Europäischer Datenschutzausschuss veröffentlicht ein Papier mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer
Der Europäische Datenschutzausschuss (EDSA) hat am 11.11.2020 ein Papier zu sog. zusätzlichen Maßnahmen veröffentlicht, die Unternehmen und andere Datenexporteure ggf. ergreifen müssen, wenn sie personenbezogene Daten in Drittländer übermitteln.
Anlass ist das Urteil des Europäischen Gerichtshofs (EuGH) in vom 16.07.2020 ("Schrems II"), in dem der EuGH betont hat, dass Datenexporteure, die personenbezogene Daten in Drittländer auf der Grundlage von sog. Garantien nach Art. 46 DSGVO (z.B. auf Grundlage von Standarddatenschutzklauseln) übermitteln möchten, die Pflicht haben zu prüfen, ob die Daten angesichts der Rechtslage im Drittland einen gleichwertigen Schutz mit dem in der EU geltenden Schutz genießen. Datenexporteure müssen dabei insbesondere prüfen, inwieweit die (insbesondere Sicherheits-) Behörden im Zielland Zugriff zu den Daten in einem Umfang haben können, der über das nach EU-Recht akzeptable Maß hinausgeht. Sie müssen ferner auch prüfen, ob betroffenen Personen im Zielland Rechtsmittel gegen Datenzugriffe der dortigen Behörden zustehen.
Kommt der Datenexporteur bei dieser Prüfung zum Ergebnis, dass im Drittland für die übermittelten Daten kein gleichwertiges Schutzniveau mit dem in der EU geltenden Schutz gewährleistet werden kann, muss er – wenn er dennoch übermitteln möchte - prüfen, ob ein gleichwertiges Schutzniveau evtl. mit Hilfe zusätzlicher Maßnahmen erreicht werden kann.Ist auch das nicht möglich, darf er die Daten nicht übermitteln.
In seinem Papier vom 11.11.2020 gibt der EDSA den Anwendern wichtige Hinweise dazu, welche Gesichtspunkte sie im Rahmen der von Ihnen vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigen müssen. Zudem gibt der EDSA für eine Reihe typischer Szenarien („Use Cases“) Hinweise dazu, inwieweit es möglich ist, überhaupt mit Hilfe zusätzlicher Maßnahmen das geforderte Schutzniveau zu erreichen, und inwieweit dies ggf. für bestimmte Fallgruppen nicht möglich ist. Unternehmen und andere Datenexporteuren ist nachdrücklich zu raten, die Ausführungen des EDSA sorgfältig zu lesen. Sie haben – wie der EuGH im o.g. Urteil betont hat – die Pflicht, vor einer Übermittlung personenbezogener Daten in ein Drittland zu prüfen, ob das o.g. Schutzniveau gewährleistet ist; ist dies nicht der Fall – und kann ein mit der EU vergleichbarer Schutz auch nicht mit Hilfe „zusätzlicher Maßnahmen“ gewährleistet werden -, darf die Übermittlung nicht stattfinden.
Das Papier des EDSA findet sich hier.
Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 30.11.2020 gegeben. Interessierte können unter der auf o.g. Website genannten Link das Papier gegenüber dem EDSA kommentieren. Ungeachtet der laufenden Öffentlichen Konsultation geben die in dem Papier vom EDSA gemachten Ausführungen die derzeitige Position der Datenschutzaufsichtsbehörden im Europäischen Datenschutzausschuss wieder und werden von den Aufsichtsbehörden im Rahmen ihrer Tätigkeit bereits grundsätzlich zu Grunde gelegt.