EDSA: Prag­ma­ti­scher Ent­wurf der Leit­li­ni­en zur Bekannt­ga­be in Drittstaaten

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat einen Ent­wurf der Leit­li­ni­en zum Ver­hält­nis zwi­schen Art. 3 DSGVO (räum­li­cher Anwen­dungs­be­reich) und dem V. Kapi­tel der DSGVO (Über­mitt­lun­gen ins Aus­land) zur öffen­li­chen Kon­sul­ta­ti­on veröffentlicht:

Gui­de­li­nes 05/2021 on the Inter­play bet­ween the app­li­ca­ti­on of Arti­cle 3 and the pro­vi­si­ons on inter­na­tio­nal trans­fers as per Chap­ter V of the GDPR

Der EDSA erin­nert ein­gangs dar­an, dass ein Trans­fer in einen Dritt­staat auch dann abge­si­chert sein muss, wenn der Emp­fän­ger sei­ner­seits der DSGVO unter­steht (nach Art. 3 Abs. 2), denn auch dann kann das loka­le Recht die Wir­kung der DSGVO unter­lau­fen, z.B. Bestim­mun­gen über Behör­den­zu­grif­fe (dem berühm­ten Law­ful Access). Art. 3 DSGVO und die Beschrän­kun­gen der Bekannt­ga­be in Dritt­staa­ten spie­len des­halb zusammen.

Zunächst bestimmt der EDSA den Begriff der Bekannt­ga­be in einen Dritt­staat. Eine sol­che liegt vor, wenn ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter der DSGVO unter­steht, wenn er Per­so­nen­da­ten einem Impor­teur bekannt­gibt und wenn die­ser Emp­fän­ger sich in einem Dritt­staat befin­det, und zwar unab­hän­gig davon, ob die­ser der DSGVO untersteht:

  • Der Expor­teur unter­steht der DSGVO: Das kann auch dann der Fall sein, wenn der Expor­teur nicht in der EU nie­der­ge­las­sen ist, son­dern der DSGVO nach Art. 3 Abs. 2 unter­steht. Ein schwei­ze­ri­sches Unter­neh­men, das z.B. B2C-Lei­stun­gen im EU-Markt ver­treibt, ist ent­spre­chend erfasst.
  • Daten wer­den bekannt­ge­ge­ben: Dies kann durch eine Über­mitt­lung, aber auch ein Zugäng­lich­ma­chen erfol­gen. Ob der Impor­teur ein ande­rer Ver­ant­wort­li­cher (gemein­sam oder nicht) oder ein Auf­trags­ver­ar­bei­ter ist, spielt dabei kei­ne Rol­le. Auch erfasst ist daher die Rück­ga­be von Daten durch den EWR-Auf­trags­ver­ar­bei­ter an den Ver­ant­wort­li­chen im Dritt­staat, eben­so wie die Bekannt­ga­be durch den Auf­trags­ver­ar­bei­ter an einen Unter-Auf­trags­ver­ar­bei­ter. Nicht erfasst ist aber aus­drück­lich die Bekannt­ga­be inner­halb der­sel­ben juri­sti­schen Per­son:
  • Hence, if the sen­der and the reci­pi­ent are not dif­fe­rent controllers/processors, the dis­clo­sure of per­so­nal data should not be regar­ded as a trans­fer under Chap­ter V of the GDPR – sin­ce data is pro­ces­sed wit­hin the same controller/processor. In this con­text, it should be kept in mind that con­trol­lers and pro­ces­sors are nevertheless obli­ged to imple­ment tech­ni­cal and orga­ni­sa­tio­nal mea­su­res, con­si­de­ring the risks with respect to their pro­ces­sing acti­vi­ties, in accordance with Arti­cle 32 of the GDPR.

  • Dies muss auch beim Home Office ausser­halb des EWR gel­ten, aber auch z.B. dann, wenn ein EWR-Expor­teur Daten an einen ausser­halb des EWR befind­li­chen Mit­ar­bei­ters eines EWR-Impor­teurs übermittelt. 
  • Der Impor­teur befin­det sich in einem Dritt­staat: Dies setzt wohl einen Sitz im Dritt­staat vor­aus (der EDSA sagt nur, dass der Impor­teur im Dritt­staat “ist”). Unklar ist, was bei einer Zweig­nie­der­las­sung im Dritt­staat gilt. Hier darf man wohl davon aus­ge­hen, dass die­sel­be Logik wie beim Mit­ar­bei­ter gilt: Wenn die Zweig­nie­der­las­sung kei­ne eige­ne Rechts­per­son ist, ist sie Teil des Ver­ant­wort­li­chen bzw. Auf­trags­ver­ar­bei­ters, wes­halb kei­ne Bekannt­ga­be vor­lie­gen kann (was nicht heisst, dass die SCC hier nicht als ein Regle­ment im Sin­ne einer orga­ni­sa­to­ri­schen Sicher­heits­mass­nah­me in Fra­ge kommen).

Mit Span­nung erwar­tet wur­den Aus­sa­gen zur Bedeu­tung der SCC, wenn der Expor­teur im Dritt­staat mit Bezug auf die Ver­ar­bei­tung der emp­fan­ge­nen Daten der DSGVO unter­steht. Hier sagt der EDSA wenig. In die­sem Fall sol­len aber nied­ri­ge­re Anfor­de­run­gen an die SCC gelten:

Simi­lar­ly, for a trans­fer of per­so­nal data to a con­trol­ler in a third coun­try less protection/safeguards are nee­ded if such con­trol­ler is alrea­dy sub­ject to the GDPR for the given pro­ces­sing. The­re­fo­re, when deve­lo­ping rele­vant trans­fer tools (which cur­r­ent­ly are only avail­ab­le in theo­ry), i.e. stan­dard con­trac­tu­al clau­ses or ad hoc con­trac­tu­al clau­ses, the Arti­cle 3(2) situa­ti­on should be taken into account in order not to dupli­ca­te the GDPR obli­ga­ti­ons […].

In einem sol­chen Fall müs­sen die ein­ge­setz­ten Klau­seln den Schutz der DSGVO nicht her­stel­len, son­dern vor ent­ge­gen­ste­hen­den Bestim­mun­gen des loka­len Rechts schüt­zen. Ent­spre­chend geht es vor allem um den Umgang mit sol­chen Bestim­mun­gen, vage in Rich­tung von Art. 14 und 15 der neu­en SCC.

Auf die­se Situa­ti­on zuge­schnit­te­ne SCC exi­stie­ren noch nicht, sol­len sich aber in Aus­ar­bei­tung befin­den. Der EDSA reicht der EU-Kom­mis­si­on hier die Hand, nach­dem die­se in den aktu­el­len SCC bekannt­lich die Auf­fas­sung ver­tritt, die SCC sei­en nicht geeig­net, wenn der Emp­fän­ger nach Art. 3 Abs. 2 der DSGVO untersteht:

The EDPB encou­ra­ges and stands rea­dy to coope­ra­te in the deve­lo­p­ment of a trans­fer tool, such as a new set of stan­dard con­trac­tu­al clau­ses, in cases whe­re the importer is sub­ject to the GDPR for the given pro­ces­sing in accordance with Arti­cle 3(2).

Bis sol­che neu­en SCC vor­lie­gen, setzt die Pra­xis – fau­te de mieux – die aktu­el­len SCC auch dann ein, wenn der Emp­fän­ger für die betref­fen­den Daten der DSGVO unter­steht. Es ist auch nicht ersicht­lich, inwie­fern betrof­fe­ne Per­so­nen durch ein sol­ches Vor­ge­hen höhe­ren Risi­ken aus­ge­setzt würden.