DSG:§ 58. Allgemeine Grundsätze für die Übermittlung personenbezogener Daten: Unterschied zwischen den Versionen

Aus Datencockpit
Wechseln zu:Navigation, Suche
Keine Bearbeitungszusammenfassung
 
(kein Unterschied)

Aktuelle Version vom 3. November 2017, 20:33 Uhr

Inhaltsverzeichnis

(1)

Eine Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, durch zuständige Behörden ist nur zulässig, wenn die Bestimmungen dieses Hauptstücks eingehalten werden und

  1. die Übermittlung für die in § 36 Abs. 1 genannten Zwecke erforderlich ist,
  2. die personenbezogenen Daten an einen Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in § 36 Abs. 1 genannten Zwecke zuständige Behörde ist, übermittelt werden,
  3. in Fällen, in denen personenbezogene Daten aus einem anderen Mitgliedstaat der EU übermittelt oder zur Verfügung gestellt werden, dieser Mitgliedstaat die Übermittlung zuvor genehmigt hat,
  4. die Europäische Kommission gemäß § 59 Abs. 1 und 2 einen Angemessenheitsbeschluss gefasst hat oder, wenn kein solcher Beschluss vorliegt, geeignete Garantien im Sinne des § 59 Abs. 3 bis 5 erbracht wurden oder bestehen oder, wenn kein Angemessenheitsbeschluss gemäß § 59 Abs. 1 und 2 vorliegt und keine geeigneten Garantien im Sinne des § 59 Abs. 3 bis 5 vorhanden sind, Ausnahmen für bestimmte Fälle gemäß § 59 Abs. 6 und 7 anwendbar sind und
  5. sichergestellt ist, dass eine Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation nur aufgrund einer vorherigen Genehmigung der zuständigen Behörde, die die ursprüngliche Übermittlung durchgeführt hat, und unter gebührender Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittland oder der internationalen Organisation, an das bzw. die personenbezogene Daten weiterübermittelt werden, zulässig ist.

(2)

Eine Übermittlung ohne vorherige Genehmigung gemäß Abs. 1 Z 3 ist nur zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Die für die Erteilung der vorherigen Genehmigung zuständige Behörde ist unverzüglich zu unterrichten.

(3)

Ersucht eine zuständige Behörde eines anderen Mitgliedstaates der EU um Genehmigung zur Übermittlung von personenbezogenen Daten, die ursprünglich aus dem Inland übermittelt wurden, an ein Drittland oder eine internationale Organisation gemäß Abs. 1 Z 3, so ist zur Erteilung dieser Genehmigung jene zuständige Behörde zuständig, die die personenbezogenen Daten ursprünglich übermittelt hat, soweit nicht gesetzlich anderes angeordnet ist.

Erläuterung zu § 58. Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

Mit dieser Bestimmung wird Art. 38 der Richtlinie (EU) 2016/680 umgesetzt.

Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen zu den in § 34 genannten Zwecken dürfen nur an für die genannten Zwecke zuständige Behörden im jeweiligen Drittland bzw. in der jeweiligen internationalen Organisation erfolgen. Eine Übermittlung an sonstige Empfänger (zB private Unternehmen) ist hingegen grundsätzlich ausgeschlossen; um allfällige personenbezogene Daten an Private zu übermitteln, sind die in Rechtsschutzabkommen vorgesehenen offiziellen Kanäle einzuhalten.

Auftragsverarbeiter dürfen derartige Übermittlungen nur aufgrund eines ausdrücklichen Auftrages des Verantwortlichen durchführen (vgl. Erwägungsgrund 64 der Richtlinie (EU) 2016/680).

Datenübermittlungen in Drittländer oder internationale Organisationen können aufgrund einer Angemessenheitsentscheidung der Europäischen Kommission, mit der ein angemessenes Datenschutzniveau festgestellt wird (§ 59), falls eine solche nicht vorhanden ist aufgrund geeigneter Garantien (§ 60) oder falls auch diese nicht vorliegen in bestimmten Ausnahmefällen erfolgen (§ 61).

Für die Weiterübermittlung von personenbezogenen Daten, die ursprünglich aus einem anderen Mitgliedstaat stammen, an Drittländer oder internationale Organisationen ist gemäß Abs. 1 Z 3 eine vorherige Genehmigung durch die zuständige Behörde jenes Mitgliedstaats, der die personenbezogenen Daten ursprünglich übermittelt hat, erforderlich. Wird ein derartiges Genehmigungsersuchen von einem anderen Mitgliedstaat der EU gestellt, ist vorbehaltlich abweichender materiengesetzlicher Regelungen zur Erteilung der Genehmigung jene Behörde zuständig, die die personenbezogenen Daten ursprünglich an den anderen Mitgliedstaat übermittelt hat. Von dem Erfordernis einer Vorabgenehmigung kann nur in bestimmten dringenden Ausnahmefällen abgesehen werden.

Um sicherzustellen, dass datenschutzrechtliche Vorgaben nicht dadurch unterlaufen werden können, dass die an ein Drittland oder eine internationale Organisation übermittelten personenbezogenen Daten in der Folge von diesem an ein anderes Drittland oder eine andere internationale Organisation weiterübermittelt werden, muss bei jeder Übermittlung an ein Drittland oder eine internationale Organisation gemäß Abs. 1 Z 5 eine Genehmigungspflicht für derartige Weiterübermittlungen verbindlich verankert werden. Dies kann insbesondere im Rahmen von Polizeikooperations- und Rechtshilfeabkommen erfolgen. Bei der Erteilung dieser Genehmigung sind insbesondere die in Abs. 1 Z 5 angeführten Faktoren zu prüfen und zu berücksichtigen.

Die zuständige Behörde, die die ursprüngliche Übermittlung durchgeführt hat, kann die Weiterübermittlung auch an besondere Bedingungen knüpfen (zB Bearbeitungscodes; vgl. Erwägungsgrund 65).

Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 6. Mai 2016 geschlossen wurden und die mit dem vor dem genannten Datum geltenden Unionsrecht vereinbar sind, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden (siehe Art. 61 der Richtlinie (EU) 2016/680).

Fragestellungen Fragestellungen: 0

Derzeit sind keine Fragestellungen zu diesem Paragraphen vorhanden.

Diskussionsbeiträge Diskussion

Metadaten Metadaten

  • Nummer: 58
  • Bezeichnung: Allgemeine Grundsätze für die Übermittlung personenbezogener Daten
  • Hauptstück: 3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
  • Abschnitt: 4. Abschnitt. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
  • Fragestellungen:
  • Paragraph unverändert
  • Letzte Änderung: 3. 11. 2017 durch Melnicki (ID: 404, Revision 1126)