Ergänzend zu den Angemessenheitsbeschlüssen, über die im letzten Beitrag geschrieben wurde, gibt es noch weitere Möglichkeiten personenbezogene Daten in Drittstaaten zu übermitteln. Nach Art. 46 DSGVO können personenbezogene Daten vorbehaltlich geeigneter Garantien zum Datenschutz in Drittstaaten übersendet werden. Grundvoraussetzungen für geeignete Garantien sind, dass der betroffenen Person durchsetzbare Rechte und wirksame Rechtsbehelfe zum Schutz seiner personenbezogenen Daten bei dem Datenverarbeiter im Drittstaat gewährleistet werden. Die Garantien haben im Ergebnis das gesamte materielle Schutzrecht der DSGVO zu umfassen.

Artikel 46 DSGVO unterscheidet dabei in solche Garantien, die nicht von der Aufsichtsbehörde genehmigt werden müssen und solche, bei denen eine Genehmigung vorliegen muss.

Geeignete Garantien ohne Genehmigung der Aufsichtsbehörde (Art. 46 Abs. 2 DSGVO)

In Art. 46 Abs. 2 DSGVO werden in einer Liste mögliche geeignete Garantien aufgezählt. Diese Aufzählung ist jedoch nicht abschließend, weshalb dort noch Spielraum besteht auch andere geeignete Garantien einzuholen.

1. Behördenvereinbarungen
   Geeignete Garantien können sich aus einem rechtlich bindenden und durchsetzbaren Dokument zwischen Behörden und öffentlichen Stellen ergeben (sog. Behördenvereinbarungen). Damit sind gemeinsame Erklärungen zwischen öffentlichen Stellen mit rechtlicher Bindungswirkung und einklagbaren Rechten für betroffene gemeint. Mehr konkrete Vorgaben wurden vom Gesetzgeber hier nicht gemacht, weshalb diese Möglichkeit in der Praxis bisher kaum Bedeutung hat.
2. Verbindliche interne Datenschutzvorschriften
   Als Konzern verbundene Unternehmen können sich intern verbindliche Datenschutzvorschriften geben, um Daten innerhalb des Konzerns an Unternehmensstandorte in Drittstaaten zu übermitteln. Diese verbindlichen unternehmensinternen Vorschriften (zu Englisch: Binding Corporate Rules) sind vor Inkrafttreten von der zuständigen Datenschutzbehörde zu genehmigen.
3. Standarddatenschutzklauseln der Kommission
   Die EU- Kommission kann sogenannte Standarddatenschutzklauseln erlassen. Diese enthalten Regelungen, welche unverändert übernommen werden müssen, um eine geeignete Garantie für die Übermittlung von personenbezogenen Daten in Drittstaaten zu ermöglichen.
4. genehmigte Verhaltensregeln und Zertifizierungsmechanismus
   Genehmigte Verhaltensregeln nach Art. 40 DSGVO können ebenfalls eine geeignete Garantie für die Ermittlung von Daten darstellen. Hierzu können Interessenverbände und Vereinigungen, die bestimmte Kategorien von Verantwortlichen vertreten Verhaltensregeln zum Datenschutz aufstellen und diese von den Aufsichtsbehörden genehmigen lassen. Diese Verhaltensregeln können dann Grundlage für die Übermittlung von personenbezogenen Daten an einen Drittstaat sein. Bisher sind solche Verhaltensregeln jedoch noch kaum genutzt bzw. genehmigt worden, da die DSGVO noch nicht sehr lange in Kraft ist.
5. Zertifizierungsmechanismus
   Geeignete Garantien können auch aus einem genehmigten Zertifizierungsmechanismus gem. Art. 42 DSGVO bestehen. Hierbei müssen rechtsverbindliche und durchsetzbare Verpflichtungen zwischen Auftraggeber und dem Auftragsverarbeiter im Drittstaat geprüft und zertifiziert werden, um eine Übermittlung zu ermöglichen.

Festzuhalten bleibt, dass die DSGVO diverse Möglichkeiten bietet, geeignete Garantien zur Übermittlung von personenbezogenen Daten in einen Drittstaat zu entwickeln. Jedoch müssen einige dieser Möglichkeiten nach Einführung der DSGVO noch mit Leben gefüllt werden. So sind bisher beispielsweise kaum genehmigte Verhaltensweisen oder Zertifizierungsmaßnahmen im Einsatz.

Die bewährteste und meistgenutzte geeignete Garantie, um Daten übermitteln zu dürfen sind bisher noch die sogenannten EU-Standardvertragsklauseln, welche bereits 2010 beschlossen wurden und noch immer genutzt werden können. Zu finden sind diese in allen Amtssprachen der EU hier: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32010D0087