News

Europäischer Daten­schutz­ausschuss: Aktualisierte Empfehlungen zu internationalen Daten­transfers

30.06.2021

Im Nachgang zur Entscheidung des Europäischen Gerichtshofs (EuGH) am 16.07.2020 in der Sache Schrems II  hatte der Europäische Datenschutzausschuss (EDSA) am 11.11.2020 ausführliche Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers zur öffentlichen Konsultation freigegeben (wir berichteten).

Am 18.06.2021 hat der EDSA nun die mit Spannung erwartete finale Fassung der Empfehlungen zu ergänzenden Maßnahmen verabschiedet.

Nach wie vor beschreibt der EDSA in seinen Empfehlungen die wesentlichen Schritte, die Datenexporteure vor dem Hintergrund ihrer datenschutzrechtlichen Rechenschaftspflicht unternehmen sollten:

  1. Analyse der Datentransfers in Drittländer („Know Your Transfers“)
  2. Identifikation der verwendeten Transferwerkzeuge
  3. Beurteilung der Wirksamkeit der Transferwerkzeuge
  4. Identifizierung angemessener ergänzender Maßnahmen
  5. Implementierung ergänzender Maßnahmen
  6. Regelmäßige Evaluierung

Im Vergleich zur Vorfassung enthält die umfangreich überarbeitete finale Fassung einige bedeutende Änderungen, die zukünftig bei der Bewertung internationaler Datentransfers zu berücksichtigen sind, insbesondere zu folgenden Themen:

  • Die Ausnahmen des Art. 49 (auch der Rückgriff auf Einwilligungen der Betroffenen) sollen keine „Regel“ für die Praxis werden, sondern sich auf spezifische (Verarbeitungs-)Situationen beschränken. Auch wenn der Ausnahmecharakter des Art. 49 DS-GVO nochmals klar betont wird, bietet der neue Wortlaut aus unserer Sicht zumindest gewisse Anhaltspunkte dafür, dass der EDSA nun eine im Vergleich zur Konsultationsfassung in der Tendenz weitere Lesart des Art. 49 DS-GVO vornimmt. In der Konsultationsfassung war der Rückgriff auf Art. 49 noch (in der Tendenz enger) auf „gelegentlichen und nicht wiederholenden Transfer“ beschränkt worden (Rn. 25 der Empfehlungen).

  • Die finalen Empfehlungen legen einen stärkeren Fokus auf die Praxis der Behörden im jeweiligen Drittland (vgl. Rn. 43). Wenn relevante Gesetzgebung im Drittland vollständig fehlt, ist die jeweilige Behördenpraxis einzige Grundlage der datenschutzrechtlichen Bewertung (vgl. Rn. 43.2). Gibt es hingegen entsprechende Rechtsvorschriften, die den Zugriff von Behörden regeln, ist die jeweilige Behördenpraxis als weiterer Faktor in die Prüfung mit einzubeziehen und kann sich sowohl negativ als auch positiv auf die Zulässigkeit eines Transfers auswirken:

    • Negativ ist die Behördenpraxis zu berücksichtigen, wenn das Recht des Drittlandes formell europäischen Standards entspricht, die zuständigen Behörden diesen rechtlichen Standards in ihrer Praxis aber de facto nicht folgen und damit zu befürchten ist, dass die in den Übermittlungsinstrumenten der DS-GVO vorgesehenen Garantien beeinträchtigt werden.

    • Positiv wirkt sich die Behördenpraxis hingegen aus, wenn zwar möglicherweise eine auf dem Papier „problematische Gesetzeslage“ im Drittland gegeben ist (also Rechtsvorschriften im Drittland die Wirksamkeit der in der DS-GVO vorgesehenen Übermittlungsinstrumente beeinträchtigten könnten), die Behördenpraxis aber dazu führt, dass eine Beeinträchtigung der in den Übermittlungsinstrumenten (etwa Standarddatenschutzklauseln) vorgesehenen Garantien für den jeweils zu beurteilenden Transfer faktisch nicht zu befürchten ist.

  • Insgesamt verfolgt der EDSA damit im Ergebnis eine Art „risikobasierten“ Ansatz unter besonderer Berücksichtigung der Praxis. Ein „risikobasiertes“ Vorgehen hatten auch Stellungnahmen zu den EDSA-Empfehlungen im Rahmen des Konsultationsverfahrens vorgeschlagen. Nach den Ausführungen des EDSA kann im Ergebnis selbst ein Transfer in ein Drittland mit „problematischer Gesetzeslage“ ohne ergänzende Maßnahmen zulässig sein, wenn der Verantwortliche nach sorgfältiger und im Detail dokumentierter Prüfung zur Auffassung gelangt, dass das in Rede stehende „problematische“ Gesetz des Drittlandes so interpretiert oder in der Praxis angewandt wird, dass es auf den Datenimporteur oder die übermittelten Daten im konkreten Fall keine Anwendung findet (Rn. 43.3).

    Grundlage der Prüfung sollten neben dem geltenden Recht des Drittlandes „relevante, verlässliche, prüfbare und öffentlich zugängliche“ Informationen sein, wobei Informationen durch den Datenimporteur und die praktische Erfahrung des Datenimporteurs ausdrücklich einbezogen werden können (Rn. 44 ff.). Vorsicht ist allerdings geboten, wenn nach dem Recht des Drittlandes ein Zugriff auf Daten auch ganz ohne Zutun des Datenimporteurs stattfinden könnte.
  • Kommt man bei der oben beschriebenen Prüfung zu dem Ergebnis, dass in der Praxis für die jeweilige Übermittlung kein hinreichendes Schutzniveau besteht, wären ergänzende Maßnahmen erforderlich. Hier liegt der Fokus weiterhin bei den technischen Maßnahmen, insbesondere der Verschlüsselung in einer Weise, dass der Datenimporteuer keinen Zugriff auf die jeweiligen Daten hat.

Dreh- und Angelpunkt eines jeden Transfers personenbezogener Daten in sogenannte „unsichere“ Drittländer bleibt damit eine detaillierte, dokumentierte und gründliche (rechtliche) Analyse der Situation des jeweiligen Drittlandes unter ausdrücklicher Berücksichtigung der objektiv nachvollziehbaren Praxis des jeweiligen Drittlandes.

In der Pressemitteilung zu seinen Empfehlungen betont der EDSA nochmals, dass die Auswirkungen von Schrems-II nicht unterschätzt werden dürfen und der internationale Datentransfer bereits im Fokus der Aufsichtsbehörden steht. Dennoch sind die oben beschriebenen Anpassungen der Empfehlungen gerade für die Nutzung von US-Cloud-Diensten im Vergleich zur Vorfassung zumindest ein Lichtblick (Rn. 49).

Wir empfehlen daher weiterhin, die Datentransfers im Unternehmen einer gründlichen Prüfung zu unterziehen und vor dem Hintergrund der finalen Empfehlungen einen besonderen Fokus auf die Dokumentation der Prüfung zu legen.

Weiterführende Links: