Seit 16.7.2020 müssen wir mit den "Konsequenzen" von Schrems-II bei internationalen Datentransfers (außerhalb, aber auch innerhalb von Konzernbeziehungen) "leben" und die Datentransfers anpassen, evaluieren, aber insbes. "ergänzende Maßnahmen" treffen, um das Datenschutzniveau im Empfängerland auf ein Niveau zu heben, dass ausreichenden Schutz für die natürlichen Personen bzw. deren personenbezogene Daten bietet.
Der Europäische Datenschutzausschuss hat sich nun mit diesem Thema auseinandergesetzt, und auf 38 Seiten dargelegt, wie die europäischen Datenschutzbehörden es sich vorstellen, dass Verantwortliche (Controller) ihre Datenströme in Drittländer "organisieren" bzw. auf eine datenschutzrechtlich konforme Basis stellen. Dies stellt viele Unternehmen vor große Herausforderungen.
Auf der Website des EDSA findet sich dazu folgender Text:
"Die Empfehlungen zielen darauf ab, die für die Verarbeitung Verantwortlichen und Verarbeiter, die als Datenexporteure tätig sind, bei ihrer Pflicht zu unterstützen, geeignete zusätzliche Maßnahmen zu ermitteln und umzusetzen, wenn diese erforderlich sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie die Daten zu gewährleisten, die sie in Drittländer übermitteln. Dabei strebt das EDPB eine einheitliche Anwendung des GDPR und des Urteils des Gerichtshofs im gesamten EWR an.
Der Vorsitzende des EDPB, Andrea Jelinek, sagte:
"Der EDPB ist sich der Auswirkungen des Schrems-II-Urteils auf Tausende von EU-Unternehmen und der großen Verantwortung, die es den Datenexporteuren auferlegt, sehr wohl bewusst. Der EDPB hofft, dass diese Empfehlungen den Datenexporteuren dabei helfen können, wirksame ergänzende Maßnahmen zu ermitteln und umzusetzen, wo sie benötigt werden. Unser Ziel ist es, die rechtmäßige Übermittlung personenbezogener Daten in Drittländer zu ermöglichen und gleichzeitig zu gewährleisten, dass die übermittelten Daten ein Schutzniveau erhalten, das im Wesentlichen dem innerhalb des EWR garantierten Schutzniveau entspricht".
Die Empfehlungen enthalten einen Fahrplan mit den Schritten, die Datenexporteure unternehmen müssen, um herauszufinden, ob sie zusätzliche Maßnahmen ergreifen müssen, um Daten in Übereinstimmung mit dem EU-Recht in Länder außerhalb des EWR transferieren zu können, und um ihnen zu helfen, diejenigen zu identifizieren, die wirksam sein könnten.
Um Datenexporteure zu unterstützen, enthalten die Empfehlungen auch eine nicht erschöpfende Liste von Beispielen für zusätzliche Maßnahmen und einige der Bedingungen, die sie benötigen würden, um wirksam zu sein.
Letztendlich sind die Datenexporteure jedoch dafür verantwortlich, die konkrete Beurteilung im Zusammenhang mit der Übermittlung, dem Recht des Drittlandes und dem Übertragungsinstrument, auf das sie sich stützen, vorzunehmen.
Datenexporteure müssen mit der gebührenden Sorgfalt vorgehen und ihren Prozess gründlich dokumentieren, da sie für die Entscheidungen, die sie auf dieser Grundlage treffen, im Einklang mit dem DSGVO-Prinzip der Rechenschaftspflicht zur Rechenschaft gezogen werden.
Darüber hinaus sollten Datenexporteure wissen, dass es möglicherweise nicht in jedem Fall möglich ist, ausreichende ergänzende Maßnahmen durchzuführen. [...]
Der Vorsitzende fügte hinzu:
"Die Auswirkungen des Schrems-II-Urteils erstrecken sich auf alle Übermittlungen in Drittländer. Daher gibt es weder schnelle Lösungen noch eine Einheitslösung für alle Transfers, da dies bedeuten würde, die große Vielfalt der Situationen zu ignorieren, mit denen Datenexporteure konfrontiert sind. Datenexporteure müssen ihre Datenverarbeitungsvorgänge und -übermittlungen bewerten und wirksame Maßnahmen unter Berücksichtigung der Rechtsordnung der Drittländer ergreifen, in die sie Daten übermitteln oder zu übermitteln beabsichtigen."
Kommentar schreiben