Der Europäische Datenschutzausschuss EDSA (EDPB) hat am 14. Februar 2023 eine finale Fassung der Leitlinien zur Bekanntgabe in Drittstaaten veröffentlicht. Der Entwurf stammte vom 18. November 2021 (wir haben dazu berichtet).
Die finale Fassung unterscheidet sich recht stark vom Entwurf – ein Deltaview ist hier abrufbar:
- Klarere Aussage, dass die Beschränkungen der Übermittlung in Drittstaaten der DSGVO auch für Exporteure gelten, die nicht im EWR niedergelassen sind, aber nach Art. 3 Abs. 2 unter die DSGVO fallen;
- klarere Hinweise darauf, dass interne Übermittlungen – d.h. Bekanntgaben, die nicht an einen anderen Verantwortlichen oder Auftragsbearbeiter gehen – keine Übermittlung darstellen. Es dürfte also weiterhin gelten, wie schon nach dem Entwurf, dass eine Bekanntgabe zwischen Organisationseinheiten oder Niederlassungen derselben juristischen Person nicht unter die Beschränkungen der Auslandsbekanntgabe fallen. In diesem Fall – das betont der EDSA ebenfalls –, muss der entsprechende Verantwortliche oder Auftragsbearbeiter aber prüfen, welche besonderen Risiken sich aus der Verarbeitung im Drittstaat ergeben (in diesem Fall nach Art. 5 und 24 DSGVO). Zudem verlangt der Transparenzgrundsatz, dass die betroffenen Personen über die Verarbeitung im Ausland zu informieren sind;
- Klarstellung, dass die Übermittlungsbeschränkungen auch für Auftragsbearbeiter gelten – nicht neu; interessant ist aber folgender Hinweis, der sich auf die häufige Situation bezieht, dass ein Verantwortlicher einen Auftragsbearbeiter im EWR-Raum einsetzt, der Daten seinerseits in einen Drittstaat bekanntgibt (der Standardfall bei in den EU ansässigen Cloud-Anbietern) – hier sieht der EDSA offenbar eine (Mit-)Verantwortung des Verantwortlichen für den Onward Transfer des Auftragsbearbeiters:
Therefore, there will be a transfer situation where a processor (either under Article 3(1) or under Article 3(2) for a given processing, as explained above) sends data to another processor or even to a controller in a third country as instructed by its controller. In these cases, the processor acts as a data exporter on behalf of the controller and has to ensure that the provisions of Chapter V are complied with for the transfer at stake according to the instructions of the controller, including that an appropriate transfer tool is used. Considering that the transfer is a processing activity carried out on behalf of the controller, the controller is also responsible and could be liable under Chapter V, and also has to ensure that the processor provides for sufficient guarantees under Article 28.
- Klarstellung, dass eine Übermittlung nicht schon deshalb nicht unter die Beschränkungen der DSGVO fällt, weil der Importeur im Drittstaat seinerseits unter die DSGVO fällt;
- Hinweis, dass bei der Auswahl eines Auftragsbearbeiters auch zu prüfen ist, ob dieser Zugriffen ausländischer Behörden ausgesetzt ist, auch bspw. ein Auftragsbearbeiter im EWR Zugriffen von Behörden aus Drittstaaten (man denkt hier sicher an Zugriffe von US-Behörden). Kommt es zu einem solchen Zugriff und gibt der Auftragsbearbeiter entsprechend Daten heraus, tut er dies nicht mehr als Auftragsbearbeiter, sondern als Verantwortlicher;
- die neue Fassung enthält diverse Beispiele, die sich im Entwurf nicht fanden. In einem neuen Anhang werden diese Beispiele mit Grafiken illustriert.