Der Europäische Datenschutzausschuss (EDPB) hat zwei Dokumente mit Empfehlungen zur Übermittlung von personenbezogenen Daten in Drittstaaten veröffentlicht. In den beiden Dokumenten wird auf die Vorgaben des EuGHs in der Rechtsache „Schrems II“ (C-311/18) näher eingegangen.
Darin hat der EuGH festgehalten, dass ein Unternehmen das personenbezogene Daten in ein Drittland übermittelt (wie etwa die USA) und sich dafür auf geeignete Garantien im Sinne des Art 46 DSGVO beruft (insbesondere Standardvertragsklauseln aber etwa auch Binding Cooperate Rules oder Code of Conducts) im Einzelfall prüfen muss, ob es die festgelegten Garantien für die Betroffenen (datenschutzrechtliche Grundsätze, Betroffenenrechte, Rechtsschutzmöglichkeiten etc.) auch sicherstellen kann wenn die Daten in das jeweilige Drittland transferiert wurden.
Die Dokumente erläutern daher zum einen wie festgestellt werden kann in welchen Fällen die Garantien im Sinne des Art 46 DSGVO nicht ausreichen und daher „zusätzliche Maßnahmen“ durch den Datenexporteur notwendig sind sowie zum anderen, wie ein Datenexporteur prüfen kann ob die Überwachungsgesetze des Empfängerstaats im Einklang mit den Anforderungen der DSGVO bzw. dem EU-Recht sind.
Die Eckpunkte der ISPA Stellungnahme sind:
Die Last auf Seiten der KMUs wird durch die Empfehlungen noch weiter vergrößert;
Die Empfehlungen sollten sich am risikobasierten Ansatz der DSGVO sowie der Judikatur des EuGHs orientieren;
Die aufgelisteten zusätzlichen Maßnahmen sind nicht praxisbezogen