EDSA-Empfehlungen zur Datenübermittlung
in ein Drittland

In der ersten Stufe empfiehlt der EDSA, dass der Datenexporteur die Übermittlungen kennt, um sicherzustellen, dass sie überall dort, wo sie verarbeitet werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten. Der Datenexporteur muss sicherstellen, dass die übertragenen Daten angemessen, relevant und auf sich beschränkt sind. Das ist erforderlich in Bezug auf die Zwecke, für die die Daten in das Drittland übermittelt und dort verarbeitet werden. Des Weiteren müssen alle Übermittlungen in ein Drittland dokumentiert werden (gem. Art. 30 DSGVO). Der EDSA ist der Meinung, dass schon jede Zugriffsmöglichkeit aus einem Drittland (z.B. Wartung/Support) eine Datenübermittlung darstellt. Datenübermittlung an Subunternehmen in Drittländern sind auch zu berücksichtigen.

In der zweiten Stufe empfiehlt der EDSA die Transferinstrumente zu überprüfen. Der EDSA weist darauf hin, dass sich Datenexporteure auf Angemessenheitsbeschlüsse der EU-Kommission berufen können- solange die Entscheidung noch in Kraft ist, müssen Datenexporteure keine weiteren Schritte unternehmen außer der Überwachung, dass der Angemessenheitsbeschluss gültig bleibt. Wenn es sich um die Transferinstrumente gem. der Ausnahmetatbestände (Art. 49 DSGVO) handelt, sind diese in ihrem Anwendungsbereich laut EDSA eng auszulegen.

In der dritten Stufe wird auf die Beurteilung hingewiesen – es ist zu prüfen, ob in der Gesetzgebung oder Praxis des Drittlands etwas gibt, dass auf die Wirksamkeit der angemessenen Sicherheitsvorkehrungen der Transferinstrumente einwirken kann. Die Einzelfallprüfung der konkreten Datenübermittlung soll nach EDSA unter Berücksichtigung aller Verarbeitungsschritte und aller betroffenen Drittländer erfolgen (darunter auch Subunternehmer). Bei der Prüfung der Maßnahmen verweist EDSA auf die Essenzielen Europäischen Garantien (zu denen EDSA auch Empfehlungen veröffentlicht hat). An dieser Stelle wird noch Mal die Verantwortung des Datenexporteurs für die Übermittlung betont – er soll diese Bewertung mit der gebotenen Sorgfalt durchführen und gründlich dokumentieren, da er für die Entscheidung, die er auf dieser Grundlage trifft, zur Rechenschaft gezogen werden kann.

In der vierten Stufe sind die Identifizierung und Verabschiedung zusätzlicher Maßnahmen erforderlich, nur aber wenn die Prüfung zum Ergebnis gelangt, dass die vereinbarten Garantien nach Art. 46 DSGVO kein angemessenes Schutzniveau sicherstellen. Dazu hat der EDSA im Anhang zum Dokument eine Mehrzahl an Beispielen gegeben, die für die Praxis große Relevanz haben können. Die zusätzlichen Maßnahmen können vertraglicher, technischer oder organisatorischer Art sein. Wenn es sich um behördliche Zugriffe auf die Daten handelt, stellen laut EDSA die vertraglichen und organisatorischen Maßnahmen keinen wirksamen Schutz dar. In den Fällen, in denen keine ergänzende Maßnahme geeignet ist, müssen die Übermittlungen vermieden, ausgesetzt oder beendet werden, um eine Beeinträchtigung des Schutzniveaus der personenbezogenen Daten zu vermeiden. Der EDSA erkennt die Pseudonymisierung von Daten als mögliche Maßnahme für die Übermittlung, sofern der Datenimporteur (auch die ausländische Behörde) keine Möglichkeit hat Rückschüsse auf einzelne Personen zu ziehen.

In der fünften Stufe erfolgt eine formale Bestätigung der Verfahrensschritte. Es ist explizit erwähnt, dass zu einigen davon möglicherweise die zuständige Aufsichtsbehörde kontaktiert werden muss. Es ist aber klargestellt, dass zusätzliche Vereinbarungen zu den EU-Standardvertragsklauseln die Zustimmung oder Freigabe der zuständigen Aufsichtsbehörde nicht bedürfen, solange diese den EU-Standardvertragsklauseln nicht widersprechen und keine Änderungen in der Formulierung der EU-Standardvertragsklausel vorgenommen werden, d.h. nur Ergänzungen und zusätzliche Regelungen sind erlaubt.

In der sechsten Stufe handelt es sich darum alle getroffenen Maßnahmen in angemessenen Zeitabständen neu zu bewerten und zu überwachen – ob es Entwicklungen gibt oder geben wird, die sich darauf auswirken. Wenn der Datenimporteur gegen die vereinbarten Maßnahmen und Regelungen verstößt, stellt der EDSA klar, dass die Maßnahmen eine kurzfristige Beendigung der Datenübermittlung ermöglichen müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert