Lokke Moerel hat auf dem Blog des Future of Privacy Forum (FPF) einen Beitrag zum risikobasierten Ansatz bei Übermittlungen ins Ausland veröffentlicht. Er schliesst an einen früheren Beitrag von Moerel an, The Ebb and Flow of Trans-atlantic Data Transfers: It’s the Geopolitics, Stupid!.
Im Kern dreht sich die Analyse um die Frage, ob die Anforderungen an die Übermittlung von Personendaten ins Ausland in Art. 5 (Bearbeitungsgrundsätze) oder in Art. 24 DSGVO (Pflichten des Verantwortlichen) zu verorten ist – dies deshalb, weil Art. 24 DSGVO ausdrücklich einen risikobasierten Ansatz verfolgt.
Moerel kommt in ihrer historischen und grammatikalischen Analyse zu folgenden Ergebnissen:
- Art. 24 DSGVO und damit der risikobasierte Ansatz bestimmt nicht nur für die Frage der Accountability und damit der Beweislast, sondern ist auch Masstab für die Pflichten des Verantwortlichen selbst.
- Dies gilt auch für die Bekanntgabe ins Ausland, u.a. weil Art. 46 DSGVO eine Pflicht des Verantwortlichen vorsieht (“sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat”), die damit Art. 24 DSGVO untersteht.
- Der EuGH hat dies in Schrems II nicht widerlegt, ebensowenig wie die Empfehlungen des EDSA zu Supplementary Measures.
- Art. 5 Abs. 2 DSGVO kennt demgegenüber keinen risikobasierten Ansatz. Diese Bestimmung gilt indes nur für die Bearbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO.