News

Europäischer Daten­schutz­ausschuss: Aktualisierte Empfehlungen zu internationalen Daten­transfers

30.06.2021

Im Nachgang zur Entscheidung des Europäischen Gerichtshofs (EuGH) am 16.07.2020 in der Sache Schrems II  hatte der Europäische Datenschutzausschuss (EDSA) am 11.11.2020 ausführliche Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers zur öffentlichen Konsultation freigegeben (wir berichteten).

Am 18.06.2021 hat der EDSA nun die mit Spannung erwartete finale Fassung der Empfehlungen zu ergänzenden Maßnahmen verabschiedet.

Nach wie vor beschreibt der EDSA in seinen Empfehlungen die wesentlichen Schritte, die Datenexporteure vor dem Hintergrund ihrer datenschutzrechtlichen Rechenschaftspflicht unternehmen sollten:

  1. Analyse der Datentransfers in Drittländer („Know Your Transfers“)
  2. Identifikation der verwendeten Transferwerkzeuge
  3. Beurteilung der Wirksamkeit der Transferwerkzeuge
  4. Identifizierung angemessener ergänzender Maßnahmen
  5. Implementierung ergänzender Maßnahmen
  6. Regelmäßige Evaluierung

Im Vergleich zur Vorfassung enthält die umfangreich überarbeitete finale Fassung einige bedeutende Änderungen, die zukünftig bei der Bewertung internationaler Datentransfers zu berücksichtigen sind, insbesondere zu folgenden Themen:

  • Die Ausnahmen des Art. 49 (auch der Rückgriff auf Einwilligungen der Betroffenen) sollen keine „Regel“ für die Praxis werden, sondern sich auf spezifische (Verarbeitungs-)Situationen beschränken. Auch wenn der Ausnahmecharakter des Art. 49 DS-GVO nochmals klar betont wird, bietet der neue Wortlaut aus unserer Sicht zumindest gewisse Anhaltspunkte dafür, dass der EDSA nun eine im Vergleich zur Konsultationsfassung in der Tendenz weitere Lesart des Art. 49 DS-GVO vornimmt. In der Konsultationsfassung war der Rückgriff auf Art. 49 noch (in der Tendenz enger) auf „gelegentlichen und nicht wiederholenden Transfer“ beschränkt worden (Rn. 25 der Empfehlungen).

  • Die finalen Empfehlungen legen einen stärkeren Fokus auf die Praxis der Behörden im jeweiligen Drittland (vgl. Rn. 43). Wenn relevante Gesetzgebung im Drittland vollständig fehlt, ist die jeweilige Behördenpraxis einzige Grundlage der datenschutzrechtlichen Bewertung (vgl. Rn. 43.2). Gibt es hingegen entsprechende Rechtsvorschriften, die den Zugriff von Behörden regeln, ist die jeweilige Behördenpraxis als weiterer Faktor in die Prüfung mit einzubeziehen und kann sich sowohl negativ als auch positiv auf die Zulässigkeit eines Transfers auswirken:

    • Negativ ist die Behördenpraxis zu berücksichtigen, wenn das Recht des Drittlandes formell europäischen Standards entspricht, die zuständigen Behörden diesen rechtlichen Standards in ihrer Praxis aber de facto nicht folgen und damit zu befürchten ist, dass die in den Übermittlungsinstrumenten der DS-GVO vorgesehenen Garantien beeinträchtigt werden.

    • Positiv wirkt sich die Behördenpraxis hingegen aus, wenn zwar möglicherweise eine auf dem Papier „problematische Gesetzeslage“ im Drittland gegeben ist (also Rechtsvorschriften im Drittland die Wirksamkeit der in der DS-GVO vorgesehenen Übermittlungsinstrumente beeinträchtigten könnten), die Behördenpraxis aber dazu führt, dass eine Beeinträchtigung der in den Übermittlungsinstrumenten (etwa Standarddatenschutzklauseln) vorgesehenen Garantien für den jeweils zu beurteilenden Transfer faktisch nicht zu befürchten ist.

  • Insgesamt verfolgt der EDSA damit im Ergebnis eine Art „risikobasierten“ Ansatz unter besonderer Berücksichtigung der Praxis. Ein „risikobasiertes“ Vorgehen hatten auch Stellungnahmen zu den EDSA-Empfehlungen im Rahmen des Konsultationsverfahrens vorgeschlagen. Nach den Ausführungen des EDSA kann im Ergebnis selbst ein Transfer in ein Drittland mit „problematischer Gesetzeslage“ ohne ergänzende Maßnahmen zulässig sein, wenn der Verantwortliche nach sorgfältiger und im Detail dokumentierter Prüfung zur Auffassung gelangt, dass das in Rede stehende „problematische“ Gesetz des Drittlandes so interpretiert oder in der Praxis angewandt wird, dass es auf den Datenimporteur oder die übermittelten Daten im konkreten Fall keine Anwendung findet (Rn. 43.3).

    Grundlage der Prüfung sollten neben dem geltenden Recht des Drittlandes „relevante, verlässliche, prüfbare und öffentlich zugängliche“ Informationen sein, wobei Informationen durch den Datenimporteur und die praktische Erfahrung des Datenimporteurs ausdrücklich einbezogen werden können (Rn. 44 ff.). Vorsicht ist allerdings geboten, wenn nach dem Recht des Drittlandes ein Zugriff auf Daten auch ganz ohne Zutun des Datenimporteurs stattfinden könnte.
  • Kommt man bei der oben beschriebenen Prüfung zu dem Ergebnis, dass in der Praxis für die jeweilige Übermittlung kein hinreichendes Schutzniveau besteht, wären ergänzende Maßnahmen erforderlich. Hier liegt der Fokus weiterhin bei den technischen Maßnahmen, insbesondere der Verschlüsselung in einer Weise, dass der Datenimporteuer keinen Zugriff auf die jeweiligen Daten hat.

Dreh- und Angelpunkt eines jeden Transfers personenbezogener Daten in sogenannte „unsichere“ Drittländer bleibt damit eine detaillierte, dokumentierte und gründliche (rechtliche) Analyse der Situation des jeweiligen Drittlandes unter ausdrücklicher Berücksichtigung der objektiv nachvollziehbaren Praxis des jeweiligen Drittlandes.

In der Pressemitteilung zu seinen Empfehlungen betont der EDSA nochmals, dass die Auswirkungen von Schrems-II nicht unterschätzt werden dürfen und der internationale Datentransfer bereits im Fokus der Aufsichtsbehörden steht. Dennoch sind die oben beschriebenen Anpassungen der Empfehlungen gerade für die Nutzung von US-Cloud-Diensten im Vergleich zur Vorfassung zumindest ein Lichtblick (Rn. 49).

Wir empfehlen daher weiterhin, die Datentransfers im Unternehmen einer gründlichen Prüfung zu unterziehen und vor dem Hintergrund der finalen Empfehlungen einen besonderen Fokus auf die Dokumentation der Prüfung zu legen.

Weiterführende Links:

 

 

Kontakt

Daniel Rücker
Daniel Rücker+49 89 28628457
Korbinian Hartl
Korbinian Hartl+49 89 28628542
Alexander Brandt
Alexander Brandt+49 89 28628457

Datenschutz
Digital Business
Data Competence Center

Share

Alle anzeigen

Insights

LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
horizontal escalator airport with pulse
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

17.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024
balloon sky
News

EGMR entscheidet über drei „Klimaklagen“ – wegweisender Erfolg für zukünftige Klimaschutzklagen?

16.04.2024
car trails lights
News

Ein neuer verbindlicher Rechts­rahmen für die Lade­infrastruktur in Europa – EU-weites Inkrafttreten der AFIR und Veröffentlichung der Q&A durch die EU-Kommission

16.04.2024
binoculars sun with pulse
News

Russland-Sanktionen:­ Reporting­pflichten für EU-Banken konkretisiert

16.04.2024
Hand berührt LED-Wandbildschirm
News

Data Compliance Governance

16.04.2024
abstraktes Textilmuster
News

Rabatte und Boni wieder auf der Agenda der Kartell­behörden

15.04.2024