Verschlüsseung der Daten als "zusätzliche Maßnahme" iSd Schrems-II-Urteils des EuGH zum internationalen Datentransfer
Seit Schrems-II (16.7.2020) wissen wir, dass es für einen Datentransfer in ein (unsicheres) Drittland - wie zB die USA - nicht ausreichend ist, Standardvertragsklauseln oder Standarddatenschutzklauseln nach den Vorgaben abzuschließen.
Es bedarf zusätzlicher vertraglicher, organisatorischer oder technischer Maßnahmen, wobei vertragliche Maßnahmen die Behörden in den USA nicht binden, sodass diese alleine nicht ausreichend sein werden.
Verschlüsselung als zusätzliche technische Maßnahme
In der aktuellen Entscheidung der öDSB und der CNIL finden sich Aussagen zur Frage, ob eine Verschlüsselung der Daten ausreichen würde, um eine ausreichende technische Maßnahmen darzustellen.
Aussage der CNIL (französisch)
Aussage der CNIL (engl. Maschinenübersetzung)
Aussage der öDSB im Teilbescheid
Aussage der öDSB (engl. Maschinenübersetzung bei noyb.eu
Fazit: nur wenn der Verantwortliche (in der EU) über den Schlüssel verfügt, ist die Verschlüsselung eine taugliche zusätzliche Maßnahme.
Kommentar schreiben
Reinhard Raberger (Freitag, 03 Juni 2022 10:56)
Änderungsvorschlag zur Formulierung des "Fazits":
Nur wenn der EU-externe Datenimporteur NICHT über den Schlüssel verfügt, ist die Verschlüsselung eine taugliche zusätzliche Maßnahme.