Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


14.11.2020

Europäischer Datenausschuss: Zusätzliche Maßnahmen für Datenübermittlungen in Drittländer

Der Europäische Datenschutzausschuss (EDSA) hat diese Woche Empfehlungen zu zusätzlichen Maßnahmen veröffentlicht, die Unternehmen ergreifen müssen, wenn sie personenbezogene Daten in Drittländer übermitteln: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.

Hintergrund

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16.7.2020 (Az. C-311/18, Schrems II)) können personenbezogene Daten nicht mehr auf der Grundlage des EU-US-Privacy Shield („Privacy Shield“) in die USA übermittelt werden (Datenschutz-News v. 17.7.2020). Daher bedarf es einer Alternative, die jedoch derzeit schwierig zu finden ist. Die naheliegendste Lösung, auf Standarddatenschutzklauseln zurückzugreifen, erfordert nach dem Urteil des EuGH zusätzliche Maßnahmen. Wie diese konkret aussehen können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden. Schließlich gelten die zusätzlichen Anforderungen an den Einsatz von Standarddatenschutzklauseln für jedes Drittland, sofern kein Angemessenheitsbeschluss der EU-Kommission vorliegt (s. dazu Datenschutz-News v. 17.7.2020).

Es obliegt dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Diese Pflicht zur Überprüfung gilt im Übrigen für jede Grundlage gemäß Art. 46 DSGVO, also nicht nur Standarddatenschutzklauseln, sondern z.B. auch verbindliche interne Datenschutzvorschriften (Corporate Bindung Rules). Erst nach einer solchen Risikoprüfung unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln oder Corporate Binding Rules etc. zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien.

In dem EDSA-Papier werden Aspekte aufgezeigt, die in der vom Datenexporteur vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigt werden müssen. Diese Punkte sind eingebettet in eine „Roadmap“ mit einer strukturierten Vorgehensweise für diese Prüfung. Außerdem werden Beispiele für – wirksame und nicht wirksame – zusätzliche Maßnahmen genannt und Anwendungsfälle aufgezeigt. Wenig überraschend stellt der EDSA heraus, dass es bei staatlichen Zugriffen nicht ausreicht, wenn die zusätzlichen Maßnahmen lediglich vertraglicher und organisatorischer Art sind. Das ist insbesondere für die USA praxisrelevant, ohne dass der EDSA hierzu explizit Stellung bezieht.

Fazit und Praxishinweise

Das EDSA-Papier ist bis zum 30.11.2020 Gegenstand der öffentlichen Konsultation, bevor es eine finale Version geben wird.

Die deutschen Datenschutzaufsichtsbehörden wie z.B. das Bayerische Landesamt für Datenschutzaufsicht weisen darauf hin, dass die veröffentlichte Version die derzeitige Position der Datenschutzaufsichtsbehörden wiedergeben und von der Aufsicht im Rahmen ihrer Tätigkeit bereits grundsätzlich zu Grunde gelegt wird. Allein das ist ein guter Grund, das EDSA-Papier sorgfältig durchzuarbeiten, Datenübermittlungen in Drittländer auf dieser Grundlage zu überprüfen und erforderlichenfalls anzupassen. Hierzu können die Informationen des EDSA eine gute Hilfestellung bieten.

Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht