Brüssel, 11. November – Im Rahmen seiner 41. Plenartagung nahm der EDSA Empfehlungen zu Maßnahmen an, welche die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus personenbezogener Daten zu gewährleisten. Zudem wurden Empfehlungen zu den wesentlichen europäischen Garantien für Überwachungsmaßnahmen angenommen.
Beide Dokumente wurden als Reaktion auf das „Schrems-II“-Urteil des EuGH angenommen. Aufgrund des Urteils vom 16. Juli müssen Verantwortliche, die sich auf Standardvertragsklauseln stützen, von Fall zu Fall und gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten in dem Drittland prüfen, ob das Recht des Drittlands ein Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, das dem im Europäischen Wirtschaftsraum (EWR) garantierten Schutzniveau der Sache nach gleichwertig ist. Der EuGH gestattete Datenexporteuren, ergänzende Maßnahmen zu den Standardvertragsklauseln hinzuzufügen, um die wirksame Einhaltung dieses Schutzniveaus zu gewährleisten, wenn die in den Standardvertragsklauseln enthaltenen Schutzmaßnahmen nicht ausreichen.
Die Empfehlungen zielen darauf ab, Verantwortliche und Auftragsverarbeiter, die als Datenexporteure fungieren, bei der Ermittlung und Umsetzung geeigneter zusätzlicher Maßnahmen zu unterstützen, wenn diese erforderlich sind, um ein der Sache nach gleichwertiges Schutzniveau für die Daten, die sie an Drittländer übermitteln, zu gewährleisten. Damit strebt der EDSA eine einheitliche Anwendung der DSGVO und des Urteils des Gerichtshofs im gesamten EWR an.
Andrea Jelinek, Vorsitzende des EDSA, führte hierzu aus: „Der EDSA ist sich der Auswirkungen des Schrems-II-Urteils auf Tausende von EU-Unternehmen und der großen Verantwortung sehr genau bewusst, die das Urteil den Datenexporteuren auferlegt. Der EDSA hofft, dass diese Empfehlungen den Datenexporteuren dabei helfen können, erforderlichenfalls wirksame ergänzende Maßnahmen zu ermitteln und umzusetzen. Unser Ziel ist es, damit die rechtmäßige Übermittlung personenbezogener Daten in Drittländer zu ermöglichen und gleichzeitig zu gewährleisten, dass die übermittelten Daten ein Schutzniveau genießen, das dem im EWR garantierten Schutzniveau der Sache nach gleichwertig ist.“
Die Empfehlungen enthalten eine Schritt-für-Schritt-Anleitung, welche die Datenexporteure befolgen müssen, um herauszufinden, ob sie zusätzliche Maßnahmen ergreifen müssen, damit sie Daten im Einklang mit dem EU-Recht in Nicht-EWR-Länder übermitteln können. Zudem helfen die Empfehlungen bei der Ermittlung von Maßnahmen, die wirksam sein könnten. Als Hilfestellung für die Datenexporteure enthalten die Empfehlungen auch eine nicht abschließende Liste von Beispielen für ergänzende Maßnahmen und einige der Voraussetzungen für ihre Wirksamkeit.
Letztlich sind die Datenexporteure jedoch für die konkrete Bewertung im Zusammenhang mit der Übermittlung, dem Recht des Drittlands und dem von ihnen genutzten Übermittlungsinstrument verantwortlich. Die Datenexporteure müssen mit der gebotenen Sorgfalt vorgehen und ihre Fortschritte genau dokumentieren, da sie im Einklang mit dem in der DSGVO vorgesehenen Grundsatz der Rechenschaftspflicht zur Rechenschaft gezogen werden. Darüber hinaus sollten die Datenexporteure sich bewusst sein, dass es möglicherweise nicht in jedem Fall möglich ist, ausreichende ergänzende Maßnahmen zu ergreifen.
Die Empfehlungen zu den ergänzenden Maßnahmen werden der Öffentlichkeit zur Konsultation vorgelegt. Sie gelten unmittelbar nach ihrer Veröffentlichung.
Darüber hinaus nahm der EDSA Empfehlungen zu den wesentlichen europäischen Garantien für Überwachungsmaßnahmen an. Die Empfehlungen zu den wesentlichen europäischen Garantien ergänzen die Empfehlungen zu zusätzlichen Maßnahmen. Mit den Empfehlungen für wesentliche europäische Garantien werden den Datenexporteuren Elemente an die Hand gegeben, anhand derer festgestellt werden kann, ob der Rechtsrahmen für den Zugang öffentlicher Behörden zu Daten für Überwachungszwecke in Drittländern als gerechtfertigter Eingriff in das Recht auf Privatsphäre und den Schutz personenbezogener Daten angesehen werden kann und somit nicht die Verpflichtungen des Datenexporteurs und -importeurs nach Artikel 46 der DSGVO beeinträchtigt .
Die Vorsitzende fügt hinzu: „Das Schrems-II-Urteil wirkt sich auf alle Übermittlungen in Drittländer aus. Daher gibt es weder schnelle Lösungen noch eine Pauschallösung für alle Übermittlungen, da dies die große Vielfalt der Situationen, mit denen die Datenexporteure konfrontiert sind, außer Acht lassen würde. Die Datenexporteure müssen ihre Datenverarbeitungsvorgänge und Datenübermittlungen bewerten und wirksame Maßnahmen ergreifen. Dabei müssen sie die Rechtsordnung der Drittländer berücksichtigen, an die sie Daten übermitteln oder übermitteln wollen.“
Die EWR-Datenschutzbehörden werden ihre Maßnahmen im EDSA weiterhin koordinieren, um eine einheitliche Anwendung des EU-Datenschutzrechts zu gewährleisten.
Hinweise für die Redaktion:
Wir weisen darauf hin, dass alle im Rahmen der EDSA-Plenartagung angenommenen Dokumente den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen unterliegen und nach deren Abschluss auf der EDSA-Website zur Verfügung gestellt werden.
EDPB_Press Release_2020_18