Zusätzliche Massnahmen zur Sicherstellung eines gleichwertigen Datenschutzniveaus
Wie die Datenschutzstelle im Newsletter vom 17. Juli 2020 kommunizierte, wurde das Datenabkommen EU-U.S. Privacy Shield zwischen der EU und den USA (Angemessenheitsbeschluss der Europäischen Kommission) für ungültig erklärt (Urteil EuGH C-311/18).
Allerdings stellte der Europäische Gerichtshof in seinem Urteil auch klar, dass Daten nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO in die USA und andere Drittstaaten übermittelt werden können, insbesondere auch aufgrund von Standarddatenschutzklauseln, sofern der Datenexporteur (Verantwortlicher oder Auftragsverarbeiter) nach einer eigenen Bewertung zum Schluss kommt, dass die Daten der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union geniessen. Beurteilt werden müssen dabei nicht nur die Betroffenenrechte und Rechtsschutzgarantien, sondern etwa auch Zugriffsmöglichkeiten durch Überwachungsbehörden, die über ein in Europa erlaubtes Mass hinausgehen. Sollte kein gleichwertiges Schutzniveau für personenbezogene Daten gewährleistet sein, müssen zusätzliche Massnahmen evaluiert und ergänzend zu den Standarddatenschutzklauseln implementiert werden.
Der Europäische Datenschutzausschuss (EDSA) hat dazu eine Empfehlung veröffentlicht, die noch bis zum 21. Dezember 2020 zur öffentlichen Konsultation aufliegt. (Update der Datenschutzstelle: Seit dem 18. Juni 2021 liegt die finale Version der Empfehlung vor.) Das Dokument beschreibt im Kern eine 6-stufige Vorgehensweise, um den Datenexporteur bei der Abklärung allfälliger zusätzlicher Massnahmen zu den rechtlichen Instrumenten bzw. geeigneten Garantien für Datentransfers in Drittstaaten zu unterstützen (Grafik).
Im Annex 2 des Dokuments finden sich zudem konkrete Anwendungsbeispiele, anhand derer mögliche zusätzliche Schutzmassnahmen angeführt werden. Grob lassen sich die Massnahmen in drei Kategorien aufteilen:
- Technische Massnahmen
- Vertragliche Massnahmen
- Organisatorische Massnahmen
Es liegt in der Verantwortung des Datenexporteurs, die zusätzlich ergriffenen Massnahmen so zu gestalten, dass damit, nebst der gewählten Garantie gemäss Art. 46 DSGVO, eine DSGVO-konforme Datenübermittlung sichergestellt werden kann.
Sollte der Datenexporteur trotz sorgsamer Evaluierung möglicher zusätzlicher Massnahmen zum Schluss gelangen, dass kein gleichwertiges Schutzniveau im Drittland gewährleistet werden kann, ist die Übermittlung personenbezogener Daten an das entsprechende Drittland einzustellen bzw. zu unterlassen.
Die Datenschutzstelle weist darauf hin, dass deshalb in der gegenwärtigen Rechtslage insbesondere der Einsatz vieler U.S.-amerikanischer Applikationen kritisch zu sehen ist. Mit Dahinfallen des EU-U.S. Privacy Shields kam nicht nur die am häufigsten verwendete Rechtsgrundlage für den damit verbundenen Datentransfer in die USA abhanden, sondern es kann derzeit auch mit zusätzlichen Massnahmen in den meisten Fällen kein gleichwertiges Datenschutzniveau erreicht werden.
Weitere Informationen zu den Voraussetzungen und verschiedenen geeigneten Garantien für Datenübermittlungen in Drittstaaten finden sich hier auf der Internetseite der Datenschutzstelle.
Aktualisierung der Standarddatenschutzklauseln
Parallel dazu überarbeitet die Europäische Kommission derzeit die Standardvertragsklauseln nach Art. 46 Abs. 2 Bst. c DSGVO. Der Entwurf des Dokuments ist auf der Internetseite der Europäischen Kommission bereits abrufbar. Die finale Version wird voraussichtlich im Frühjahr 2021 vorliegen.