EDSA-Empfehlungen für Prüfschritte bei Drittlandstransfers

Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter August 2021

Der Europäische Datenschutzausschuss (EDSA) hat nach öffentlicher Konsultation am 18. Juni 2021 die endgültige Fassung der „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ beschlossen (die englische Version können Sie hier herunterladen). Diese Empfehlungen können und sollen bei Datentransfers in Drittländer für die – jedenfalls seit dem EuGH-Urteil Schrems II (Rs. C-311/18) erforderliche – Prüfung der Rechtslage im Drittland und der Erforderlichkeit sowie der Festsetzung ergänzender Maßnahmen herangezogen werden.

Die von der EU-Kommission beschlossenen neuen Standarddatenschutzklauseln (siehe Beiträge in diesem Newsletter) regeln die aus der  Rechtsprechung des EuGH zu Schrems II folgenden Anforderungen nun ausdrücklich (Klausel 14) und können weiterhin als Rechtsgrundlage für eine Übermittlung personenbezogener Daten in ein Drittland herangezogen werden. Die EU-Kommission und der EDSA haben die neuen Standarddatenschutzklauseln und die Empfehlungen 01/2021 bewusst aufeinander abgestimmt – dies bedeutet, dass auch bei Verwendung der neuen Standarddatenschutzklauseln die Verantwortlichen oder Auftragsverarbeiter als Datenexporteure eine umfassende Prüfpflicht hinsichtlich der Rechtslage und der Praxis im Drittland trifft, durch die sichergestellt werden soll, dass das durch die Standarddatenschutzklauseln gewährleistete Schutzniveau erhalten bleibt.

In der endgültigen Fassung der Empfehlungen beschreibt der EDSA die wesentlichen Schritte, die Datenexporteure vor dem Hintergrund der umfassenden Rechenschaftspflicht unternehmen sollten. Allerdings enthält die überarbeitete Fassung im Vergleich zur Vorversion einige wichtige Änderungen und Ergänzungen, die bei der Bewertung internationaler Datentransfers zu berücksichtigen sind.

  • Ein verstärkter Fokus wird auf die Behördenpraxis im Drittland gelegt (Rz 43). Fehlt relevante Gesetzgebung im Drittland völlig, ist die jeweilige Behördenpraxis die einzige Grundlage für die datenschutzrechtliche Bewertung. Gibt es entsprechende Bestimmungen im Drittland, die den Datenzugriff durch staatliche Behörden regeln, ist die tatsächliche Behördenpraxis in die Prüfung als weiterer Faktor miteinzubeziehen, die sich negativ oder positiv auf die Zulässigkeit des Datentransfers auswirken kann. Negativ wirkt sich aus, wenn die formelle Rechtslage im Drittland zwar den Europäischen Standards entspricht, die tatsächliche Behördenpraxis den rechtlichen Standards aber nicht folgt und zu befürchten ist, dass die in den Übermittlungsinstrumenten vorgesehenen Garantien (Art 46 DSGVO) beeinträchtigt werden. Positiv wirkt sich die Behördenpraxis aus, wenn formell zwar eine „problematische Rechtslage“ im Drittland besteht, die Behördenpraxis aber dazu führt, dass eine Beeinträchtigung der in den Übermittlungsinstrumenten vorgesehenen Garantien dennoch faktisch nicht zu befürchten ist.
  • Insgesamt wird nun ein „risikobasierter Ansatz“ unter Berücksichtigung der (Behörden)Praxis im Drittland verfolgt. Ein Datentransfer in ein Drittland kann im Ergebnis selbst dann ohne ergänzende Maßnahmen zulässig sein, wenn in diesem Drittland zwar eine „problematischer Rechtslage“ besteht, der Datenexporteur nach sorgfältiger und im Detail dokumentierter Prüfung jedoch zur Auffassung gelangt, dass die „problematischen“ Gesetze des Drittlandes so interpretiert oder in der Praxis angewendet werden, dass sie im konkreten Fall auf die übermittelten Daten und auf den Datenimporteur nicht angewendet werden (Rz 43.3). Andererseits kann dieser „risikobasierte Ansatz“ allerdings auch dazu führen, den Datentransfer einstellen zu müssen, wenn dieser zwar „am Papier“ zulässig erscheint, die tatsächliche Behördenpraxis im Drittland jedoch inkompatibel mit Europäischen Datenschutzstandards ist. Zu beachten ist jedoch, dass demgegenüber ein solcher risikobasierter Ansatz in der bisherigen Rechtsprechung der österreichischen Datenschutzbehörde und auch des EuGH nicht ersichtlich ist und erst abgewartet werden muss, ob sich Gerichte und Behörden der Sichtweise des EDSA anschließen.

