Empfehlungen zum Datentransfer in Drittländer nach dem "Schrems II"-Urteil

(19.07.2021) Der Europäische Datenschutzausschuss (EDSA) gibt Empfehlungen wie eine Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung der neueren Rechtsprechung des Europäischen Gerichtshofs (EuGH) rechtssicher gestaltet werden kann.

Die Empfehlungen wurden im Anschluss an das "Schrems II"-Urteil des Europäischen Gerichtshofs (EuGH) von den europäischen Datenschutzaufsichtsbehörden ausgearbeitet. Ziel ist die einheitliche Anwendung der Datenschutz-Grundverordnung (DS-GVO) und des Urteils.

Als Folge des „Schrems II“-Urteils sind für Datenexporteure weitere Pflichten deutlich geworden. Sie müssen prüfen, ob das Recht des Drittlandes für die übermittelten personenbezogenen Daten im Wesentlichen ein im Europäischen Wirtschaftsraum garantiertes Schutzniveau gewährleistet. Das betrifft insbesondere das Instrument der Standardvertragsklauseln (SCC).

Wenn die in den SCCs enthaltenen Schutzmaßnahmen für die Übermittlung in ein bestimmtes Drittland nicht ausreichen, fordert der EuGH ergänzende Maßnahmen. Das gilt entsprechend für andere Instrumente zur Drittlandübermittlung nach Art. 46 Datenschutz-Grundverordnung.  

Die Empfehlungen unterstützen die Verantwortlichen und Auftragsverarbeiter, die als Datenexporteure tätig sind, bei ihrer Pflicht, geeignete ergänzende Maßnahmen aufzufinden und umzusetzen. Dazu enthalten die Empfehlungen

  • Prüfschritte,
  • Beispiele für zusätzliche Maßnahmen und
  • Bedingungen für die Wirksamkeit von zusätzlichen Maßnahmen.

Die „Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus für personenbezogene Daten in endgültiger Fassung (Version 2.0) wurden nach einer öffentlichen Konsultation überarbeitet. Sie liegen noch nicht auf Deutsch vor (Stand Juni 2021).

Eine Roadmap in englischer Sprache informiert über die Schritte einer zulässigen Datenübermittlung.

Außerdem gibt der EDSA dazugehörige Empfehlungen zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen. Diese helfen Datenexporteuren festzustellen, wie der Rechtsrahmen im Drittland, der den Zugang von Behörden zu Daten für Überwachungszwecke regelt, die Verpflichtungen des Übertragungsinstruments nach Artikel 46 DS-GVO berührt.

Datenexporteure müssen ihren Entscheidungsprozess wegen der Rechenschaftspflicht gründlich dokumentieren. Die Datenexporteure sind dafür verantwortlich, die konkrete Beurteilung im Zusammenhang mit der Übermittlung, dem Recht des Drittlandes und dem Übertragungsinstrument, auf das sie sich stützen, vorzunehmen.

Es ist nicht in jedem Fall möglich, ausreichende ergänzende Maßnahmen aufzufinden und umzusetzen. Dann ist auf eine Übermittlung zu verzichten.

zurück zur Übersicht