Brüssel, 21. Juni – In seiner Plenartagung verabschiedete der EDSA nach erfolgter öffentlicher Konsultation eine endgültige Fassung der Empfehlungen zu ergänzenden Maßnahmen. Die Empfehlungen wurden erstmals im November 2020 nach dem Urteil des EuGH in der Rechtssache Schrems II angenommen. Sie zielen darauf ab, Verantwortliche und Auftragsverarbeiter, die als Datenexporteure fungieren, bei der Ermittlung und Durchführung geeigneter zusätzlicher Maßnahmen zu unterstützen, wenn diese erforderlich sind, um ein der Sache nach gleichwertiges Schutzniveau für die Daten, die sie an Drittländer übermitteln, zu gewährleisten.
Die endgültige Fassung der Empfehlungen enthält mehrere Änderungen, um auf die während der öffentlichen Konsultation eingegangenen Anmerkungen und Rückmeldungen einzugehen, und legt einen besonderen Schwerpunkt auf die Gepflogenheiten der Behörden eines Drittlandes.
Zu den wichtigsten Änderungen gehören: Hervorhebung der Bedeutung einer Prüfung der Gepflogenheiten von Behörden in Drittländern bei der rechtlichen Bewertung durch die Datenexporteure, um festzustellen, ob die Rechtsvorschriften und/oder die Vorgehensweisen des Drittlandes – in der Praxis – die Wirksamkeit des Übermittlungsinstruments gemäß Artikel 46 DSGVO beeinträchtigen; die Möglichkeit, dass der Datenexporteur bei seiner Bewertung, neben anderen Elementen und mit bestimmten Vorbehalten, die praktische Erfahrung des Datenimporteurs berücksichtigt; und die Klarstellung, dass die Rechtsvorschriften des Bestimmungsdrittlandes, die seinen Behörden den Zugriff auf die übermittelten Daten auch ohne die Intervention des Datenimporteurs erlauben, die Wirksamkeit des Übermittlungsinstruments beeinträchtigen können.
Im Hinblick auf die kürzlich von der Europäischen Kommission veröffentlichten neuen Standardvertragsklauseln (SCCs) für die internationale Übermittlung sind die Empfehlungen hilfreich, um „Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“ (Klausel 14 der neuen SCCs) zu prüfen, sowie, ob es erforderlich ist, ergänzende Maßnahmen umzusetzen.
Andrea Jelinek, Vorsitzende des EDSA, erklärte: „Die Auswirkungen von Schrems II dürfen nicht unterschätzt werden: Schon jetzt werden internationale Datenströme von den Aufsichtsbehörden, die auf ihren jeweiligen Ebenen Untersuchungen durchführen, viel genauer unter die Lupe genommen. Das Ziel der EDPB-Empfehlungen ist es, Datenexporteure bei der rechtmäßigen Übertragung von personenbezogenen Daten in Drittländer zu leiten und gleichzeitig zu gewährleisten, dass die übermittelten Daten ein Schutzniveau genießen, das dem im EWR garantierten Schutzniveau der Sache nach gleichwertig ist. Durch die Klärung einiger von den Interessenvertretern geäußerter Zweifel und insbesondere der Bedeutung der Prüfung der Gepflogenheiten von Behörden in Drittländern wollen wir es den Datenexporteuren leichter machen, ihre Übermittlungen in Drittländer zu bewerten und wirksame ergänzende Maßnahmen zu ermitteln und umzusetzen, wo diese erforderlich sind. Der EDSA wird die Auswirkungen des Schrems-II-Urteils und die von den Interessengruppen eingegangenen Anmerkungen in seinen künftigen Leitlinien weiter berücksichtigen.“
Der vollständige Text der Empfehlungen ist hier verfügbar:https://EDSA.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Der EDPB nahm ein an die Institutionen der EU gerichtetes Schreiben zu den Aspekten des Schutzes der Privatsphäre und des Datenschutzes bei einem möglichen digitalen Euro an. In dem Schreiben betont der EDSA, dass ein sehr hoher Standard in Bezug auf den Schutz der Privatsphäre und den Datenschutz von entscheidender Bedeutung ist, um das Vertrauen der Endnutzer zu stärken. Der Schutz sollte als ein unverwechselbares Element im Angebot eines digitalen Euros betrachtet werden, welches ein Schlüsselfaktor für den Erfolg ist. Solche Bedenken sollten bereits in der Konzeptionsphase berücksichtigt werden. Darüber hinaus empfiehlt der EDSA, dass die für die Konzeption des Projekts zuständige EU-Stelle eine umfangreiche Datenschutzfolgenabschätzung durchführt. Der EDSA weist ferner darauf hin, dass er bereit ist, die EZB oder andere Institutionen der EU zu beraten.
Schließlich benannte der EDSA drei Vertreter für das Beratungsgremium für Grundrechte des Europäischen Reiseinformations- und -genehmigungssystems (ETIAS), das die Aufgabe hat, die Auswirkungen der Bearbeitung von Anträgen zu bewerten, und dem eine wichtige Rolle dabei zukommt, die Einhaltung der Grundrechte durch das System zu gewährleisten, insbesondere in Bezug auf den Schutz der Privatsphäre und den Schutz personenbezogener Daten. Das Gremium wird sich aus Vertretern von FRONTEX, des EDSB, des EDSA und der Agentur für Grundrechte (FRA) zusammensetzen.
Während der Plenartagung verabschiedete der EDSA auch eine gemeinsame Stellungnahme von EDSA und EDSB zum Entwurf für eine KI-Verordnung. Zu diesem Thema wird im Laufe des Tages eine separate Pressemitteilung veröffentlicht.
Hinweise für die Redaktion:
Alle im Rahmen der EDSA-Plenartagung angenommenen Dokumente unterliegen den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen und werden nach deren Abschluss auf der EDSA-Website zur Verfügung gestellt.
EDPB_Press Release_2021_05