EDSA

Datenschützer benennen Konsequenzen aus Schrems-II-Urteil des EuGH


Mit einem Fra­gen-Ant­wor­ten-Ka­ta­log klärt der Eu­ro­päi­sche Da­ten­schutz­aus­schuss (EDSA) ent­schei­den­de Fra­gen zu den Kon­se­quen­zen, die aus dem Schrems-II-Ur­teil des Eu­ro­päi­schen Ge­richts­hofs zum Da­ten­trans­fer in Län­der au­ßer­halb der EU zu zie­hen sind. Das Do­ku­ment ist nicht ab­schlie­ßend. Der EDSA kün­dig­te am 24.07.2020 an, wei­te­re Ant­wor­ten zu er­gän­zen.

 

"Privacy Shield" ab sofort keine Grundlage für Datenverarbeitung mehr

Es komme jetzt darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten, so der EDSA. Die mit dem Katalog erteilten europaweit verbindlichen Auskünfte beträfen zunächst Fragen, die den Datenschutzaufsichtsbehörden sehr oft gestellt worden seien. Festgestellt werde beispielsweise, dass es keine "Gnadenfrist" für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten "Privacy Shield" geben wird. Die Umstellung müsse ohne Verzögerung erfolgen.

Regeln für Standardvertragsklauseln

Zudem gibt das Dokument laut EDSA Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Diese seien weiterhin eine mögliche Grundlage für den Datentransfer, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber. Eine Übermittlung von Daten in die USA könne allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen würden, die das gleiche Datenschutzniveau wie in der EU gewährleisteten. Dabei müssten die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gelte auch für die Übermittlung in andere Länder.

Datenverarbeitungs-Verträge mit externen Dienstleistern sind zu prüfen

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft. Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, müsse jetzt seine Verträge mit den Dienstleistern prüfen.


https://edpb.europa.eu/