DSK und EDSA: Trotz Standardvertragsklauseln die Rechtslage prüfen

Wer personenbezogen Daten in Drittländer übermittelt und dafür die EU-Standardvertragsklauseln nutzt, muss trotzdem die Rechtslage im Drittland prüfen. Darauf weisen die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) und der Europäische Datenschutzausschuss (EDSA) hin.

Die Europäische Kommission hat mit Durchführungsbeschluss vom 4. Juni 2021 neue Standardvertragsklauseln erlassen.

Neue EU-Standardvertragsklauseln

Die neuen EU- Standardvertragsklauseln sollen eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer möglich machen.

Hintergrund ist die so genannte „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH).

Zusätzliche Prüfung

„Allerdings müssen alle Verantwortlichen ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können“, heißt es in der Pressemitteilung der DSK vom 21. Juni.

Zusätzliche Maßnahmen

Haben die Behörden des Drittlands zum Beispiel übermäßige Zugriffsrechte auf verarbeitete Daten, müssen die Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen.

Ziel ist es „Exporteure bei der rechtmäßigen Übermittlung personenbezogener Daten in Drittländer zu unterstützen und gleichzeitig zu gewährleisten, dass die übermittelten Daten ein Schutzniveau genießen, das im Wesentlichen dem im Europäischen Wirtschaftsraum garantierten entspricht“, betont Andrea Jelinek, die Vorsitzende des Europäischen Datenschutzausschusses, in der Pressemitteilung des Ausschusses vom 21. Juni 2021.

Ist das nicht möglich, dürfen die Verantwortlichen keine personenbezogenen Daten in Drittländer übermitteln.

Tipps für die Prüfung

Für die Prüfung der Rechtslage im Drittland und für die ergänzenden Maßnahmen können Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ nutzen.

Die endgültige Fassung der Empfehlungen hat der EDSA am 18. Juni 2021 beschlossen und in Englisch veröffentlicht.

In sechs Schritten vorgehen

In der Zusammenfassung des Papiers wird ein Vorgehen in sechs Schritten empfohlen:

Schritt 1: Kennen Sie Ihre Transfers.
Schritt 2: Identifizieren Sie die Übertragungsinstrumente, auf die Sie sich stützen.
Schritt 3: Beurteilen Sie, ob das Übertragungsinstrument, auf das Sie sich nach Artikel 46 DSGVO stützen, unter Berücksichtigung aller Umstände des Transfers wirksam ist.
Schritt 4: Ergreifen Sie zusätzliche Maßnahmen.
Schritt 5: Ergreifen Sie alle formellen Verfahrensschritte, wenn Sie wirksame ergänzende Maßnahmen identifiziert haben.
Schritt 6: Bewerten Sie das Schutzniveau regelmäßig neu.

Mehr Informationen:

Pressemitteilung der DSK: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf
Pressemitteilung des EDSA: https://edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en
Empfehlungen 01/2020 in Deutsch: https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_de.pdf
Endgültige Fassung der Empfehlungen in Englisch: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Elke Zapf

URL zum Beitrag:	https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/dsk-und-edsa-trotz-standardvertragsklauseln-die-rechtslage-pruefen/
Beitrag gedruckt von Datenschutz PRAXIS:	https://www.datenschutz-praxis.de

Klicken zum Drucken