datenrecht.ch

EDPB: fina­le Fas­sung der Leit­li­ni­en zur Bekannt­ga­be in Drittstaaten

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA (EDPB) hat am 14. Febru­ar 2023 eine fina­le Fas­sung der Leit­li­ni­en zur Bekannt­ga­be in Dritt­staa­ten ver­öf­fent­licht. Der Ent­wurf stamm­te vom 18. Novem­ber 2021 (wir haben dazu berich­tet).

Die fina­le Fas­sung unter­schei­det sich recht stark vom Ent­wurf – ein Del­ta­view ist hier abruf­bar:

  • Kla­re­re Aus­sa­ge, dass die Beschrän­kun­gen der Über­mitt­lung in Dritt­staa­ten der DSGVO auch für Expor­teu­re gel­ten, die nicht im EWR nie­der­ge­las­sen sind, aber nach Art. 3 Abs. 2 unter die DSGVO fallen;
  • kla­re­re Hin­wei­se dar­auf, dass inter­ne Über­mitt­lun­gen – d.h. Bekannt­ga­ben, die nicht an einen ande­ren Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ter gehen – kei­ne Über­mitt­lung dar­stel­len. Es dürf­te also wei­ter­hin gel­ten, wie schon nach dem Ent­wurf, dass eine Bekannt­ga­be zwi­schen Orga­ni­sa­ti­ons­ein­hei­ten oder Nie­der­las­sun­gen der­sel­ben juri­sti­schen Per­son nicht unter die Beschrän­kun­gen der Aus­lands­be­kannt­ga­be fal­len. In die­sem Fall – das betont der EDSA eben­falls –, muss der ent­spre­chen­de Ver­ant­wort­li­che oder Auf­trags­be­ar­bei­ter aber prü­fen, wel­che beson­de­ren Risi­ken sich aus der Ver­ar­bei­tung im Dritt­staat erge­ben (in die­sem Fall nach Art. 5 und 24 DSGVO). Zudem ver­langt der Trans­pa­renz­grund­satz, dass die betrof­fe­nen Per­so­nen über die Ver­ar­bei­tung im Aus­land zu infor­mie­ren sind;
  • Klar­stel­lung, dass die Über­mitt­lungs­be­schrän­kun­gen auch für Auf­trags­be­ar­bei­ter gel­ten – nicht neu; inter­es­sant ist aber fol­gen­der Hin­weis, der sich auf die häu­fi­ge Situa­ti­on bezieht, dass ein Ver­ant­wort­li­cher einen Auf­trags­be­ar­bei­ter im EWR-Raum ein­setzt, der Daten sei­ner­seits in einen Dritt­staat bekannt­gibt (der Stan­dard­fall bei in den EU ansäs­si­gen Cloud-Anbie­tern) – hier sieht der EDSA offen­bar eine (Mit-)Verantwortung des Ver­ant­wort­li­chen für den Onward Trans­fer des Auf­trags­be­ar­bei­ters:

    The­r­e­fo­re, the­re will be a trans­fer situa­ti­on whe­re a pro­ces­sor (eit­her under Artic­le 3(1) or under Artic­le 3(2) for a given pro­ce­s­sing, as explai­ned abo­ve) sends data to ano­ther pro­ces­sor or even to a con­trol­ler in a third coun­try as ins­truc­ted by its con­trol­ler. In the­se cases, the pro­ces­sor acts as a data export­er on behalf of the con­trol­ler and has to ensu­re that the pro­vi­si­ons of Chap­ter V are com­plied with for the trans­fer at sta­ke accor­ding to the ins­truc­tions of the con­trol­ler, inclu­ding that an appro­pria­te trans­fer tool is used. Con­side­ring that the trans­fer is a pro­ce­s­sing acti­vi­ty car­ri­ed out on behalf of the con­trol­ler, the con­trol­ler is also respon­si­ble and could be lia­ble under Chap­ter V, and also has to ensu­re that the pro­ces­sor pro­vi­des for suf­fi­ci­ent gua­ran­tees under Artic­le 28.

  • Klar­stel­lung, dass eine Über­mitt­lung nicht schon des­halb nicht unter die Beschrän­kun­gen der DSGVO fällt, weil der Impor­teur im Dritt­staat sei­ner­seits unter die DSGVO fällt;
  • Hin­weis, dass bei der Aus­wahl eines Auf­trags­be­ar­bei­ters auch zu prü­fen ist, ob die­ser Zugrif­fen aus­län­di­scher Behör­den aus­ge­setzt ist, auch bspw. ein Auf­trags­be­ar­bei­ter im EWR Zugrif­fen von Behör­den aus Dritt­staa­ten (man denkt hier sicher an Zugrif­fe von US-Behör­den). Kommt es zu einem sol­chen Zugriff und gibt der Auf­trags­be­ar­bei­ter ent­spre­chend Daten her­aus, tut er dies nicht mehr als Auf­trags­be­ar­bei­ter, son­dern als Verantwortlicher;
  • die neue Fas­sung ent­hält diver­se Bei­spie­le, die sich im Ent­wurf nicht fan­den. In einem neu­en Anhang wer­den die­se Bei­spie­le mit Gra­fi­ken illustriert.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter

News abonnieren →