Pres­se­mit­tei­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 21.06.2021

Mit Durch­füh­rungs­be­schluss vom 4. Juni 2021 hat die Euro­päi­sche Kom­mis­si­on neue Stan­dard­ver­trags­klau­seln erlas­sen, die eine rechts­kon­for­me Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der ermög­li­chen sol­len. Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (Daten­schutz­kon­fe­renz, DSK) weist wie auch der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) dar­auf hin, dass auch bei Ver­wen­dung der neu­en EU-Stan­dard­ver­trags­klau­seln eine Prü­fung der Rechts­la­ge im Dritt­land und zusätz­li­cher ergän­zen­der Maß­nah­men erfor­der­lich ist.

In ihrem Beschluss ist die EU-Kom­mis­si­on unter ande­rem auf die „Schrems II“-Entscheidung des Euro­päi­schen Gerichts­hofs (EuGH) ein­ge­gan­gen. Der EuGH hat­te in sei­nem Urteil vom 16. Juli 2020 (Rs. C‑311/​18 – Schrems II) fest­ge­stellt, dass Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Die von der EU-Kom­mis­si­on beschlos­se­nen Stan­dard­ver­trags­klau­seln kön­nen zwar grund­sätz­lich wei­ter­hin als Rechts­grund­la­ge für Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Dritt­län­der her­an­ge­zo­gen wer­den. Aller­dings müs­sen alle Ver­ant­wort­li­chen ergän­zend eine Prü­fung durch­füh­ren, ob die Rechts­la­ge oder die Pra­xis in dem jewei­li­gen Dritt­land nega­ti­ven Ein­fluss auf das durch die Stan­dard­ver­trags­klau­seln gewähr­lei­ste­te Schutz­ni­veau haben kön­nen. Ist dies der Fall, etwa weil die Behör­den des Dritt­lands über­mä­ßi­ge Zugriffs­rech­te auf ver­ar­bei­te­te Daten haben, müs­sen die Ver­ant­wort­li­chen vor der Daten­über­mitt­lung in das Dritt­land zusätz­li­che Maß­nah­men ergrei­fen, um wie­der ein Schutz­ni­veau zu gewähr­lei­sten, das dem in der Euro­päi­schen Uni­on garan­tier­ten Niveau der Sache nach gleich­wer­tig ist. Ist dies nicht mög­lich, müs­sen die Über­mitt­lun­gen unterbleiben.

Für die Prü­fung der Rechts­la­ge im Dritt­land und der ergän­zen­den Maß­nah­men kön­nen Ver­ant­wort­li­che die „Emp­feh­lun­gen 01/​2020 zu Maß­nah­men zur Ergän­zung von Über­mitt­lungs­tools zur Gewähr­lei­stung des uni­ons­recht­li­chen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten“ her­an­zie­hen. Deren end­gül­ti­ge Fas­sung hat der EDSA nach öffent­li­cher Kon­sul­ta­ti­on am 18. Juni 2021 beschlos­sen (https://​edpb​.euro​pa​.eu/​s​y​s​t​e​m​/​f​i​l​e​s​/​2​021 – 06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf ).

An der beschrie­be­nen Situa­ti­on und den sich dar­aus erge­ben­den Ver­pflich­tun­gen hat sich durch die neu­en Stan­dard­ver­trags­klau­seln nichts geän­dert. Die­se regeln die bis­her nur aus der Recht­spre­chung des EuGH fol­gen­den Anfor­de­run­gen nun viel­mehr aus­drück­lich (Klau­sel 14). Die EU-Kom­mis­si­on und der EDSA haben die neu­en Stan­dard­ver­trags­klau­seln und die Emp­feh­lun­gen 01/​2020 bewusst auf­ein­an­der abge­stimmt. Das heißt, auch bei Ver­wen­dung der neu­en Klau­seln muss der Daten­ex­por­teur die Rechts­la­ge und ‑pra­xis des Dritt­lands prü­fen und ggf. zusätz­li­che Schutz­maß­nah­men ergrei­fen bzw., wenn dies nicht gelingt, von der Über­mitt­lung Abstand nehmen.

In sei­nem Urteil „Schrems II“ hat der Euro­päi­sche Gerichts­hof das Daten­schutz­ni­veau in den USA im Detail geprüft und für unzu­rei­chend befun­den. Im Fall von Daten­über­mitt­lun­gen in die USA sind daher regel­mä­ßig ergän­zen­de Maß­nah­men erfor­der­lich, die einen Zugriff der US-Behör­den auf die ver­ar­bei­te­ten Daten ver­hin­dern. Sol­che Maß­nah­men sind aller­dings nur für weni­ge Fäl­le denkbar.

Unter­neh­men und ande­re Akteu­re, die per­so­nen­be­zo­ge­ne Daten in Dritt­län­der über­mit­teln, müs­sen gegen­über der Auf­sichts­be­hör­de nach­wei­sen kön­nen, dass sie die hier dar­ge­stell­te Prü­fung zum Schutz­ni­veau im Dritt­land im Ein­zel­fall durch­ge­führt haben und zu einem posi­ti­ven Ergeb­nis gekom­men sind. Die deut­schen Auf­sichts­be­hör­den haben mit Bera­tun­gen und Prü­fun­gen dazu begon­nen, ob und wie die Anfor­de­run­gen des „Schrems II“-Urteils ein­ge­hal­ten werden.

Wei­te­re Infor­ma­tio­nen zur DSK: www​.daten​schutz​kon​fe​renz​-online​.de