Datenexporteure, die Garantien gemäß Art. 46 DS-GVO nutzen, müssen zusätzliche Prüfungen anstellen und bei Bedarf ergänzende Maßnahmen treffen. Das hat der Europäische Gerichtshof in seinem „Schrems II“-Urteil (C-311/18 vom 16.07.2020) klargestellt. Dies betrifft zum Beispiel die häufig verwendeten Standarddatenschutzklauseln (Standardvertragsklauseln), aber auch alle anderen Instrumente des Art. 46 DS-GVO, zum Beispiel verbindliche interne Datenschutzklauseln (BCR).

Die folgenden Schritte erleichtern die Prüfung:

1. Schritt: Die Datenübermittlungen kennen

Um welche Datenübermittlung geht es? (Was, wozu, wohin?)

2. Schritt: Auswahl der eingesetzten Übermittlungsinstrumente

Welches Instrument gemäß Art. 46 DS-GVO wird für die Übermittlung genutzt?

3. Schritt: Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments gemäß Artikel 46 DSGVO im Hinblick auf die Gesamtumstände der Übermittlung

Ist dieses Instrument im Drittland effektiv?

Dazu muss geprüft werden, ob Umstände im Drittland verhindern, dass das genutzte Instrument umfassend wirksam ist. Das ist besonders dann der Fall, wenn im Drittland staatliche Zugriffe zu befürchten sind, die durch das Instrument nicht verhindert werden können, und dies mit dem europäischen Rechtsrahmen nicht vereinbar sind. Wenn das so ist, ist weiter zu prüfen:

4. Schritt: Zusätzliche Maßnahmen ergreifen

Können ergänzende Maßnahmen die Defizite beseitigen?

Wenn das nicht so ist, darf die Übermittlung so nicht stattfinden.

Wenn es solche Maßnahmen gibt: Geeignete Maßnahmen implementieren.

5. Schritt: Verfahrensschritte nach Ermittlung effektiver zusätzlicher Maßnahmen

Der fünfte Schritt ist die Einleitung aller förmlichen Verfahrensschritte, die ggf. für die zusätzliche Maßnahme erforderlich sind, je nachdem, welches der in Artikel 46 DSGVO genannten Übermittlungsinstrumente der Datenexporteur auswählt.

6. Schritt: Neubewertung in angemessenen Abständen

Der Grundsatz der Rechenschaftspflicht erfordert ständige Wachsamkeit hinsichtlich des Schutzniveaus für die personenbezogenen Daten.

Der Europäische Datenschutzausschuss (EDSA) gibt Empfehlungen, wie eine Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs rechtssicher gestaltet werden kann.

Die Empfehlungen unterstützen die Verantwortlichen und Auftragsverarbeiter, die als Datenexporteure tätig sind, bei ihrer Pflicht, geeignete ergänzende Maßnahmen aufzufinden und umzusetzen. Dazu enthalten die Empfehlungen

• Prüfschritte,
• Beispiele für zusätzliche Maßnahmen und
• Bedingungen für die Wirksamkeit von zusätzlichen Maßnahmen.

Die "Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten (Version 2.0) Angenommen am 18. Juni 2021" wurden nach einer öffentlichen Konsultation überarbeitet.

Eine Roadmap in englischer Sprache informiert über die Schritte einer zulässigen Datenübermittlung.

Außerdem gibt der EDSA dazugehörige Empfehlungen zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen. Diese helfen Datenexporteuren festzustellen, wie der Rechtsrahmen im Drittland, der den Zugang von Behörden zu Daten für Überwachungszwecke regelt, die Verpflichtungen des Übertragungsinstruments nach Artikel 46 DS-GVO berührt.

Die folgenden Gutachten sind ein Service der Datenschutzaufsichtsbehörden, um Datenexporteuren die Prüfung zu erleichtern. Die Gutachten sollen eine bessere Einschätzung ermöglichen, wie sich der Rechtsrahmen in bestimmten Drittländern auf Garantien nach Artikel 46 DS-GVO auswirkt, die ein Datenexporteur bei der Übermittlung von Daten in diese Staaten sicherstellen muss. Als unabhängige wissenschaftliche Untersuchungen entfalten die Gutachten keine für die Beurteilung von Einzelfällen unmittelbar verbindliche Wirkung.

Der Europäische Datenschutzausschuss (EDSA) hat im November 2021 das Gutachten "Government access to data in third countries" zur Rechtslage in China, Indien und Russland veröffentlicht.

Mit Stand 2023 hat der EDSA zudem Gutachten zum staatlichen Zugriff auf personenbezogene Daten in den Ländern Brasilien, Mexiko und der Türkei veröffentlicht. Sie beschränken sich hierbei jeweils auf die Prüfung staatlichen Zugriffs aus Gründen der nationalen Sicherheit und der Strafverfolgung.

Die Datenschutzkonferenz (DSK) hat ein Gutachten von Professor Stephen I. Vladeck vom 15.11.2021 zur Rechtslage in den USA unter dem Titel Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse veröffentlicht. Soweit eine Datenübermittlung in die USA an eine Stelle erfolgt, die nach dem EU-U.S. Data Privacy Framework zertifiziert ist, und sich also auf den Angemessenheitsbeschluss stützen kann, ist eine gesonderte Bewertung der Rechtslage nicht erforderlich und das Gutachten daher nicht zu berücksichtigen.

Datenexporteure müssen ihren Entscheidungsprozess gründlich dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO). Die Datenexporteure sind dafür verantwortlich, die konkrete Beurteilung im Zusammenhang mit der Übermittlung, dem Recht des Drittlandes und dem Übertragungsinstrument, auf das sie sich stützen, vorzunehmen.