Europäischer Datenschutzausschuss veröffentlicht Empfehlung über zusätzliche Maßnahmen für Übermittlungen in Drittstaaten
Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.
In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).
Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich
Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.
Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.
Vorgeschlagene Maßnahmen auch praktikabel?
So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.
Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.