Eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau ist zulässig, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DS-GVO). Wohl am häufigsten werden die Standarddatenschutzklauseln verwendet, die die Europäische Kommission erlassen hat. Von Unternehmensgruppen werden manchmal verbindliche interne Datenschutzvorschriften (BCR) genutzt. Bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen.
Die Instrumente können ohne besondere Genehmigung einer Aufsichtsbehörde für die konkrete Übermittlung verwendet werden (Art. 46 Abs. 1 DS-GVO).
Rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen
Dieses Instrument ist nur für öffentliche Stellen von Bedeutung.
Der Europäische Datenschutzausschuss hat hierzu die Leitlinien 2/2020 beschlossen.
Standarddatenschutzklauseln, die von einer Aufsichtsbehörde angenommen und von der Europäischen Kommission genehmigt wurden
Solche Standarddatenschutzklauseln gibt es bisher nicht. Die LDI NRW plant solche Klauseln nicht.
Genehmigte Verhaltensregeln
Verhaltensregeln nach Art. 40 DS-GVO können zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittland zur Anwendung der geeigneten Garantien verwendet werden.
Genehmigter Zertifizierungsmechanismus
Eine Zertifizierung gemäß Art. 42 DS-GVO kann zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittland zur Anwendung der geeigneten Garantien verwendet werden.
Darüber hinaus können datenübermittelnde Stellen andere, individuelle Garantien umsetzen, etwa individuelle Verträge. Art. 46 Abs. 3 DS-GVO führt beispielhaft zwei mögliche individuelle Übermittlungsinstrumente auf. Diese Auflistung ist, anders als die in Absatz 2, nicht abschließend. Datenübermittelnde Stellen können also eigene individuelle Garantien entwickeln, müssen diese aber zur Genehmigung vorlegen. Deren Schutzniveau darf jedoch nicht hinter dem Schutzniveau der detaillierter ausgestalteten Garantien zurückbleiben. Vor einer Genehmigung ist das Kohärenzverfahren zur europaweiten Abstimmung anzuwenden (Art. 46 Abs. 4 DS-GVO).
Zu Verwaltungsvereinbarungen (Art. 46 Abs. 3 Buchstabe b) DS-GVO) hat der Europäische Datenschutzausschuss hat die Leitlinien 2/2020 beschlossen.
Insgesamt sollte zunächst eine Abstimmung mit den zuständigen Aufsichtsbehörden über den Anwendungsbereich eigener individueller Garantien vorgenommen werden. Die LDI NRW hat bisher solche Instrumente nicht genehmigt.
Von einer Aufsichtsbehörde auf der früher geltenden Grundlage von Art. 26 Absatz 2 der EU-Datenschutzrichtlinie RL 95/46/EG erteilte Genehmigungen bleiben vorerst gültig (siehe Art. 46 Abs. 5 DS-GVO).