Mitarbeiterdatenschutz bei Datenübermittlungen in Drittl ... / 5 Weitere geeignete Garantien gem. Art. 46 DSGVO

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren.

Einzeln ausgehandelte Vertragsklauseln

Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zuständige Aufsichtsbehörde durchlaufen, im Rahmen dessen auch andere europäische Aufsichtsbehörden konsultiert werden.

Verbindliche interne Datenschutzvorschriften

Gerade für international tätige Großkonzerne mit internem Datenfluss in Drittländer kommen auch verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, "BCR") für die Übermittlung von Mitarbeiterdaten in Drittstaaten infrage. Im Rahmen der BCR werden Regelungen für den Umgang mit personenbezogenen Daten festgelegt, die für alle beteiligten Mitglieder rechtlich bindend sind und den betroffenen Personen durchsetzbare Rechte gewähren müssen. Ebenso wie einzeln ausgehandelte Vertragsklauseln müssen die BCR durch die zuständige Aufsichtsbehörde nach Rücksprache mit anderen europäischen Aufsichtsbehörden genehmigt werden.

Genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus

Aufsichtsbehörden können branchenspezifische Verhaltensregeln oder Zertifizierungsmechanismen genehmigen. Dann können Verantwortliche nach entsprechender Zertifizierung durch die Zertifizierungsstelle oder die zuständige Aufsichtsbehörde Mitarbeiterdaten in das entsprechende Drittland übermitteln. Hierbei müssen Verantwortliche jedoch sicherstellen, dass die Verpflichtungen der Parteien, insbesondere hinsichtlich der Betroffenenrechte, rechtsverbindlich und im jeweiligen Drittland durchsetzbar sind. Sofern Arbeitgeber Mitarbeiterdaten auf Grundlage genehmigter Verhaltensregeln oder genehmigter Zertifizierungsmechanismen übermitteln wollen, empfiehlt sich die Lektüre der entsprechenden Leitlinien des Europäischen Datenschutzausschusses zu Verhaltensregeln und Zertifizierung als Instrument für Übermittlungen.^[1]

[1] Leitlinien 4/2021 über Verhaltensregeln als Instrument für Übermittlungen v. 22.2.2022 und Leitlinien 7/2022 über die Zertifizierung als Instrument für Übermittlungen v. 14.2.2023.