Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2021

Datenschutz-Aufsichtsbehörden: Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig

Nr.20210622  | 22.06.2021  | DSMV  | datenschutz-mv.de

Mit Durchführungsbeschluss vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, die eine rechtskonforme Übermittlung per-sonenbezogener Daten in Drittländer ermöglichen sollen. Die Konferenz der unab-hängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutz-konferenz, DSK)  weist wie auch der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen er-forderlich ist.

In ihrem Beschluss ist die EU-Kommission unter anderem auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) eingegangen. Der EuGH hatte in seinem Urteil vom 16. Juli 2020 (Rs. C 311/18 – Schrems II) festgestellt, dass Übermittlungen personenbezogener Daten in die USA nicht länger auf Basis des so-genannten Privacy Shields erfolgen können. Die von der EU-Kommission beschlos-senen Standardvertragsklauseln können zwar grundsätzlich weiterhin als Rechts-grundlage für Übermittlungen personenbezogener Daten in Drittländer herangezo-gen werden. Allerdings müssen alle Verantwortlichen ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negati-ven Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzni-veau haben können. Ist dies der Fall, etwa weil die Behörden des Drittlands über-mäßige Zugriffsrechte auf verarbeitete Daten haben, müssen die Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der Europäischen Union ga-rantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssen die Übermittlungen unterbleiben.

Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen kön-nen Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ heranziehen. Deren endgültige Fassung hat der EDSA nach öffentlicher Konsultation am 18. Juni 2021 beschlossen (https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf ).
An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun viel-mehr ausdrücklich (Klausel 14). Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Daten-exporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.