"Schrems II" – Finale Empfehlungen des EDSA für ergänzende Maßnahmen

Stefan Hessel

Der EDSA hat in seiner 50. Sitzung am vergangenen Freitag eine endgültige Fassung seiner "Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten" angenommen. Im Vergleich zur Konsultationsversion haben sich einige relevante Änderungen für Unternehmen ergeben, die wir Ihnen im Folgenden vorstellen möchten.

Hintergrund und Ziel der Empfehlungen

Mit seinen Empfehlungen will der EDSA Verantwortliche und Auftragsverarbeiter bei der Umsetzung der "Schrems II"-Entscheidung des EUGH und den sich daraus ergebenden Anforderungen an Datenübermittlungen in Drittländer, wie z.B. die USA, unterstützen. Mit der "Schrems II"-Entscheidung hat der EuGH nicht nur den Angemessenheitsbeschluss für Datenübermittlungen in die USA, das sog. EU-US Privacy Shield, für ungültig erklärt, sondern auch hohe Anforderungen an Datenübermittlungen auf der Basis von Standardvertragsklauseln aufgestellt. Unternehmen sind seither bei der Drittlandsübermittlung auf der Basis von Standardvertragsklauseln verpflichtet zu prüfen, ob die bloße Vereinbarung der Klauseln ein hinreichendes Datenschutzniveau gewährleistet. Relevanter Maßstab hierfür ist ausschließlich das europäische Recht, insbesondere die EU-Grundrechtecharta. Stellt sich bei der Prüfung heraus, dass die bloße Vereinbarung der Klauseln zur Wahrung eines angemessenen Datenschutzniveaus nicht ausreichend ist, was insbesondere bei überbordenden Zugriffsbefugnissen von ausländischen Sicherheitsbehörden der Fall sein kann, müssen zusätzliche Garantien geschaffen werden. Genau an dieser Stelle setzen die Empfehlungen des EDSA an.

Überblick über die wesentlichen Änderungen und Bedeutung

Im Vergleich zur Konsultationsversion (PDF) enthält die aktuelle und damit endgültige Fassung der Empfehlungen insbesondere die folgenden Änderungen:

  • In Ziffer 13 stellt der EDSA klar, dass eine vertragliche Vereinbarung zum Ort der Datenverarbeitung (Data Residency) eine Drittlandsübermittlung nur ausschließen kann, wenn zwischen dem Datenimporteur und dem Datenexporteur eine eindeutige vertragliche Vereinbarung besteht und der Datenimporteur seinen Sitz im EWR hat.
  • In Ziffer 25 bekräftigen die Aufsichtsbehörden noch einmal ihre Auffassung, dass Ausnahmen für bestimmte Fälle von Drittlandsübermittlungen (Art. 49 DSGVO) eng auszulegen sind.
  • In den Ziffern 28 ff. macht der EDSA detaillierte Vorgaben zur Risikobewertung im Drittland. In Ziffer Nr. 43.3 beschreibt er dabei ausdrücklich einen risikobasierten Ansatz zur Beurteilung des Schutzniveaus im Drittland, bei dem insbesondere der Aspekt, ob die Ausübung kritischer staatlicher Zugriffsbefugnisse im Einzelfall wahrscheinlich ist, berücksichtigt werden kann.
  • In Ziffer 44 betont der EDSA die Verpflichtung des Datenimporteurs den Datenexporteur bei der Beurteilung eines angemessenen Schutzniveaus zu unterstützen.
  • In Ziffer 55 stellt der EDSA klar, dass die Beurteilung des Schutzniveaus nicht fortlaufend wiederholt werden muss, sondern nur bei relevanten Änderungen ergänzt werden muss.
  • An den Beispielen für unterstützende Maßnahmen (Ziffern 74 ff. – Annex 2) haben sich kaum relevante Änderungen ergeben. Hier stellt der EDSA weiterhin stark auf Verschlüsselung und Pseudonymisierung ab.
  • In Ziffer 144 (Annex 3) hat der EDSA die Liste möglicher Quellen für Informationen zum Datenschutzniveau im Drittland erheblich erweitert und beispielsweise auch Transparenzberichte aufgenommen.

Die Risikoanalyse als Schlüssel – was Unternehmen nun beachten müssen

Die neuen Empfehlungen des EDSA können nicht darüber hinwegtäuschen, dass die Rechtslage beim internationalen Datenaustausch, insbesondere auch mit den USA, kompliziert bleibt. So hat die EDSA-Vorsitzende Andrea Jelinek bereits gewarnt, dass die Auswirkungen der "Schrems II"-Entscheidung auch angesichts der neuen Empfehlungen nicht unterschätzt werden dürften. Unternehmen dürften außerdem nicht verkennen, dass einzelne Datenschutzaufsichtsbehörden bereits koordinierte Prüfungen mittels  Fragebögen veranlasst haben. Drittlandsübermittlungen stehen damit auf dem "Prüfstand" und es ist weiterhin dringend zu Sofortmaßnahmen zu raten.

Unabhängig davon ist aus unternehmerischer Sicht zu begrüßen, dass sich der EDSA in seinen finalen Empfehlungen für einen risikobasierten Ansatz bei der Beurteilung der Datenschutzniveaus im Drittland entschieden hat. Auch vor dem Hintergrund der erst kürzlich veröffentlichten neuen Standarddatenschutzklauseln der EU-Kommission entstehen hier Räume für mehr Rechtssicherheit bei Datenübermittlungen in Drittstaaten. Der Schlüssel hierbei ist die Durchführung und Dokumentation einer Risikoanalyse im Einzelfall, wobei insbesondere auch die Unterstützung des Datenimporteurs im Drittland gefragt ist. In der Diskussion mit den Aufsichtsbehörden weniger erfolgversprechend dürfte es hingegen sein eine Datenübermittlung in Drittstaaten abzulehnen, wenn der Datenexporteur sich zwar vertraglich zur ausschließlichen Verarbeitung der Daten im EWR verpflichtet, jedoch keine Niederlassung hier hat. Als ebenso kritisch dürfte sich auch ein weitreichender Rückgriff auf die Ausnahmen nach Art. 49 DSGVO erweisen.

Melden Sie sich gerne, wenn Sie im Zusammenhang mit der Überprüfung Ihrer bestehenden Drittlandsübermittlungen oder bei der Implementierung der Standarddatenschutzklauseln Unterstützung benötigen.

[Juni 2021]