- EDSA veröffentlicht Leitlinien zur DSGVO, betont die Wichtigkeit von Sicherheitsmaßnahmen bei Datenübermittlungen ins Ausland.
- Transfers in Drittstaaten müssen auch bei EU-konformen Empfängern sicher sein, um lokale Gesetzgebung zu berücksichtigen.
- Weniger Schutzmaßnahmen können nötig sein, wenn der Empfänger bereits DSGVO unterliegt, jedoch bleibt lokales Recht relevant.
Der Europäische Datenschutzausschuss (EDSA) hat einen Entwurf der Leitlinien zum Verhältnis zwischen Art. 3 DSGVO (räumlicher Anwendungsbereich) und dem V. Kapitel der DSGVO (Übermittlungen ins Ausland) zur öffenlichen Konsultation veröffentlicht:
Der EDSA erinnert eingangs daran, dass ein Transfer in einen Drittstaat auch dann abgesichert sein muss, wenn der Empfänger seinerseits der DSGVO untersteht (nach Art. 3 Abs. 2), denn auch dann kann das lokale Recht die Wirkung der DSGVO unterlaufen, z.B. Bestimmungen über Behördenzugriffe (dem berühmten Lawful Access). Art. 3 DSGVO und die Beschränkungen der Bekanntgabe in Drittstaaten spielen deshalb zusammen.
Zunächst bestimmt der EDSA den Begriff der Bekanntgabe in einen Drittstaat. Eine solche liegt vor, wenn ein Verantwortlicher oder ein Auftragsverarbeiter der DSGVO untersteht, wenn er Personendaten einem Importeur bekanntgibt und wenn dieser Empfänger sich in einem Drittstaat befindet, und zwar unabhängig davon, ob dieser der DSGVO untersteht:
- Der Exporteur untersteht der DSGVO: Das kann auch dann der Fall sein, wenn der Exporteur nicht in der EU niedergelassen ist, sondern der DSGVO nach Art. 3 Abs. 2 untersteht. Ein schweizerisches Unternehmen, das z.B. B2C-Leistungen im EU-Markt vertreibt, ist entsprechend erfasst.
- Daten werden bekanntgegeben: Dies kann durch eine Übermittlung, aber auch ein Zugänglichmachen erfolgen. Ob der Importeur ein anderer Verantwortlicher (gemeinsam oder nicht) oder ein Auftragsverarbeiter ist, spielt dabei keine Rolle. Auch erfasst ist daher die Rückgabe von Daten durch den EWR-Auftragsverarbeiter an den Verantwortlichen im Drittstaat, ebenso wie die Bekanntgabe durch den Auftragsverarbeiter an einen Unter-Auftragsverarbeiter. Nicht erfasst ist aber ausdrücklich die Bekanntgabe innerhalb derselben juristischen Person:
-
Hence, if the sender and the recipient are not different controllers/processors, the disclosure of personal data should not be regarded as a transfer under Chapter V of the GDPR – since data is processed within the same controller/processor. In this context, it should be kept in mind that controllers and processors are nevertheless obliged to implement technical and organisational measures, considering the risks with respect to their processing activities, in accordance with Article 32 of the GDPR.
- Dies muss auch beim Home Office ausserhalb des EWR gelten, aber auch z.B. dann, wenn ein EWR-Exporteur Daten an einen ausserhalb des EWR befindlichen Mitarbeiters eines EWR-Importeurs übermittelt.
- Der Importeur befindet sich in einem Drittstaat: Dies setzt wohl einen Sitz im Drittstaat voraus (der EDSA sagt nur, dass der Importeur im Drittstaat “ist”). Unklar ist, was bei einer Zweigniederlassung im Drittstaat gilt. Hier darf man wohl davon ausgehen, dass dieselbe Logik wie beim Mitarbeiter gilt: Wenn die Zweigniederlassung keine eigene Rechtsperson ist, ist sie Teil des Verantwortlichen bzw. Auftragsverarbeiters, weshalb keine Bekanntgabe vorliegen kann (was nicht heisst, dass die SCC hier nicht als ein Reglement im Sinne einer organisatorischen Sicherheitsmassnahme in Frage kommen).
Mit Spannung erwartet wurden Aussagen zur Bedeutung der SCC, wenn der Exporteur im Drittstaat mit Bezug auf die Verarbeitung der empfangenen Daten der DSGVO untersteht. Hier sagt der EDSA wenig. In diesem Fall sollen aber niedrigere Anforderungen an die SCC gelten:
Similarly, for a transfer of personal data to a controller in a third country less protection/safeguards are needed if such controller is already subject to the GDPR for the given processing. Therefore, when developing relevant transfer tools (which currently are only available in theory), i.e. standard contractual clauses or ad hoc contractual clauses, the Article 3(2) situation should be taken into account in order not to duplicate the GDPR obligations […].
In einem solchen Fall müssen die eingesetzten Klauseln den Schutz der DSGVO nicht herstellen, sondern vor entgegenstehenden Bestimmungen des lokalen Rechts schützen. Entsprechend geht es vor allem um den Umgang mit solchen Bestimmungen, vage in Richtung von Art. 14 und 15 der neuen SCC.
Auf diese Situation zugeschnittene SCC existieren noch nicht, sollen sich aber in Ausarbeitung befinden. Der EDSA reicht der EU-Kommission hier die Hand, nachdem diese in den aktuellen SCC bekanntlich die Auffassung vertritt, die SCC seien nicht geeignet, wenn der Empfänger nach Art. 3 Abs. 2 der DSGVO untersteht:
The EDPB encourages and stands ready to cooperate in the development of a transfer tool, such as a new set of standard contractual clauses, in cases where the importer is subject to the GDPR for the given processing in accordance with Article 3(2).
Bis solche neuen SCC vorliegen, setzt die Praxis – faute de mieux – die aktuellen SCC auch dann ein, wenn der Empfänger für die betreffenden Daten der DSGVO untersteht. Es ist auch nicht ersichtlich, inwiefern betroffene Personen durch ein solches Vorgehen höheren Risiken ausgesetzt würden.