Die Publikation der endgültigen Fassung der Empfehlungen 01/2020 sowie der neuen Standarddatenschutzklauseln läuten jedenfalls eine neue Ära des Datentransfers in Drittländer ein. Ausgangspunkt jeder Datenübermittlung in sogenannte „unsichere“ Drittländer ist eine umfassende, detaillierte und dokumentierte Datentransfer-Folgenabschätzung unter besonderer Berücksichtigung der Behördenpraxis im Drittland. Ein entsprechendes Muster arbeiten wir gerade aus und stellen wir Ihnen gerne zur Verfügung.

Artikel drucken

Beiträge

Newsletter August 2021

Knyrim Trieb und Secur-Data gründen gemeinsame Zertifizierungs-GmbH

Im Juni 2021 haben wir gemeinsam mit Frau Mag. Judith Leschanz und Herrn Prof. Hans-Jürgen Pollirer von Secur-Data Betriebsberatungs GmbH die KT & SD DSGVO ZERT GmbH gegründet. Nach Akkreditierung durch die Datenschutzbehörde soll die neue Gesellschaft schon bald datenschutzrechtliche Zertifizierungen anbieten.

Neue Standarddatenschutzklauseln (I)

Am 4. Juni 2021 wurden von der EU-Kommission neue Standarddatenschutzklauseln für den internationalen Datentransfer in Drittländer angenommen. Die neuen Standarddatenschutzklauseln sehen einen modularen Ansatz vor. Die Übergangsfrist endet am 27. Dezember 2022.

Neue Standarddatenschutzklauseln (II)

Der internationale Datentransfer mit Standarddatenschutzklauseln verlangt nun ein weitaus strengeres Prüf-, Notifikations- und Überwachungskonzept!

EDSA-Empfehlungen für Prüfschritte bei Drittlandstransfers

Der Europäische Datenschutzausschuss hat am 18. juni 2021 die endgültige Fassung seiner „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ veröffentlicht. Diese Empfehlungen können und sollen bei Datentransfers in Drittländer für die Prüfung der Rechtslage herangezogen werden.

Datenschutzkonformer Betrieb einer Facebook-Fanpage unmöglich

Der deutsche Bundesschutzbeauftragte nimmt in seinem Rundschreiben vom 16.06.2021 erneut Bezug auf den nicht datenschutzkonformen Betrieb einer Facebook-Fanpage. Vergebens versuchte das Presse- und Informationsamt der Bundesregierung (BPA) eine Lösung mit Facebook zu erzielen.

Deutsche Datenschutzkonferenz veröffentlicht Übersichtsliste über Publikationen

Die vor kurzem von der deutschen Datenschutzkonferenz veröffentlichte Übersichtsliste mit Publikationen der Landes- und Bundesdatenschutzbehörden präsentiert eine Fülle an behördlichen Informationsmaterial zum Datenschutzrecht.

Beschwerdewelle gegen Cookie-Banner

Heutzutage verwendet ein Großteil der Webseiten Cookies oder Dienste von Drittanbietern. Diese erfordern eine explizite Einverständniserklärung, welche durch aufwändige Consent-Banner dargestellt wird. Zusätzlich soll dieser Banner zur konkreten Aufbereitung von Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten dienen.