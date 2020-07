Der Europäische Datenschutzausschuss (EDSA) hat Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Länder außerhalb der EU ("Schrems II") gefunden. Laut den Aufsichtsbehörden in der EU gebe es keine "Gnadenfrist" für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten "Privacy Shield".

Unternehmen, die noch unter dem transatlantischen Datenschutzschild personenbezogene Informationen aus der EU in die USA übermitteln, müssten ihre Praktiken "ohne Verzögerung" umstellen, erläutert der Bundesdatenschutzbeauftragte Ulrich Kelber. Andernfalls drohen auf Basis der Datenschutz-Grundverordnung (DSGVO) saftige Sanktionen.

Standardvertragsklauseln

Der EDSA gibt in Form einer FAQ, die im Lauf des Freitags auf seiner Webseite veröffentlicht werden soll, zudem Hinweise zu den vielfach alternativ genutzten Standardvertragsklauseln (SVK). Diese bleiben "weiterhin eine mögliche Grundlage für den Datentransfer", erklärte Kelber. Gehe es darum, persönliche Informationen in die USA zu senden, müssten die Verantwortlichen aber "zusätzliche Maßnahmen" treffen, um "das gleiche Datenschutzniveau" wie in der EU zu gewährleisten. Die FAQ sei ein "lebendes Dokument", das der EDSA mit weiteren Antworten ergänzen werde.

Die genauen Umstände von Übertragungen müssten lauter Kelber "von Fall zu Fall betrachtet werden". Dies gelte auch für Transfers in andere Drittstaaten. Für die USA hatte der EuGH zum wiederholten Mal festgestellt, dass dortige Gesetze eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichten und der Datenschutzstandard daher nicht dem in der EU entspreche. Wer nicht wisse, ob während der Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister auch Informationen in ein Drittland gesendet würden, "muss jetzt seine Verträge mit den Dienstleistern prüfen", unterstrich Kelber.

Mehr Beratung

"Jetzt kommt es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beraten", betonte Kelber. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte zuvor Betroffene aufgefordert, rasch Konsequenzen aus dem Urteil zu ziehen und in den USA gespeicherte personenbezogene Daten etwa nach Europa zu verlagern. Sonst könnten Nutzer auch Schmerzensgeld verlangen.

Am Montag hatte der EDSA bereits seine Absicht kundgetan, "weiterhin eine konstruktive Rolle" beim Absichern von Transfers zu spielen. Er sei bereit, der EU-Kommission dabei zu helfen, "zusammen mit den USA einen neuen Rahmen zu schaffen, der voll und ganz dem EU-Datenschutzrecht entspricht".

Bei SVK sind Exporteur und Importeur laut den Datenschützern gemeinsam primär dafür verantwortlich, "dass diese ein Schutzniveau aufrechterhalten", das dem der DSGVO entspreche. Sie müssten dabei auch "die im Land des Importeurs geltende Rechtsordnung" prüfen. Die Aufsichtsinstanzen seien angehalten, nicht regelkonforme Übertragungen auch auf SVK-Basis zu stoppen.

Der EDSA hat am Donnerstag zudem die Voraussetzungen erläutert, unter denen Firmen oder andere Organisationen nach dem Auslaufen der Übergangsperiode für den Brexit bis Ende des Jahres auf Basis verbindlicher interner Datenschutzvorschriften ("Binding Corporate Rules", BCR) noch persönliche Daten nach Großbritannien übermitteln dürfen. Bisherige, im Einklang mit der DSGVO erteilte werden demnach mit dem Ablauf der Frist ungültig.

Der EDSA hält es daher für nötig, eine neue Aufsichtsbehörde auszumachen und sich von dieser den Bestand der Vorschriften noch einmal bestätigen zu lassen. Mögliche Auswirkungen des Schrems-II-Urteils auf das BCR-Instrument habe er aber noch nicht ausgelotet.

