EDSA-Empfehlungen zu Schrems II und neue Standardvertragsklauseln veröffentlicht
18.227.209.101Am 12. November 2020 wurden zwei wichtige Dokumente im Zusammenhang mit dem jüngsten Urteil des Europäischen Gerichtshofs zum Datentransfer in Drittländer („Schrems II“ / C-311/18) veröffentlicht. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte seine „Empfehlungen an Maßnahmen, die die Übertragungsinstrumente („transfer tools“) ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten“. Darüber hinaus hat die Europäische Kommission einen Entwurf für eine Durchführungsentscheidung zu aktualisierten Standardvertragsklauseln (SCCs) veröffentlicht.
Die Empfehlungen des EDSA sind in sechs Abschnitte unterteilt:
- „Kennen Sie Ihre Transfers“: Datenexporteure sollten sich darüber im Klaren sein, wohin die personenbezogenen Daten gehen, um ein gleichwertiges Schutzniveau überall dort zu gewährleisten, wo sie verarbeitet werden. Die übermittelten Daten müssen angemessen und relevant sein und sich auf das beschränken, was im Hinblick auf die Zwecke, für die sie in das Drittland übermittelt und dort verarbeitet werden, notwendig ist.
- „Identifizieren Sie die Übertragungsinstrumente, auf die Sie sich stützen“: Überprüfen Sie die Übertragungsinstrumente, auf die sich Ihr Transfer stützt, anhand derer, die in Kapitel V der DSGVO aufgeführt sind.
- „Beurteilen Sie, ob das Übertragungsinstrument, auf das Sie sich nach Artikel 46 DSGVO stützen, unter Berücksichtigung aller Umstände des Transfers wirksam ist“: Überprüfen Sie die Rechtslage oder die Praxis des Drittlandes. Beurteilen Sie, ob die Rechtslage oder die Praxis des Drittlandes irgendetwas enthält, das die Wirksamkeit der angemessenen Schutzvorkehrungen der Übertragungsinstrumente, auf die Sie sich im Zusammenhang mit Ihrem spezifischen Transfer stützen, beeinträchtigen könnte.
- „Ergreifen Sie zusätzliche Maßnahmen“: Stellen Sie sicher, dass ergänzenden Maßnahmen identifiziert und angenommen werden, damit das Schutzniveau der übermittelten Daten den EU-Standards der wesentlichen Gleichwertigkeit entspricht. Dieser Schritt ist nur dann erforderlich, wenn Ihre Beurteilung ergibt, dass die Rechtsvorschriften des Drittlandes die Wirksamkeit des Übermittlungsinstruments nach Artikel 46 DSGVO beeinträchtigen, auf das Sie sich im Zusammenhang mit Ihrer Übermittlung stützen oder stützen wollen.
- „Ergreifen Sie alle formellen Verfahrensschritte, wenn Sie wirksame ergänzende Maßnahmen identifiziert haben“: Die Hinzunahme ergänzender Maßnahme kann erforderlich sein, je nach dem, auf welches Übertragungsinstrument Sie sich nach Artikel 46 DSGVO berufen. Möglicherweise müssen die zuständigen Aufsichtsbehörden zu einigen von ihnen konsultiert werden.
- „Bewerten Sie das Schutzniveau regelmäßig neu“: Das Schutzniveau für Daten, die Sie in Drittländer übertragen, sollte in regelmäßigen Abständen überprüft werden, auch um zu identifizieren, ob es Entwicklungen gegeben hat oder geben wird, die sich darauf auswirken können. Der Grundsatz der Rechenschaftspflicht erfordert eine ständige Wachsamkeit hinsichtlich des Schutzniveaus persönlicher Daten.
Die neuen Standardvertragsklauseln sollen nun im Einklang mit der Datenschutzgrundverordnung stehen und auch dem wegweisenden Schrems II-Urteil Rechnung tragen. Es wird erwartet, dass die neuen Klauseln den verschiedenen Datentransferszenarien besser gerecht werden, um die "Komplexität moderner Verarbeitungsketten" zu berücksichtigen, so das Dokument. Der Hauptteil ist Abschnitt II – Pflichten der Parteien: Er enthält in den Abschnitten 1 sowie 4-9 detaillierte Verpflichtungen zur Einhaltung der DSGVO-Bestimmungen für Datenimporteure und – hauptsächlich – für Datenexporteure. In den Abschnitten 2 und 3 wird der Prozess der Analyse der Gesetze von Drittländern beschrieben. Interessenvertreter können bis zum 10. Dezember 2020 Rückmeldungen zu dem Entwurf bei der EU-Kommission einreichen.
Hintergrund: Am 16. Juli 2020 hatte der Europäische Gerichtshof im Urteil Schrems II das EU-US-Datenschutzabkommen „Privacy Shield“ für ungültig erklärt und die Verwendung von Standardvertragsklauseln (SCCs), die das (nun letztlich verbliebene) Instrument für die Übermittlung personenbezogener Daten von der EU in die USA sind, nur unter strengen Bedingungen erlaubt. Standardvertragsklauseln sollen demnach weiterhin gültig bleiben, allerdings unter neuen spezifischen Bedingungen. Von nun an müssen Unternehmen, die Daten aus der EU über SCC's übermitteln, von Fall zu Fall eine "Risikobewertung" des innerstaatlichen Rechts des Datenimporteurs (Drittland) durchführen, um festzustellen, ob das Schutzniveau den EU-Standards entspricht, bevor ein Datentransfer durchgeführt werden kann. Der Gerichtshof hatte nicht präzisiert, wie diese Selbstbeurteilung des Risikos aussehen soll und welche zusätzlichen Maßnahmen angemessen sind, um die Einhaltung des internationalen Datenflusses zu gewährleisten.
Die Empfehlungen des EDSA finden Sie hier: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf
Die neuen Standardvertragsklauseln finden Sie hier: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries