§ 12 Grenzüberschreitender ... / c) Genehmigte Verhaltensregeln (CoC), Art. 46 Abs. 2 lit. e DSGVO
 

Rz. 39

Die grenzüberschreitende Datenübermittlung ist auch dann möglich, wenn ihr sog. genehmigte Verhaltensregeln (engl. Codes of Conduct, im Folgenden: "CoC") mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen (bzw. des Auftragsverarbeiters) im Drittland zugrunde liegen, Art. 46 Abs. 2 lit. e DSGVO.

aa) Zustandekommen und Umsetzung von CoC

 

Rz. 40

Verbände und andere Vereinigungen, die datenübermittelnde Unternehmen kleiner und mittlerer Größe repräsentieren, können CoC ausarbeiten und damit die abstrakten Bestimmungen der DSGVO praxisnah präzisieren (Art. 40 Abs. 2 DSGVO). Es handelt sich dabei also um branchen-, sektor- oder verbandsspezifische Leitlinien für die grenzüberschreitende Datenübermittlung inklusive organisatorischer Sicherheitsvorkehrungen.

Wenn diese CoC ein ausreichendes Datenschutzniveau bieten, werden sie von der jeweils zuständigen (Art. 55 DSGVO) nationalen Aufsichtsbehörde genehmigt (Art. 40 Abs. 5 DSGVO) und sodann vom EU-Datenschutzausschuss veröffentlicht (Art. 40 Abs. 9 DSGVO). Um als geeignete Garantien i.S.v. Art. 46 DSGVO zu gelten, müssen die CoC nicht nur vom EU-Datenübermittler, sondern von dem im Drittland ansässigen Datenempfänger verbindlich eingehalten werden. Dazu muss der im Drittland ansässige Verantwortliche (bzw. Auftragsverarbeiter) mittels vertraglicher oder sonstiger Instrumente vom EU-Datenübermittler an dessen CoC gebunden werden, Art. 40 Abs. 3 S. 2 DSGVO. Ob CoC den grenzüberschreitenden Datentransfer legitimieren können, hängt maßgeblich davon ab, wie effektiv die betroffenen Personen (z.B. Beschäftigte) die Rechte an ihren Daten in der Praxis durchsetzen können – etwa vor Gerichten oder Aufsichtsbehörden des Drittlands oder mittels Schiedsverfahrens. Über die tatsächliche Einhaltung der jeweiligen CoC wacht die nationale Aufsichtsbehörde oder eine von ihr akkreditierte Stelle, Art. 41 Abs. 1 DSGVO.

bb) Praktische Bewertung von CoC als Übermittlungsgrundlage

 

Rz. 41

Vorteil:

Keine gesonderte Genehmigung der einzelnen Datenübermittlung notwendig (Art. 46 Abs. 2 DSGVO).
 

Rz. 42

Nachteile:

Kooperation des zuständigen Verbands notwendig: Ob für das individuelle Unternehmen passende und belastbare CoC zustande kommen, hängt von der freiwilligen Mitwirkung des jeweils zuständigen Verbands ab.
Erheblicher Aufwand in dreierlei Hinsicht: Erstens ist eine sorgfältige Abstimmung zwischen Verband und Unternehmen über den Inhalt der CoC empfehlenswert (Erwägungsgrund 99 DSGVO). Zweitens droht ein komplexes Genehmigungsverfahren vor der nationalen Aufsichtsbehörde. Drittens muss die Bindung des im Drittland ansässigen Datenempfängers an die CoC sowie deren tatsächliche Umsetzung sichergestellt werden.
Gewinn an Rechtssicherheit nur dann, wenn CoC im Drittland tatsächlich beachtet werden.
 

Rz. 43

 

Praxistipp

Aufgrund des auffälligen Missverhältnisses zwischen Aufwand und Ertrag erscheint derzeit höchst zweifelhaft, ob sich CoC als Instrument zur Legitimation grenzüberschreitenden Verkehrs von Beschäftigtendaten in der Praxis durchsetzen können.

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Deutsches Anwalt Office Premium 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge