EDSA-Empfehlungen für Prüfschritte bei Drittlandstransfers
Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter August 2021
Der Europäische Datenschutzausschuss (EDSA) hat nach öffentlicher Konsultation am 18. Juni 2021 die endgültige Fassung der „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ beschlossen (die englische Version können Sie hier herunterladen). Diese Empfehlungen können und sollen bei Datentransfers in Drittländer für die – jedenfalls seit dem EuGH-Urteil Schrems II (Rs. C-311/18) erforderliche – Prüfung der Rechtslage im Drittland und der Erforderlichkeit sowie der Festsetzung ergänzender Maßnahmen herangezogen werden.
Die von der EU-Kommission beschlossenen neuen Standarddatenschutzklauseln (siehe Beiträge in diesem Newsletter) regeln die aus der Rechtsprechung des EuGH zu Schrems II folgenden Anforderungen nun ausdrücklich (Klausel 14) und können weiterhin als Rechtsgrundlage für eine Übermittlung personenbezogener Daten in ein Drittland herangezogen werden. Die EU-Kommission und der EDSA haben die neuen Standarddatenschutzklauseln und die Empfehlungen 01/2021 bewusst aufeinander abgestimmt – dies bedeutet, dass auch bei Verwendung der neuen Standarddatenschutzklauseln die Verantwortlichen oder Auftragsverarbeiter als Datenexporteure eine umfassende Prüfpflicht hinsichtlich der Rechtslage und der Praxis im Drittland trifft, durch die sichergestellt werden soll, dass das durch die Standarddatenschutzklauseln gewährleistete Schutzniveau erhalten bleibt.
In der endgültigen Fassung der Empfehlungen beschreibt der EDSA die wesentlichen Schritte, die Datenexporteure vor dem Hintergrund der umfassenden Rechenschaftspflicht unternehmen sollten. Allerdings enthält die überarbeitete Fassung im Vergleich zur Vorversion einige wichtige Änderungen und Ergänzungen, die bei der Bewertung internationaler Datentransfers zu berücksichtigen sind.
- Ein verstärkter Fokus wird auf die Behördenpraxis im Drittland gelegt (Rz 43). Fehlt relevante Gesetzgebung im Drittland völlig, ist die jeweilige Behördenpraxis die einzige Grundlage für die datenschutzrechtliche Bewertung. Gibt es entsprechende Bestimmungen im Drittland, die den Datenzugriff durch staatliche Behörden regeln, ist die tatsächliche Behördenpraxis in die Prüfung als weiterer Faktor miteinzubeziehen, die sich negativ oder positiv auf die Zulässigkeit des Datentransfers auswirken kann. Negativ wirkt sich aus, wenn die formelle Rechtslage im Drittland zwar den Europäischen Standards entspricht, die tatsächliche Behördenpraxis den rechtlichen Standards aber nicht folgt und zu befürchten ist, dass die in den Übermittlungsinstrumenten vorgesehenen Garantien (Art 46 DSGVO) beeinträchtigt werden. Positiv wirkt sich die Behördenpraxis aus, wenn formell zwar eine „problematische Rechtslage“ im Drittland besteht, die Behördenpraxis aber dazu führt, dass eine Beeinträchtigung der in den Übermittlungsinstrumenten vorgesehenen Garantien dennoch faktisch nicht zu befürchten ist.
- Insgesamt wird nun ein „risikobasierter Ansatz“ unter Berücksichtigung der (Behörden)Praxis im Drittland verfolgt. Ein Datentransfer in ein Drittland kann im Ergebnis selbst dann ohne ergänzende Maßnahmen zulässig sein, wenn in diesem Drittland zwar eine „problematischer Rechtslage“ besteht, der Datenexporteur nach sorgfältiger und im Detail dokumentierter Prüfung jedoch zur Auffassung gelangt, dass die „problematischen“ Gesetze des Drittlandes so interpretiert oder in der Praxis angewendet werden, dass sie im konkreten Fall auf die übermittelten Daten und auf den Datenimporteur nicht angewendet werden (Rz 43.3). Andererseits kann dieser „risikobasierte Ansatz“ allerdings auch dazu führen, den Datentransfer einstellen zu müssen, wenn dieser zwar „am Papier“ zulässig erscheint, die tatsächliche Behördenpraxis im Drittland jedoch inkompatibel mit Europäischen Datenschutzstandards ist. Zu beachten ist jedoch, dass demgegenüber ein solcher risikobasierter Ansatz in der bisherigen Rechtsprechung der österreichischen Datenschutzbehörde und auch des EuGH nicht ersichtlich ist und erst abgewartet werden muss, ob sich Gerichte und Behörden der Sichtweise des EDSA anschließen.
Die Publikation der endgültigen Fassung der Empfehlungen 01/2020 sowie der neuen Standarddatenschutzklauseln läuten jedenfalls eine neue Ära des Datentransfers in Drittländer ein. Ausgangspunkt jeder Datenübermittlung in sogenannte „unsichere“ Drittländer ist eine umfassende, detaillierte und dokumentierte Datentransfer-Folgenabschätzung unter besonderer Berücksichtigung der Behördenpraxis im Drittland. Ein entsprechendes Muster arbeiten wir gerade aus und stellen wir Ihnen gerne zur Verfügung.