"Empfehlungen 01/2020“ (2.0) des EDSA zu zusätzlichen Schutzmaßnahmen beim Datentransfer in Drittländer als Ergänzung zu den neuen Standarddatenschutzklauseln
- Der Europäische Datenschutzausschuss (EDSA) hat nach einer öffentlichen Konsultation am 18. Juni 2021 die endgültige Version der „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ beschlossen. Die Empfehlungen wurden erstmals im November 2020 (vgl. unten Ziff. 3) nach dem Schrems II-EuGH-Urteil (vgl. unten Ziff. 4) als Hilfestellung für Verantwortliche und Auftragsverarbeiter, die als Datenexporteure tätig sind, angenommen. Neuerungen ergeben sich bei deren Pflichten zur Bewertung der Rechtslage des Drittlandes im Sinne eines angemessenen Datenschutzniveaus. Nunmehr dürfen die „praktischen Erfahrungen“ des Datenimporteurs mit Datenherausgabeersuchen oder Datenabgriffen durch (Sicherheits-)Behörden in die Bewertung einfließen. Die Empfehlungen ergänzen die kürzlich veröffentlichten neuen Standarddatenschutzklauseln für Datentransfers in Drittländer (vgl. unten Ziff. 2). Dazu wird auf die Pressemitteilung der DSK vom 21. Juni 2021 hingewiesen.
- Die Europäische Kommission hatte am 4. Juni 2021 neue Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer nach Art. 46 Abs. 2 lit. c) DS-GVO beschlossen. Dieses Mustervertragswerk kann für die Datenübermittlung in Drittländer eingesetzt werden, sofern der Datentransfer nicht aufgrund eines Angemessenheitsbeschlusses bezüglich des betreffenden Drittlands (Art. 45 DS-GVO) oder anderer Bestimmungen nach Art. 44 ff. DS-GVO erfolgt. Die Standarddatenschutzklauseln spiegeln die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) wider und berücksichtigen das Schrems-II-Urteil des EuGH vom Juli 2020, nach dem ein hohes Datenschutzniveau für die Bürgerinnen und Bürger zu gewährleisten ist. Diese neuen Instrumente helfen europäischen Unternehmen die Anforderungen an sichere Datenübermittlungen zu erfüllen und gleichzeitig den freien grenzüberschreitenden Datenverkehr ohne rechtliche Hindernisse zu ermöglichen.
Der Beschluss tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Obwohl für bestehende Verträge nach der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU Übergangszeiten bestehen, sollten Unternehmen frühzeitig ihre Verträge zum Datentransfer anpassen und die neuen Standarddatenschutzklauseln übernehmen.
Zur Erleichterung der Erstellung von Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c) DS-GVO (in dem entsprechenden Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 immer noch als „Standard Contractual Clauses“ (SCC) bzw. „Standardvertragsklauseln“ bezeichnet) wurde von privater Seite ein sog. SCC-Generator entwickelt. Dieses Tool ist bislang datenschutzrechtlich nicht geprüft. Die Verwendung erfolgt daher auf eigenes Risiko und sollte durch qualifizierte Rechtsberatung begleitet werden.
Das Tool ist abrufbar unter: www.essentialguarantees.com/scc/
- Der Europäische Datenschutzausschuss hatte am 10. November 2020 zwei Papiere verabschiedet, die die Verantwortlichen unterstützen sollen, Datenexporte in Drittstaaten datenschutzkonform zu gestalten. Während das erste Papier die vorzunehmenden Prüfschritte beschreibt, fasst das zweite Papier zusammen, welche Anforderungen an die Rechtsordnung eines Drittstaates zu stellen sind, damit ein angemessenes Schutzniveau festgestellt werden kann. Die dort genannten wesentlichen Garantien sind unter anderem Gegenstand der Prüfung, ob das Recht oder die Praxis des Drittstaats im Zusammenhang mit einer spezifischen Datenübermittlung irgendwelche Elemente enthält, die die Wirksamkeit des Übermittlungsinstruments, auf die sie sich stützt, beeinträchtigen könnten.
Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten
Empfehlungen 02/2020 zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen
- Weitere Informationen zum Urteil des EuGH in der Rechtssache C-311/18:
Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28. Juli 2020
FAQ zum Urteil des EuGH in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und M. Schrems (Stand: 23. Juli 2020)
Pressemitteilung des Europäischen Gerichtshofs vom 16. Juli 2020