“Schrems II” – Fina­le Emp­feh­lun­gen des EDSA für ergän­zen­de Maßnahmen

Der EDSA hat in sei­ner 50. Sit­zung am ver­gan­ge­nen Frei­tag eine end­gül­ti­ge Fas­sung sei­ner “Emp­feh­lun­gen 01/2020 zu Maß­nah­men zur Ergän­zung von Über­mitt­lungs­tools zur Gewähr­leis­tung des uni­ons­recht­li­chen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten” ange­nom­men. Im Ver­gleich zur Kon­sul­ta­ti­ons­ver­si­on haben sich eini­ge rele­van­te Ände­run­gen für Unter­neh­men erge­ben, die wir Ihnen im Fol­gen­den vor­stel­len möchten.

Hin­ter­grund und Ziel der Empfehlungen

Mit sei­nen Emp­feh­lun­gen will der EDSA Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter bei der Umset­zung der “Schrems II”-Ent­schei­dung des EUGH und den sich dar­aus erge­ben­den Anfor­de­run­gen an Daten­über­mitt­lun­gen in Dritt­län­der, wie z.B. die USA, unter­stüt­zen. Mit der “Schrems II”-Entscheidung hat der EuGH nicht nur den Ange­mes­sen­heits­be­schluss für Daten­über­mitt­lun­gen in die USA, das sog. EU-US Pri­va­cy Shield, für ungül­tig erklärt, son­dern auch hohe Anfor­de­run­gen an Daten­über­mitt­lun­gen auf der Basis von Stan­dard­ver­trags­klau­seln auf­ge­stellt. Unter­neh­men sind seit­her bei der Dritt­lands­über­mitt­lung auf der Basis von Stan­dard­ver­trags­klau­seln ver­pflich­tet zu prü­fen, ob die blo­ße Ver­ein­ba­rung der Klau­seln ein hin­rei­chen­des Daten­schutz­ni­veau gewähr­leis­tet. Rele­van­ter Maß­stab hier­für ist aus­schließ­lich das euro­päi­sche Recht, ins­be­son­de­re die EU-Grundrechtecharta. Stellt sich bei der Prü­fung her­aus, dass die blo­ße Ver­ein­ba­rung der Klau­seln zur Wah­rung eines ange­mes­se­nen Daten­schutz­ni­veaus nicht aus­rei­chend ist, was ins­be­son­de­re bei über­bor­den­den Zugriffs­be­fug­nis­sen von aus­län­di­schen Sicher­heits­be­hör­den der Fall sein kann, müs­sen zusätz­li­che Garan­tien geschaf­fen wer­den. Genau an die­ser Stel­le set­zen die Emp­feh­lun­gen des EDSA an.

Über­blick über die wesent­li­chen Ände­run­gen und Bedeutung

Im Ver­gleich zur Kon­sul­ta­ti­ons­ver­si­on (PDF) ent­hält die aktu­el­le und damit end­gül­ti­ge Fas­sung der Emp­feh­lun­gen ins­be­son­de­re die fol­gen­den Änderungen:

• In Zif­fer 13 stellt der EDSA klar, dass eine ver­trag­li­che Ver­ein­ba­rung zum Ort der Daten­ver­ar­bei­tung (Data Resi­den­cy) eine Dritt­lands­über­mitt­lung nur aus­schlie­ßen kann, wenn zwi­schen dem Daten­im­por­teur und dem Daten­ex­por­teur eine ein­deu­ti­ge ver­trag­li­che Ver­ein­ba­rung besteht und der Daten­im­por­teur sei­nen Sitz im EWR hat.
• In Zif­fer 25 bekräf­ti­gen die Auf­sichts­be­hör­den noch ein­mal ihre Auf­fas­sung, dass Aus­nah­men für bestimm­te Fäl­le von Dritt­lands­über­mitt­lun­gen (Art. 49 DSGVO) eng aus­zu­le­gen sind.
• In den Zif­fern 28 ff. macht der EDSA detail­lier­te Vor­ga­ben zur Risi­ko­be­wer­tung im Dritt­land. In Zif­fer Nr. 43.3 beschreibt er dabei aus­drück­lich einen risi­ko­ba­sier­ten Ansatz zur Beur­tei­lung des Schutz­ni­veaus im Dritt­land, bei dem ins­be­son­de­re der Aspekt, ob die Aus­übung kri­ti­scher staat­li­cher Zugriffs­be­fug­nis­se im Ein­zel­fall wahr­schein­lich ist, berück­sich­tigt wer­den kann.
• In Zif­fer 44 betont der EDSA die Ver­pflich­tung des Daten­im­por­teurs den Daten­ex­por­teur bei der Beur­tei­lung eines ange­mes­se­nen Schutz­ni­veaus zu unterstützen.
• In Zif­fer 55 stellt der EDSA klar, dass die Beur­tei­lung des Schutz­ni­veaus nicht fort­lau­fend wie­der­holt wer­den muss, son­dern nur bei rele­van­ten Ände­run­gen ergänzt wer­den muss.
• An den Bei­spie­len für unter­stüt­zen­de Maß­nah­men (Zif­fern 74 ff. – Annex 2) haben sich kaum rele­van­te Ände­run­gen erge­ben. Hier stellt der EDSA wei­ter­hin stark auf Ver­schlüs­se­lung und Pseud­ony­mi­sie­rung ab.
• In Zif­fer 144 (Annex 3) hat der EDSA die Lis­te mög­li­cher Quel­len für Infor­ma­tio­nen zum Daten­schutz­ni­veau im Dritt­land erheb­lich erwei­tert und bei­spiels­wei­se auch Trans­pa­renz­be­rich­te aufgenommen.

Die Risi­ko­ana­ly­se als Schlüs­sel – was Unter­neh­men nun beach­ten müssen

Die neu­en Emp­feh­lun­gen des EDSA kön­nen nicht dar­über hin­weg­täu­schen, dass die Rechts­la­ge beim inter­na­tio­na­len Daten­aus­tausch, ins­be­son­de­re auch mit den USA, kom­pli­ziert bleibt. So hat die EDSA-Vorsitzende Andrea Jeli­nek bereits gewarnt, dass die Aus­wir­kun­gen der “Schrems II”-Entscheidung auch ange­sichts der neu­en Emp­feh­lun­gen nicht unter­schätzt wer­den dürf­ten. Unter­neh­men dürf­ten außer­dem nicht ver­ken­nen, dass ein­zel­ne Daten­schutz­auf­sichts­be­hör­den bereits koor­di­nier­te Prü­fun­gen mit­tels  Fra­ge­bö­gen ver­an­lasst haben. Dritt­lands­über­mitt­lun­gen ste­hen damit auf dem “Prüf­stand” und es ist wei­ter­hin drin­gend zu Sofort­maß­nah­men zu raten.

Unab­hän­gig davon ist aus unter­neh­me­ri­scher Sicht zu begrü­ßen, dass sich der EDSA in sei­nen fina­len Emp­feh­lun­gen für einen risi­ko­ba­sier­ten Ansatz bei der Beur­tei­lung der Daten­schutz­ni­veaus im Dritt­land ent­schie­den hat. Auch vor dem Hin­ter­grund der erst kürz­lich ver­öf­fent­lich­ten neu­en Stan­dard­da­ten­schutz­klau­seln der EU-Kommission ent­ste­hen hier Räu­me für mehr Rechts­si­cher­heit bei Daten­über­mitt­lun­gen in Dritt­staa­ten. Der Schlüs­sel hier­bei ist die Durch­füh­rung und Doku­men­ta­ti­on einer Risi­ko­ana­ly­se im Ein­zel­fall, wobei ins­be­son­de­re auch die Unter­stüt­zung des Daten­im­por­teurs im Dritt­land gefragt ist. In der Dis­kus­si­on mit den Auf­sichts­be­hör­den weni­ger erfolg­ver­spre­chend dürf­te es hin­ge­gen sein eine Daten­über­mitt­lung in Dritt­staa­ten abzu­leh­nen, wenn der Daten­ex­por­teur sich zwar ver­trag­lich zur aus­schließ­li­chen Ver­ar­bei­tung der Daten im EWR ver­pflich­tet, jedoch kei­ne Nie­der­las­sung hier hat. Als eben­so kri­tisch dürf­te sich auch ein weit­rei­chen­der Rück­griff auf die Aus­nah­men nach Art. 49 DSGVO erweisen.

Mel­den Sie sich ger­ne, wenn Sie im Zusam­men­hang mit der Über­prü­fung Ihrer bestehen­den Dritt­lands­über­mitt­lun­gen oder bei der Imple­men­tie­rung der Stan­dard­da­ten­schutz­klau­seln Unter­stüt­zung benötigen.