Datenschutz-Aufsichtsbehörden halten ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte für notwendig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) weist wie auch der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist.

Mit Durchführungsbeschluss vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, die eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer ermöglichen sollen (siehe Beitrag vom 14.06.2021). Diese Standardvertragsklauseln können nach Ansicht der Aufsichtsbehörden zwar grundsätzlich weiterhin als Rechtsgrundlage für Übermittlungen personenbezogener Daten in Drittländer herangezogen werden. Allerdings müssten alle Verantwortlichen ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können. Ist dies der Fall, etwa weil die Behörden des Drittlands übermäßige Zugriffsrechte auf verarbeitete Daten haben, müssten die Verantwortlichen nach Meinung der Aufsichtsbehörden vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssten die Übermittlungen unterbleiben.

Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen können Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ heranziehen. Deren endgültige Fassung hat der EDSA nach öffentlicher Konsultation am 18. Juni 2021 beschlossen (https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf).

An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen habe sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich (Klausel 14). Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.

Insbesondere im Fall von Datenübermittlungen in die USA sind nach Ansicht der Aufsichtsbehörden regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern.

Unternehmen und andere Akteure, die personenbezogene Daten in Drittländer übermitteln, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie die hier dargestellte Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind. Die deutschen Aufsichtsbehörden haben mit Beratungen und Prüfungen dazu begonnen, ob und wie die Anforderungen des „Schrems II“-Urteils eingehalten werden.

Fundstelle: Pressemitteilung der DSK vom 21.06.2021 – abrufbar im Internet unter https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf