radiospot

Seien Sie gerüstet!

Mit Datenschutz Prinz

 

Ergänzende Maßnahmen bei Datenübermittlungen in Drittländer

Die von dem EDSA veröffentlichten finalen Empfehlungen bei Datenübermittlungen in Drittländern sollen dabei helfen, die lokalen Gesetze im Drittland, die Einfluss auf die Standardvertragsklauseln haben können, und den möglichen Einsatz ergänzender Maßnahmen zu prüfen. Sie dienen dazu, Verantwortliche und Auftragsverarbeiter bei Ihrer Pflicht, angemessene ergänzende Maßnahmen zu identifizieren und einzuführen, zu unterstützen. Dabei liegt ein besonderer Fokus auf dem Verhalten von öffentlichen Behörden im Drittland.

Hintergrund: Seit dem SchremsII-Urteil des EuGHs sind Datenexporteure dazu verpflichtet, zu prüfen, ob bloße Standardvertragsklauseln ein hinreichendes Datenschutzniveau gewährleisten. Ist dies nicht der Fall, müssen zusätzliche Garantien geschaffen werden und hier setzen die Empfehlungen des EDSA an.

Es wird ein 6-Stufen-Prozess für Verantwortliche und Auftragsverarbeiter entworfen:

1. Kenntnis über die eigenen Datentransfers.

2. Überprüfung der Transfertools, auf denen die jeweiligen Transfers beruhen.

3. Beurteilung(und Dokumentation ebendieser) der Gesetzeslage im Drittland, ob es negative Einflüsse auf die Wirksamkeit der Schutzmechanismen im Kontext des jeweiligen Transfers geben kann.

4.Einsatz ergänzender Maßnahmen, um das Schutzniveau des Drittlandes an das der EU anzupassen.

5.Einleitung formaler Verfahrensschritte je nach Art des Transfertools aus Art. 46 DSGVO (evtl. Rücksprache mit Aufsichtsbehörde).

6. Überprüfung das Schutzniveau in regelmäßigen Abständen und Überwachung von diesbezüglichen Entwicklungen im Drittland.

Im Anhang 2 befinden sich einige „Use Cases", die anschaulich Hilfe leisten sollen, Probleme und mögliche Lösungen auszumachen. Außerdem werden die ergänzenden Maßnahmen in den Kategorien technisch", zusätzlich vertraglich" und organisatorisch" beschrieben.

In Anhang 3 werden die möglichen Informationsquellen für die Beurteilung aus Schritt 3 durch Beispiele konkretisiert.

Folgende Hauptänderungen im Vergleich zu der Entwurfsfassung von Winter 2020 sind vorgenommen worden:

1. Betont wird die Bedeutung einer Untersuchung, ob die Gesetzgebung des Drittstaates in der Praxis die Wirksamkeit der Transfertools nach Art. 46 DSGVO negativ beeinflusst und ob selbige Einfluss auf die Standardvertragsklauseln für den Datentransfer in Drittstaaten hat.

2. Der Datenexporteur hat bei der Untersuchung des Transfers die Möglichkeit praktische Erfahrungen des Datenimporteurs zu berücksichtigen. Dadurch kann es aber zu einer Einschränkung von Datentransfers kommen, die auf dem Papier funktionieren, aber in der Praxis im Drittstaat nicht umgesetzt werden können.

3. Es wird klargestellt, dass die Gesetzeslage im Drittland, die es Behörden erlaubt auf die übermittelten Daten zuzugreifen, auch ohne Eingreifen des Datenimporteurs die Wirksamkeit des Transfertools einschränken kann.

Ganz klar stellt die Risikoanalyse des Datentransfers im Einzelfall den Schlüssel bei all dem dar. Hierbei ist die Dokumentation der Durchführung besonders wichtig, da es sein kann, dass Aufsichtsbehörden dies sehen wollen: Beschreibung der Rechtspraxis im Drittland, wie wurde das Assessment durchgeführt, wann wurde es durchgeführt. An die Empfehlungen wird außerdem eine Liste angehängt, die Informationsquellen auflistet, die zum Assessment hinzugezogen werden können.

Der EDSA wählt einen risikobasierten Ansatz bei der Beurteilung des Datenschutzniveaus im Drittland. Als Beispiele für ergänzende Maßnahmen werden Verschlüsselung und Pseudonymisierung vom EDSA genannt, wobei wohl eine Kombination aus beiden präferiert werden sollte. Eine neue mögliche Maßnahme stellen vertragliche Regelungen dar, die festlegen sollen, dass Betroffene im Falle einer Datenoffenlegung, die die Verpflichtungen aus dem Transfertool verletzt, beim Datenimporteur Kompensation dafür verlangen können.

Ihr Datenschutz-Prinz Team

Quellen:

edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf (europa.eu)

"Schrems II" – Finale Empfehlungen des EDSA für ergänzende Maßnahmen (reuschlaw.de)

Statistiken über Haushalt, Personal und Durchsetzu...
Standardvertragsklauseln 2.0

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://datenschutz-prinz.de/ geladen werden.

Das leisten wir für Sie

Image
Webseiten-Check

Webseiten-Check

Für Ihre datenschutzkonforme Webpräsenz

Lassen Sie Ihre Webseite von uns auf eine dsgvo-konforme Umsetzung prüfen und erhalten Sie eine Handlungsempfehlung zur Optimierung Ihrer Webseite.

Datenschutz-Check

Datenschutz-Check

Mit unserem Datenschutz-Check schnell im Bilde

Die Datenschutzgrundverordnung bringt auch nach über 2 Jahren für viele Unternehmen große Unsicherheiten mit sich. Meistens stellen sich die Unternehmen vor allem eine Frage „Haben wir die Anforderungen der DSGVO so umgesetzt, dass wir eine Prüfung der Aufsichtsbehörden bestehen?“.

Mehr erfahren
Datenschutz-Beratung

Datenschutz-Beratung

Wir mit Ihnen durch den Datenschutz-Dschungel

Unternehmen aller Größenordnungen stehen im Datenschutz einem kaum überschaubaren Dschungel nationaler und internationaler Vorschriften gegenüber, deren Umsetzung von den Gesetzgebern gefordert wird.

Mehr erfahren
Externer Datenschutzbeauftragter

Externer DSB

Wir für Sie – Ihr externer Datenschutzbeauftragter

Die Benennung eines Datenschutzbeauftragten ist für viele Unternehmen ein großes Thema. Nicht immer passen die Strukturen im Unternehmen, um diese Position intern optimal zu besetzen.

Mehr erfahren
Datenschutz-Schulungen

Schulungen und Workshops

Konzepte umsetzen - aber wie?

Bei uns finden Sie Datenschutzschulungen und Workshops für alle Unternehmensgrößen – vom Handwerker bis zum Konzern – natürlich immer individuell angepasst auf Ihre Bedürfnisse.

Mehr erfahren