Ergänzende Maßnahmen bei Datenübermittlungen in Drittländer

Die von dem EDSA veröffentlichten finalen Empfehlungen bei Datenübermittlungen in Drittländern sollen dabei helfen, die lokalen Gesetze im Drittland, die Einfluss auf die Standardvertragsklauseln haben können, und den möglichen Einsatz ergänzender Maßnahmen zu prüfen. Sie dienen dazu, Verantwortliche und Auftragsverarbeiter bei Ihrer Pflicht, angemessene ergänzende Maßnahmen zu identifizieren und einzuführen, zu unterstützen. Dabei liegt ein besonderer Fokus auf dem Verhalten von öffentlichen Behörden im Drittland.

Hintergrund: Seit dem SchremsII-Urteil des EuGHs sind Datenexporteure dazu verpflichtet, zu prüfen, ob bloße Standardvertragsklauseln ein hinreichendes Datenschutzniveau gewährleisten. Ist dies nicht der Fall, müssen zusätzliche Garantien geschaffen werden und hier setzen die Empfehlungen des EDSA an.

Es wird ein 6-Stufen-Prozess für Verantwortliche und Auftragsverarbeiter entworfen:

1. Kenntnis über die eigenen Datentransfers.

2. Überprüfung der Transfertools, auf denen die jeweiligen Transfers beruhen.

3. Beurteilung(und Dokumentation ebendieser) der Gesetzeslage im Drittland, ob es negative Einflüsse auf die Wirksamkeit der Schutzmechanismen im Kontext des jeweiligen Transfers geben kann.

4.Einsatz ergänzender Maßnahmen, um das Schutzniveau des Drittlandes an das der EU anzupassen.

5.Einleitung formaler Verfahrensschritte je nach Art des Transfertools aus Art. 46 DSGVO (evtl. Rücksprache mit Aufsichtsbehörde).

6. Überprüfung das Schutzniveau in regelmäßigen Abständen und Überwachung von diesbezüglichen Entwicklungen im Drittland.

Im Anhang 2 befinden sich einige „Use Cases", die anschaulich Hilfe leisten sollen, Probleme und mögliche Lösungen auszumachen. Außerdem werden die ergänzenden Maßnahmen in den Kategorien „technisch", „zusätzlich vertraglich" und „organisatorisch" beschrieben.

In Anhang 3 werden die möglichen Informationsquellen für die Beurteilung aus Schritt 3 durch Beispiele konkretisiert.

Folgende Hauptänderungen im Vergleich zu der Entwurfsfassung von Winter 2020 sind vorgenommen worden:

1. Betont wird die Bedeutung einer Untersuchung, ob die Gesetzgebung des Drittstaates in der Praxis die Wirksamkeit der Transfertools nach Art. 46 DSGVO negativ beeinflusst und ob selbige Einfluss auf die Standardvertragsklauseln für den Datentransfer in Drittstaaten hat.

2. Der Datenexporteur hat bei der Untersuchung des Transfers die Möglichkeit praktische Erfahrungen des Datenimporteurs zu berücksichtigen. Dadurch kann es aber zu einer Einschränkung von Datentransfers kommen, die auf dem Papier funktionieren, aber in der Praxis im Drittstaat nicht umgesetzt werden können.

3. Es wird klargestellt, dass die Gesetzeslage im Drittland, die es Behörden erlaubt auf die übermittelten Daten zuzugreifen, auch ohne Eingreifen des Datenimporteurs die Wirksamkeit des Transfertools einschränken kann.

Ganz klar stellt die Risikoanalyse des Datentransfers im Einzelfall den Schlüssel bei all dem dar. Hierbei ist die Dokumentation der Durchführung besonders wichtig, da es sein kann, dass Aufsichtsbehörden dies sehen wollen: Beschreibung der Rechtspraxis im Drittland, wie wurde das Assessment durchgeführt, wann wurde es durchgeführt. An die Empfehlungen wird außerdem eine Liste angehängt, die Informationsquellen auflistet, die zum Assessment hinzugezogen werden können.

Der EDSA wählt einen risikobasierten Ansatz bei der Beurteilung des Datenschutzniveaus im Drittland. Als Beispiele für ergänzende Maßnahmen werden Verschlüsselung und Pseudonymisierung vom EDSA genannt, wobei wohl eine Kombination aus beiden präferiert werden sollte. Eine neue mögliche Maßnahme stellen vertragliche Regelungen dar, die festlegen sollen, dass Betroffene im Falle einer Datenoffenlegung, die die Verpflichtungen aus dem Transfertool verletzt, beim Datenimporteur Kompensation dafür verlangen können.

Ihr Datenschutz-Prinz Team

Quellen:

edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf (europa.eu)

"Schrems II" – Finale Empfehlungen des EDSA für ergänzende Maßnahmen (reuschlaw.de)