Artikels bietet. In dem Durchführungsrechtsakt wird ein Mechanismus für die regelmäßige Überprüfung vorgesehen, die mindestens alle vier Jahre erfolgt und bei der allen maßgeblichen Entwicklungen in dem Drittland oder der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b dieses Artikels genannte Aufsichtsbehörde oder die dort genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren erlassen.


(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 erlassenen Beschlüsse beeinträchtigen könnten.


(5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren oder in äußerst dringlichen Fällen gemäß dem in Artikel 58 Absatz 3 genannten Verfahren erlassen.

In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 58 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.


(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem Beschluss nach Absatz 5 geführt hat.


(7) Die Mitgliedstaaten sehen vor, dass Übermittlungen personenbezogener Daten an das betreffende Drittland, an das Gebiet oder einen oder mehrere spezifischen Sektoren in einem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 37 und 38 durch einen Beschluss nach Absatz 5 nicht berührt werden.


(8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländern beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese ein beziehungsweise kein angemessenes Schutzniveau für personenbezogene Daten bieten.


Artikel 37

Datenübermittlung vorbehaltlich geeigneter Garantien

(1) Liegt kein Beschluss nach Artikel 36 Absatz 3 vor, so sehen die Mitgliedstaaten vor, dass eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgen darf, wenn
  1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
  2. der Verantwortliche alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.


(2) Der Verantwortliche unterrichtet die Aufsichtsbehörde über Kategorien von Übermittlungen gemäß Absatz 1 Buchstabe b.


(3) Übermittlungen gemäß Absatz 1 Buchstabe b werden dokumentiert und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt.


Artikel 38

Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 36 vorliegt noch geeignete Garantien nach Artikel 37 bestehen, sehen die Mitgliedstaaten vor, dass eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener D
  1. zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person,
  2. zur Wahrung berechtigter Interessen der betroffenen Person, wenn dies im Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, vorgesehen ist,
  3. zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes,
  4. im Einzelfall für die in Artikel 1 Absatz 1 genannten Zwecke, oder
  5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in Artikel 1 Absatz 1 genannten Zwecken.


(2) Personenbezogene Daten dürfen nicht übermittelt werden, wenn die übermittelnde zuständige Behörde feststellt, dass Grundrechte und Grundfreiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung im Sinne des Absatzes 1 Buchstaben d und e überwiegen.


(3) Übermittlungen gemäß Absatz 1 werden dokumentiert und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogene Daten, der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt.


Artikel 39

Übermittlung personenbezogener Daten an in Drittländern niedergelassene Empfänger

(1) Abweichend von Artikel 35 Absatz 1 Buchstabe b und unbeschadet der in Absatz 2 dieses Artikels genannten internationalen Übereinkünfte kann das Unionsrecht oder das Recht der Mitgliedstaaten vorsehen, dass die in Artikel 3 Nummer 7 Buchstabe a genannten zuständigen Behörden im speziellen Einzelfall nur dann personenbezogene Daten direkt an in Drittländern niedergelassene Empfänger übermitteln dürfen, wenn die übrigen Bestimmungen dieser Richtlinie eingehalten werden und alle der folgende Voraussetzungen gegeben sind:
  1. Die Übermittlung ist für die Ausübung einer Aufgabe der übermittelnden zuständigen Behörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten für die in Artikel 1 Absatz 1 genannten Zwecke unbedingt erforderlich,
  2. die übermittelnde zuständige Behörde stellt fest, dass im konkreten Fall keine Grundrechte und Grundfreiheiten der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen,
  3. die übermittelnde zuständige Behörde hält die Übermittlung an eine für die in Artikel 1 Absatz 1 genannten Zwecke zuständige Behörde in dem Drittland für wirkungslos oder ungeeignet, insbesondere weil die Übermittlung nicht rechtzeitig durchgeführt werden kann,
  4. die für die in Artikel 1 Absatz 1 genannten Zwecke zuständige Behörde in dem Drittland wird unverzüglich unterrichtet, es sei denn, dies ist wirkungslos oder ungeeignet, und
  5. die übermittelnde zuständige Behörde teilt dem Empfänger den festgelegten Zweck oder die festgelegten Zwecke mit, für die die personenbezogenen Daten nur dann durch diesen verarbeitet werden dürfen, wenn eine derartige Verarbeitung erforderlich ist.


(2) Eine internationale Übereinkunft im Sinne des Absatzes 1 ist jede in Kraft befindliche bilaterale oder multilaterale internationale Übereinkunft zwischen Mitgliedstaaten und Drittländern im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit.


(3) Die übermittelnde zuständige Behörde unterrichtet die Aufsichtsbehörde über die Übermittlungen gemäß diesem Artikel.


(4) Übermittlungen gemäß Absatz 1 werden dokumentiert.


Artikel 40

Internationale Zusammenarbeit zum Schutz personenbezogener Daten

In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Mitgliedstaaten geeignete Maßnahmen zur
  1. Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,
  2. gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,
  3. Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,
  4. Förderung des Austausches und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.
 
Richtlinie (EU) 2016/680  |  Kapitel IV Abschnitt 3 «  Kapitel V »  Kapitel VI Abschnitt 1


Urheberrechtshinweis gem. Beschluss 2011/833/EU: © Europäische Union, http://eur-lex.europa.eu/, 1998-2016