(1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
b) verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
e) genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
f) einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
(3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in
a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
(4) Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
(5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
Artikel 6: Rechtmäßigkeit der Verarbeitung
Artikel 7: Bedingungen für die Einwilligung
Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten
Artikel 11: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Artikel 15: Auskunftsrecht der betroffenen Person
Artikel 16: Recht auf Berichtigung
Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)
Artikel 18: Recht auf Einschränkung der Verarbeitung
Artikel 20: Recht auf Datenübertragbarkeit
Artikel 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen
Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 26: Gemeinsam Verantwortliche
Artikel 28: Auftragsverarbeiter
Artikel 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Artikel 30: Verzeichnis von Verarbeitungstätigkeiten
Artikel 31: Zusammenarbeit mit der Aufsichtsbehörde
Artikel 32: Sicherheit der Verarbeitung
Artikel 33: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Artikel 35: Datenschutz-Folgenabschätzung
Artikel 36: Vorherige Konsultation
Artikel 37: Benennung eines Datenschutzbeauftragten
Artikel 38: Stellung des Datenschutzbeauftragten
Artikel 39: Aufgaben des Datenschutzbeauftragten
Artikel 44: Allgemeine Grundsätze der Datenübermittlung
Artikel 45: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Artikel 46: Datenübermittlung vorbehaltlich geeigneter Garantien
Artikel 47: Verbindliche interne Datenschutzvorschriften
Artikel 48: Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Artikel 49: Ausnahmen für bestimmte Fälle
Artikel 50: Internationale Zusammenarbeit zum Schutz personenbezogener Daten
Artikel 61: Gegenseitige Amtshilfe
Artikel 62: Gemeinsame Maßnahmen der Aufsichtsbehörden
Artikel 64: Stellungnahme des Ausschusses
Artikel 65: Streitbeilegung durch den Ausschuss
Artikel 66: Dringlichkeitsverfahren
Artikel 67: Informationsaustausch
Artikel 68: Europäischer Datenschutzausschuss
Artikel 70: Aufgaben des Ausschusses
Artikel 77: Recht auf Beschwerde bei einer Aufsichtsbehörde
Artikel 78: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
Artikel 80: Vertretung von betroffenen Personen
Artikel 81: Aussetzung des Verfahrens
Artikel 82: Haftung und Recht auf Schadenersatz
Artikel 83: Allgemeine Bedingungen für die Verhängung von Geldbußen
Artikel 85: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
Artikel 86: Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Artikel 87: Verarbeitung der nationalen Kennziffer
Artikel 88: Datenverarbeitung im Beschäftigungskontext
