Ergänzende Maßnahmen

Bei allen geeigneten Garantien nach Art. 46 DS-GVO sind zusätzliche Prüfungen und bei Bedarf zusätzliche Maßnahmen erforderlich.

Datenexporteure, die Garantien gemäß Art. 46 DS-GVO nutzen, müssen zusätzliche Prüfungen anstellen und bei Bedarf ergänzende Maßnahmen treffen. Das hat der Europäische Gerichtshof in seinem „Schrems II“-Urteil (C-311/18 vom 16.07.2020) klargestellt. Dies betrifft zum Beispiel die häufig verwendeten Standarddatenschutzklauseln (Standardvertragsklauseln), aber auch alle anderen Instrumente des Art. 46 DS-GVO, zum Beispiel verbindliche interne Datenschutzklauseln (BCR).

Prüfschritte

Die folgenden Schritte erleichtern die Prüfung:

1. Schritt: Die Datenübermittlungen kennen

Um welche Datenübermittlung geht es? (Was, wozu, wohin?)

2. Schritt: Auswahl der eingesetzten Übermittlungsinstrumente

Welches Instrument gemäß Art. 46 DS-GVO wird für die Übermittlung genutzt?

3. Schritt: Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments gemäß Artikel 46 DSGVO im Hinblick auf die Gesamtumstände der Übermittlung

Ist dieses Instrument im Drittland effektiv?

Dazu muss geprüft werden, ob Umstände im Drittland verhindern, dass das genutzte Instrument umfassend wirksam ist. Das ist besonders dann der Fall, wenn im Drittland staatliche Zugriffe zu befürchten sind, die durch das Instrument nicht verhindert werden können, und dies mit dem europäischen Rechtsrahmen nicht vereinbar sind. Wenn das so ist, ist weiter zu prüfen:

4. Schritt: Zusätzliche Maßnahmen ergreifen

Können ergänzende Maßnahmen die Defizite beseitigen?

Wenn das nicht so ist, darf die Übermittlung so nicht stattfinden.

Wenn es solche Maßnahmen gibt: Geeignete Maßnahmen implementieren.

5. Schritt: Verfahrensschritte nach Ermittlung effektiver zusätzlicher Maßnahmen

Der fünfte Schritt ist die Einleitung aller förmlichen Verfahrensschritte, die ggf. für die zusätzliche Maßnahme erforderlich sind, je nachdem, welches der in Artikel 46 DSGVO genannten Übermittlungsinstrumente der Datenexporteur auswählt.

6. Schritt: Neubewertung in angemessenen Abständen

Der Grundsatz der Rechenschaftspflicht erfordert ständige Wachsamkeit hinsichtlich des Schutzniveaus für die personenbezogenen Daten.

Empfehlungen

Der Europäische Datenschutzausschuss (EDSA) gibt Empfehlungen, wie eine Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs rechtssicher gestaltet werden kann.

Die Empfehlungen unterstützen die Verantwortlichen und Auftragsverarbeiter, die als Datenexporteure tätig sind, bei ihrer Pflicht, geeignete ergänzende Maßnahmen aufzufinden und umzusetzen. Dazu enthalten die Empfehlungen

• Prüfschritte,

• Beispiele für zusätzliche Maßnahmen und

• Bedingungen für die Wirksamkeit von zusätzlichen Maßnahmen.

Die „Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus für personenbezogene Daten in endgültiger Fassung (Version 2.0) wurden nach einer öffentlichen Konsultation überarbeitet. Sie liegen noch nicht auf Deutsch vor (Stand Juni 2021).

Eine Roadmap in englischer Sprache informiert über die Schritte einer zulässigen Datenübermittlung.

Außerdem gibt der EDSA dazugehörige Empfehlungen zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen. Diese helfen Datenexporteuren festzustellen, wie der Rechtsrahmen im Drittland, der den Zugang von Behörden zu Daten für Überwachungszwecke regelt, die Verpflichtungen des Übertragungsinstruments nach Artikel 46 DS-GVO berührt.

Gutachten

Der Europäische Datenschutzausschuss (EDSA) hat im November 2021 das Gutachten "Government access to data in third countries" zur Rechtslage in China, Indien und Russland unter dem Titel Government access to data in third countries veröffentlicht.

Die Datenschutzkonferenz (FDK) hat ein Gutachten von Professor Stephen I. Vladeck vom 15.11.2021 zur Rechtslage in den USA unter dem Titel Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse veröffentlicht.

Diese Gutachten sollen eine bessere Einschätzung ermöglichen, wie sich der Rechtsrahmen in den Drittländern China, Indien und Russland und den USA, der den Zugang von Behörden zu Daten für Überwachungszwecke regelt, auf Garantien nach Artikel 46 DS-GVO auswirkt, die ein Verantwortlicher bei der Übermittlung von Daten in diese Staaten sicherstellen muss. Als unabhängige wissenschaftliche Untersuchungen entfalten die Gutachten keine für die Beurteilung von Einzelfällen unmittelbar verbindliche Wirkung.

Rechenschaftspflicht

Datenexporteure müssen ihren Entscheidungsprozess gründlich dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO). Die Datenexporteure sind dafür verantwortlich, die konkrete Beurteilung im Zusammenhang mit der Übermittlung, dem Recht des Drittlandes und dem Übertragungsinstrument, auf das sie sich stützen, vorzunehmen.