Wie in unse­rem letz­ten Blog­bei­trag erwähnt, hat der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) Emp­feh­lun­gen für den Daten­trans­fer in ein Dritt­land gem. der DSGVO ver­öf­fent­licht. Im Doku­ment wur­de auf die Ver­ant­wor­tung des Daten­ex­por­teurs akzen­tu­iert – Daten­über­mitt­lun­gen in ein Dritt­land genau zu prü­fen, um ein ver­gleich­ba­res Daten­schutz­ni­veau wie in der EU sicher­zu­stel­len. Dafür hat der EDSA ein sechs­stu­fi­ges Ver­fah­ren dar­ge­stellt:

In der ers­ten Stu­fe emp­fiehlt der EDSA, dass der Daten­ex­por­teur die Über­mitt­lun­gen kennt, um sicher­zu­stel­len, dass sie über­all dort, wo sie ver­ar­bei­tet wer­den, ein im Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau erhal­ten. Der Daten­ex­por­teur muss sicher­stel­len, dass die über­tra­ge­nen Daten ange­mes­sen, rele­vant und auf sich beschränkt sind. Das ist erfor­der­lich in Bezug auf die Zwe­cke, für die die Daten in das Dritt­land über­mit­telt und dort ver­ar­bei­tet wer­den. Des Wei­te­ren müs­sen alle Über­mitt­lun­gen in ein Dritt­land doku­men­tiert wer­den (gem. Art. 30 DSGVO). Der EDSA ist der Mei­nung, dass schon jede Zugriffs­mög­lich­keit aus einem Dritt­land (z.B. Wartung/Support) eine Daten­über­mitt­lung dar­stellt. Daten­über­mitt­lung an Sub­un­ter­neh­men in Dritt­län­dern sind auch zu berück­sich­ti­gen.

In der zwei­ten Stu­fe emp­fiehlt der EDSA die Trans­fer­in­stru­men­te zu über­prü­fen. Der EDSA weist dar­auf hin, dass sich Daten­ex­por­teu­re auf Ange­mes­sen­heits­be­schlüs­se der EU-Kom­mis­si­on beru­fen kön­nen- solan­ge die Ent­schei­dung noch in Kraft ist, müs­sen Daten­ex­por­teu­re kei­ne wei­te­ren Schrit­te unter­neh­men außer der Über­wa­chung, dass der Ange­mes­sen­heits­be­schluss gül­tig bleibt. Wenn es sich um die Trans­fer­in­stru­men­te gem. der Aus­nah­me­tat­be­stän­de (Art. 49 DSGVO) han­delt, sind die­se in ihrem Anwen­dungs­be­reich laut EDSA eng aus­zu­le­gen.

In der drit­ten Stu­fe wird auf die Beur­tei­lung hin­ge­wie­sen – es ist zu prü­fen, ob in der Gesetz­ge­bung oder Pra­xis des Dritt­lands etwas gibt, dass auf die Wirk­sam­keit der ange­mes­senen Sicher­heits­vor­keh­run­gen der Trans­fer­in­stru­men­te ein­wir­ken kann. Die Ein­zel­fall­prü­fung der kon­kre­ten Daten­über­mitt­lung soll nach EDSA unter Berück­sich­ti­gung aller Ver­ar­bei­tungs­schrit­te und aller betrof­fe­nen Dritt­län­der erfol­gen (dar­un­ter auch Sub­un­ter­neh­mer). Bei der Prü­fung der Maß­nah­men ver­weist EDSA auf die Essen­zie­len Euro­päi­schen Garan­tien (zu denen EDSA auch Emp­feh­lun­gen ver­öf­fent­licht hat). An die­ser Stel­le wird noch Mal die Ver­ant­wor­tung des Daten­ex­por­teurs für die Über­mitt­lung betont – er soll die­se Bewer­tung mit der gebo­te­nen Sorg­falt durch­füh­ren und gründ­lich doku­men­tie­ren, da er für die Ent­schei­dung, die er auf die­ser Grund­la­ge trifft, zur Rechen­schaft gezo­gen wer­den kann.

In der vier­ten Stu­fe sind die Iden­ti­fi­zie­rung und Ver­ab­schie­dung zusätz­li­cher Maß­nah­men erfor­der­lich, nur aber wenn die Prü­fung zum Ergeb­nis gelangt, dass die ver­ein­bar­ten Garan­tien nach Art. 46 DSGVO kein ange­mes­se­nes Schutz­ni­veau sicher­stel­len. Dazu hat der EDSA im Anhang zum Doku­ment eine Mehr­zahl an Bei­spie­len gege­ben, die für die Pra­xis gro­ße Rele­vanz haben kön­nen. Die zusätz­li­chen Maß­nah­men kön­nen ver­trag­li­cher, tech­ni­scher oder orga­ni­sa­to­ri­scher Art sein. Wenn es sich um behörd­li­che Zugrif­fe auf die Daten han­delt, stel­len laut EDSA die ver­trag­li­chen und orga­ni­sa­to­ri­schen Maß­nah­men kei­nen wirk­sa­men Schutz dar. In den Fäl­len, in denen kei­ne ergän­zen­de Maß­nah­me geeig­net ist, müs­sen die Über­mitt­lun­gen ver­mie­den, aus­ge­setzt oder been­det wer­den, um eine Beein­träch­ti­gung des Schutz­ni­veaus der per­so­nen­be­zo­ge­nen Daten zu ver­mei­den. Der EDSA erkennt die Pseud­ony­mi­sie­rung von Daten als mög­li­che Maß­nah­me für die Über­mitt­lung, sofern der Daten­im­por­teur (auch die aus­län­di­sche Behör­de) kei­ne Mög­lich­keit hat Rück­schüs­se auf ein­zel­ne Per­so­nen zu zie­hen.

In der fünf­ten Stu­fe erfolgt eine for­ma­le Bestä­ti­gung der Ver­fah­rens­schrit­te. Es ist expli­zit erwähnt, dass zu eini­gen davon mög­li­cher­wei­se die zustän­di­ge Auf­sichts­be­hör­de kon­tak­tiert wer­den muss. Es ist aber klar­ge­stellt, dass zusätz­li­che Ver­ein­ba­run­gen zu den EU-Stan­dard­ver­trags­klau­seln die Zustim­mung oder Frei­ga­be der zustän­di­gen Auf­sichts­be­hör­de nicht bedür­fen, solan­ge die­se den EU-Stan­dard­ver­trags­klau­seln nicht wider­spre­chen und kei­ne Ände­run­gen in der For­mu­lie­rung der EU-Stan­dard­ver­trags­klau­sel vor­ge­nom­men wer­den, d.h. nur Ergän­zun­gen und zusätz­li­che Rege­lun­gen sind erlaubt.

In der sechs­ten Stu­fe han­delt es sich dar­um alle getrof­fe­nen Maß­nah­men in ange­mes­senen Zeit­ab­stän­den neu zu bewer­ten und zu über­wa­chen – ob es Ent­wick­lun­gen gibt oder geben wird, die sich dar­auf aus­wir­ken. Wenn der Daten­im­por­teur gegen die ver­ein­bar­ten Maß­nah­men und Rege­lun­gen ver­stößt, stellt der EDSA klar, dass die Maß­nah­men eine kurz­fris­ti­ge Been­di­gung der Daten­über­mitt­lung ermög­li­chen müs­sen.