Datenschutz Update: Neuerungen für internationale Datentransfers
Im Juli feiert das Schrems-II-Urteil des EuGH (siehe Beitrag vom 17.07.2021) sein einjähriges Jubiläum. Die Entscheidung des Gerichtshofs führte nicht nur zu einem akuten, datenschutzrechtlichen Handlungsbedarf bei vielen Unternehmen, sondern auch zu einer enormen Rechtsunsicherheit.
In der Zwischenzeit, knapp ein Jahr später, schaffen die EU-Institutionen, allem voran die EU-Kommission und der Europäische Datenschutzausschuss (EDSA), etwas mehr Klarheit im “Datenschutzdschungel”:
Neue Standarddatenschutzklauseln
Am 4. Juni 2021 veröffentlichte die EU-Kommission neue Standarddatenschutzklauseln (auch “Standardvertragsklauseln” oder “SCC” genannt) zur Sicherstellung geeigneter Garantien nach Art 46 DSGVO. Die wesentlichen Unterschiede zur alten Fassung der SCC liegen in deren “modularen” Aufbau, der (längst überfälligen) Bezugnahme auf die DSGVO und der Erweiterung der Verpflichtungen beider Vertragsparteien. Insgesamt soll das neue Vertragswerk ein höheres Schutzniveau für Datentransfers in Drittländer bieten.
Die neuen SCC gelten ab 27. Juni 2021. Die bisherigen SCC dürfen noch bis 27. September 2021 verwendet werden. Für bestehende Verträge, die auf den bisherigen SCC beruhen, gilt eine Übergangsfrist bis längstens 27. Dezember 2022.
“Allein der Abschluss neuer Standarddatenschutzklauseln ist für die Sicherstellung datenschutzkonformer Drittlanddatentransfers nicht ausreichend”, so Axel Thoß, Rechtsanwalt und Leiter der Praxisgruppe Datenschutzrecht bei PwC Legal.
In der Praxis bedarf es für Drittlanddatentransfers auch künftig einer Risikoabwägung im Einzelfall. Zentrale Bedeutung wird daher weiterhin den – bereits im Schrems-II-Urteil erwähnten – organisatorischen und technischen Begleitmaßnahmen (“supplementary measures”) zukommen. Hierzu hat der EDSA vor wenigen Tagen neue Empfehlungen veröffentlicht:
Empfehlungen des EDSA
Der EDSA gibt den (potentiellen) Datenexporteuren eine klare Guideline in Form einer Sechs-Punkte-Checkliste an die Hand:
- Entwurf einer Übersicht aller Drittlanddatentransfers im Unternehmen
- Evaluierung der ergriffenen geeigneten Garantien (zB Angemessenheitsbeschluss, SCC, Binding Corporate Rules etc)
- Prüfung, ob bzw inwiefern das Recht bzw die gelebte Praxis des Drittlands Auswirkungen auf die ergriffenen Garantien nach Pkt 2. hat
- Evaluierung, ob und wenn ja, welche zusätzlichen Begleitmaßnahmen ergriffen werden müssen
- Einhaltung etwaiger Genehmigungspflichten
- Periodische Re-Evaluierung der ergriffenen Garantien und etwaiger Begleitmaßnahmen
Die Beurteilung der Rechtslage im Drittstaat liegt letztlich beim Datenexporteur (gemeinsam mit dem Datenimporteur). In Annex 3 der Empfehlungen führt der EDSA lediglich potentielle Recherchequellen an, wie zB Berichte von NGOs oder Entscheidungen des EuGH. Auf konkrete Drittländer und allfällige kritische Gesetzesbestimmungen wird in den Empfehlungen nicht Bezug genommen.
In Annex 2 der Empfehlungen listet der EDSA Beispiele für angemessene Begleitmaßnahmen auf. Darunter fallen insbesondere vertragliche, organisatorische und technische Maßnahmen, wie zB Verschlüsselung, Pseudonymisierung oder Split Processing. Es finden sich jedoch in den Empfehlungen der EDSA keine Anhaltspunkte, unter welchen konkreten Voraussetzungen welche Maßnahmen tatsächlich ausreichend sein können. Absolute Rechtssicherheit bieten die Empfehlungen der EDSA daher auch künftig nicht.
“In der Praxis zeigen sich die größten Herausforderungen bei Datentransfers in die USA. Auf lange Sicht kann unseres Erachtens hier nur ein neues Abkommen zwischen den EU und den USA zur Sicherstellung eines gleichwertigen Datenschutzniveaus Erleichterung bringen”, so Sabine Brunner, Rechtsanwältin und Datenschutzexpertin bei PwC Legal.
Viele Unternehmen blicken gerade auch mit Hochspannung in Richtung Norden. Aufgrund des Brexits hat die EU am 24.12.2020 ein vorläufiges Handels-und Kooperationsabkommen mit dem Vereinigten Königreich Großbritannien und Nordirland (UK) abgeschlossen, das auch Bestimmungen über die Verarbeitung personenbezogener Daten enthält, insbesondere zum internationalen Datenverkehr.
Brexit – Datenverkehr mit UK
Im Rahmen des Handels- und Kooperationsabkommens haben die Vertragsparteien eine „Überbrückungsklausel“ vereinbart. Dadurch soll die vollständige Kontinuität des Datenflusses zwischen dem EWR und UK bis längstens 30. Juni 2021 gewährleistet werden, ohne dass Verantwortliche und Auftragsverarbeiter auf angemessene Garantien zurückgreifen müssen. Spätestens nach Ablauf dieser Frist bedarf es jedoch entweder eines Angemessenheitsbeschlusses oder anderer angemessener Garantien, wie zB SCC.
Die EU-Kommission veröffentlichte im Februar 2021 den Entwurf eines Angemessenheitsbeschlusses für UK. Zu diesem Angemessenheitsbeschluss gab zwischenzeitlich auch der EDSA eine (durchaus kritische) Stellungnahme ab, insbesondere hinsichtlich der weitreichenden Befugnisse der britischen Sicherheitsbehörden. Diese Stellungnahme ist für die EU-Kommission jedoch nicht bindend.
Die EU-Kommission muss nunmehr die Zustimmung der Mitgliedstaaten für den Angemessenheitsbeschluss einholen. Erst dann kann eine endgültige Entscheidung über den Angemessenheitsbeschluss getroffen werden.
Zum Zeitpunkt der Veröffentlichung dieses Beitrags liegen den AutorInnen noch keine Informationen zu der Frage, ob bzw wann der Angemessenheitsbeschluss für UK in Kraft treten wird, vor. Es bleibt zu hoffen, dass hierzu noch vor Ablauf der Übergangsfrist Ende Juni eine Entscheidung fällt.
Co-Autorin: Mag. Sabine Brunner, LLB.oec.
* * *
Haben Sie Ihre Drittlanddatentransfers im Unternehmen bereits evaluiert? Benötigen Sie Unterstützung bei der Prüfung bzw Adaptierung Ihrer angemessenen Garantien sowie etwaiger Begleitmaßnahmen?
PwC Legal unterstützt Sie, bei Bedarf auch gemeinsam mit Cybersecurity- und DatenschutzexpertInnen aus dem internationalen PwC-Netzwerk, in sämtlichen Angelegenheiten des rechtlichen, technischen und organisatorischen Datenschutzes.
Kontaktieren Sie uns unter office@pwclegal.at oder +43 (0) 1 384 05 50.