EU-Datenschützer fordern Nachbesserungen bei Datenaustausch mit Drittstaaten
EU-Datenschützer sind insgesamt mit den neuen Standarddatenschutzklauseln zufrieden, fordern jedoch bestimmte Nachbesserungen bei Datentransfers in Drittstaaten. Das geht aus einer gemeinsamen Stellungnahme des europäischen Datenschutzbeauftragten und des europäischen Datenschutzausschusses vom 15. Januar 2021 hervor.
Laut Wojciech Wiewiórowski, dem europäischen Datenschutzbeauftragten, wurden die Veränderungsvorschläge vorgebracht, „um vollständig sicherzustellen, dass persönliche Daten von EU Bürgern ein äquivalentes Schutzniveau erhalten, wenn Datenaustausch mit Drittstaaten stattfindet“. Die Stellungnahme folgt der Bitte der EU-Kommission, die beiden im November präsentierten Entwürfe für neue Standarddatenschutzklauseln (SDK) zu evaluieren.
Neue SDK für den Datenaustausch mit Drittstaaten
mussten erneuert werden, um sie in Einklang mit der DSGVO zu bringen und das EUGH ‚Schrems II‘ Urteil zu berücksichtigen, gibt die gemeinsame Stellungnahme bekannt.Das ‚Schrems II‘ Urteil vom 16. Juli 2020 war ein wegweisendes Urteil. Dieses Urteil hatte den EU-US-Privacy Shield für unwirksam erklärt und gleichzeitig über die EU-SDK entschieden. Diese seien zwar wirksam und dürften weiterhin eingesetzt werden. Allerdings blieb die Überprüfung, ob im Drittland das geforderte Schutzniveau für die auf Basis der SDK übermittelten Daten tatsächlich eingehalten wird, den übermittelnden Unternehmen überlassen.
Die praktischen Auswirkungen auf Unternehmen des ‚Schrems II‘ Urteils waren mit großer Rechtsunsicherheit für diese verbunden. Das lag daran, dass die Verantwortung für den rechtmäßigen Einsatz von SDK gänzlich den jeweiligen Unternehmen sowie den Datenschutzbehörden zugewiesen wurde. Problematischerweise nannte das Urteil kaum handfeste Handlungsanweisungen für diese Einzelfallprüfung, was in der Praxis Unternehmen oft überfordern dürfte.
Insgesamt befürworten der europäische Datenschutzbeauftragte und der europäische Datenschutzausschuss den Entwurf der neuen SDK. Allerdings schlagen sie vor, dass einige Bestimmungen verbessert oder klarer formuliert werden könnten: darunter fallen beispielsweise der Geltungsbereich der SDK, einzelne Verpflichtungen bei Datentransfers sowie Aspekte, welche die Einschätzung der Gesetze von Drittstaaten hinsichtlich Zugriff von Behörden auf öffentliche Daten betreffen.
Die Vorsitzende des europäischen Datenschutzausschusses, Andrea Jelinek, sagte: „Die Bedingungen, unter denen SDK verwendet werden können, müssen für Organisationen klar sein, und betroffene Personen sollten wirksame Rechte und Rechtsmittel erhalten.“
