Schrems II
© OpenClipart-Vectors / pixabay.com
Mit seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) die Welt des internationalen Datentransfers wachgerüttelt (C-311/18, sog. Schrems II-Urteil). Er hat das Recht des Einzelnen auf informationelle Selbstbestimmung gestärkt und sich dabei auf die Charta der Grundrechte der Europäischen Union berufen. Das Urteil sorgt für mehr Klarheit in Bezug auf die Grundrechte, wirft jedoch zahlreiche Fragen in Bezug auf die Umsetzung in der Praxis auf.
Der EuGH hat in seinem Schrems II-Urteil den EU-U.S.-Datenschutzschild für ungültig erklärt, der bis dato vier Jahre lang als Grundlage für Datenübermittlungen in die Vereinigten Staaten von Amerika genutzt werden konnte. Eigentlicher Gegenstand des Verfahrens waren die Standardvertragsklauseln der EU-Kommission (2010/87/EU). Deren Gültigkeit wurde zwar bestätigt, so dass sie grundsätzlich weiterhin verwendet werden können. Der EuGH hebt in seinem Urteil jedoch bestimmte Pflichten der Verantwortlichen hervor, die sich aus der Verwendung der Klauseln ergeben.
Insbesondere die zusätzlich zu den Standardvertragsklauseln ggf. zu treffenden ergänzenden Maßnahmen beschäftigen seit dem Urteil sowohl Verantwortliche, Auftragsbearbeiter als auch die Datenschutzaufsichtsbehörden. Am 12. November 2020 hat die EU-Kommission zudem Entwürfe neuer Sets von Standardvertragsklauseln veröffentlicht.
Bereits eine Woche nach dem EuGH-Urteil hatte der Europäische Datenschutzausschuss (EDSA) in einem Dokument die häufig gestellten Fragen zum Urteil zusammengefasst und beantwortet.
Der LfDI hatte noch am Tag des Urteilsspruchs eigene erste Fragen und Antworten zusammengestellt (siehe auf dieser Seite ganz unten). Diese basierten auf einer ersten Bewertung des EuGH-Urteils durch den LfDI. Er reagierte damit auf den großen Beratungsbedarf rheinland-pfälzischer Verantwortlicher, der sich bereits vor Erlass des Urteils angekündigt hatte.
Inzwischen stehen weitere Dokumente zu diesem Themenkomplex zur Verfügung, die rechts in der grauen Box in chronologischer Reihenfolge aufgeführt sind. Der LfDI hat ein graphisch dargestelltes Prüfschema für alle Datenübermittlungen in Drittländer erstellt, mit dessen Hilfe sich Verantwortliche und Auftragsverarbeiter einem datenschutzkonformen Weg der Datenübermittlungen in Drittländer nähern können und führt in einer Podcastfolge den Zuhörer in die Thematik allgemein ein.
Der EDSA hat Empfehlungen zur Umsetzung ergänzender Maßnahmen, die ein angemessenes Schutzniveau auch im Drittland schaffen sollen sowie eine Infographik zur Vorgehensweise veröffentlicht. Die Empfehlungen wurden mit der Möglichkeit zur Kommentierung durch jedermann bis zum 21. Dezember 2020 veröffentlicht. Anpassungen des Papiers im Nachgang sind daher möglich. In einem weiteren Empfehlungspapier will der EDSA die Verantwortlichen und Auftragsarbeiter bei der Schaffung geeigneter Garantien, insbesondere bei Überwachungsmaßnahmen im Drittland, unterstützen.
Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln veröffentlicht, ebenfalls mit Kommentierungsmöglichkeit, jedoch nur bis zum 10. Dezember 2020. Das Set von Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c DS-GVO stellt eine Art Baukasten dar, mit welchem man durch die Auswahl der entsprechenden Module Standardverträge für alle denkbaren Konstellationen erstellen kann (controller to controller, controller to processor, processor to processor, processor to controller). Auch bei den Standardvertragsklauseln sind Anpassungen durch die EU-Kommission nach der Konsultationsphase denkbar.