Mit Durchführungsbeschluss vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, die eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer ermöglichen sollen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) weist wie auch der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist.
PRÜFUNG VERPFLICHTEND
In ihrem Beschluss ist die EU-Kommission unter anderem auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) eingegangen. Der EuGH hatte in seinem Urteil vom 16. Juli 2020 (Rs. C-311/18 – Schrems II) festgestellt, dass Übermittlungen personenbezogener Daten in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Die von der EU-Kommission beschlossenen Standardvertragsklauseln können zwar grundsätzlich weiterhin als Rechtsgrundlage für Übermittlungen personenbezogener Daten in Drittländer herangezogen werden. Allerdings müssen alle Verantwortlichen ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können.
WEITERHIN GILT: ZUSÄTZLICHE MASSNAHMEN
Ist dies der Fall, etwa weil die Behörden des Drittlands übermäßige Zugriffsrechte auf verarbeitete Daten haben, müssen die Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssen die Übermittlungen unterbleiben.
PRÜFUNGSEMPFEHLUNG DER EDSA
Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen können Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ heranziehen. Deren endgültige Fassung hat der EDSA nach öffentlicher Konsultation am 18. Juni 2021 beschlossen (https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf).
ALLES WIE GEHABT
An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich (Klausel 14). Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.
NACHWEIS VOR ALLEM FÜR US-DIENSTLEISTER NOTWENDIG
In seinem Urteil „Schrems II“ hat der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar.
Unternehmen und andere Akteure, die personenbezogene Daten in Drittländer übermitteln, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie die hier dargestellte Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind. Die deutschen Aufsichtsbehörden haben mit Beratungen und Prüfungen dazu begonnen, ob und wie die Anforderungen des „Schrems II“-Urteils eingehalten werden.