Empfehlungen des EDSA für Drittlandtransfers aktualisiert

23.06.2021

Der Europäische Datenschutzausschuss (EDSA) hat am 18.06.2021 nach Abschluss der öffentlichen Konsultation seine Empfehlungen für ergänzende Schutzmaßnahmen beim Transfer personenbezogener Daten in Drittländer außerhalb der EU und des EWR veröffentlicht. Es handelt sich dabei um eine Überarbeitung der im November 2020 veröffentlichen ersten Fassung der Empfehlungen.

Der EuGH hatte am 16.07.2020 entschieden, dass die Übermittlung personenbezogener Daten auf Grundlage des EU-US Privacy Shield unzulässig und bei der Nutzung von EU Standardvertragsklauseln eine eigene Wirksamkeitsprüfung durch die Verwender notwendig ist.

Der EDSA hält in der aktualisierten Fassung an dem von ihm entwickelten 6-Stufenmodell fest und verpflichtet den Datenexporteur zu einer individuelle Risikoanalyse und -dokumentation pro Datenübermittlung in ein Drittland. Zentrales Element dieser Risikoanalyse ist nach Randnummer 31 der Empfehlung eine Prüfung, ob und in welchem Umfang das Risiko eines behördlichen Zugriffs auf die Daten besteht.

Aus unternehmerischer Sicht ist insoweit erfreulich, dass sich der EDSA – ebenso wie die Europäische Kommission in den neuen Standardvertragsklauseln – in seinen finalen Empfehlungen für einen risikobasierten Ansatz bei der Beurteilung des Schutzniveaus beim Drittlandtransfer entschieden hat. Hierdurch entsteht ggf. mehr Rechtsicherheit für den Drittlandtransfer, wenn die Durchführung und Dokumentation einer Risikoanalyse im Einzelfall erfolgt.

Allein die Möglichkeit, dass ein Dienstleister im Rahmen der Wartung oder des Supports aus einem Drittland auf Daten zugreifen kann, reicht dem EDSA für die Annahme eines Drittlandtransfers aus. Dies trifft nicht nur Cloud-Provider sondern sehr viele international tätige Anbieter, die Support nach dem Follow-the-Sun-Prinzip arbeiten – also ihren Support rund um die Uhr anbieten und dabei stets von dort Support leisten, wo gerade reguläre Bürozeiten sind. Allerdings bestätigt der EDSA, dass wenn Anbieter aus der EU und dem EWR vertraglich eine Datenübermittlung in Drittländer ausdrücklich ausschließen (Randnummer 13), kein Drittlandtransfer angenommen wird.

Hinsichtlich der Möglichkeiten, sich für Datentransfers auf Ausnahmeregelungen nach Art. 49 DSGVO zu berufen, betont und bekräftigt der EDSA sein Verständnis, dass dies stets nur die Ausnahme und nie die Regel sein darf. Diese pauschale Aussage des EDSA dürfte jedenfalls hinsichtlich einer möglichen Einwilligung der Betroffenen fragwürdig sein. Die freie Entscheidung von Menschen, einem Drittlandtransfer zuzustimmen, kann der EDSA nach unserem Verständnis nicht beschränken. Gleichwohl müssen solche Einwilligungen allen Anforderungen von Art. 6, 7 und 49 DSGVO genügen.

Die in Annex 2 aufgeführten Beispielsfälle haben sich nicht wesentlich geändert. Der EDSA bleibt bei seiner Einschätzung, dass Datenverarbeitungen im Drittland aus seiner Sicht derzeit nicht möglich sind, wenn der Empfänger die Daten im Klartext lesen kann. Damit wären aber auch Datentransfers innerhalb von internationalen Unternehmensgruppen praktisch unmöglich (siehe dazu F.A.Z. Einspruch vom 16.11.2020 und unsere #UpdateIT Paneldiskussion zur Datenverarbeitung im Konzern). Der EDSA hält aber an seinem Beispiel fest, nachdem eine wirksame Pseudonymisierung eine geeignete Schutzmaßnahme sein kann, die einen Drittlandtransfer von Daten ermöglich.

Praxistipp:

Die Übermittlung personenbezogener Daten in Drittländer und der Einsatz von internationalen Cloud-Providern bleibt weiterhin schwierig. Die aktualisierten Empfehlungen des EDSA und die neuen EU-Standardvertragsklauseln müssen ab sofort zentraler Baustein jedes Datentransfers in ein Drittland werden. Unternehmen müssen ihre Risikoanalysen dokumentieren und sollten bei der Festlegung der Schutzmaßnahmen die Empfehlungen des EDSA unbedingt berücksichtigen. Eine einfache one-fits-all-Lösung gibt es leider weiterhin nicht. Die Prüftätigkeit der Behörden zeigt aber, dass Unternehmen sich hier unbedingt vorbereiten müssen.

Die SKW Taskforce Datenschutz unterstützt Sie gerne bei der Durchführung einer detaillierten Risikobewertung im Drittland (6-Stufenplan) oder bei der Implementierung der neuen Standardvertragsklauseln. Wir haben ein Tool zur Durchführung des Risk Assessments entwickelt und stellen dies unseren Mandanten gerne zur Verfügung.