Lite­ra­tur­hin­weis: Moe­rel, What Hap­pen­ed to the Risk-Based Approach to Data Transfers?

Lok­ke Moe­rel hat auf dem Blog des Future of Pri­va­cy Forum (FPF) einen Bei­trag zum risi­ko­ba­sier­ten Ansatz bei Über­mitt­lun­gen ins Aus­land ver­öf­fent­licht. Er schliesst an einen frü­he­ren Bei­trag von Moe­rel an, The Ebb and Flow of Trans-atlan­tic Data Trans­fers: It’s the Geo­po­li­tics, Stu­pid!.

Im Kern dreht sich die Ana­ly­se um die Fra­ge, ob die Anfor­de­run­gen an die Über­mitt­lung von Per­so­nen­da­ten ins Aus­land in Art. 5 (Bear­bei­tungs­grund­sät­ze) oder in Art. 24 DSGVO (Pflich­ten des Ver­ant­wort­li­chen) zu ver­or­ten ist – dies des­halb, weil Art. 24 DSGVO aus­drück­lich einen risi­ko­ba­sier­ten Ansatz verfolgt.

Moe­rel kommt in ihrer histo­ri­schen und gram­ma­ti­ka­li­schen Ana­ly­se zu fol­gen­den Ergebnissen:

  • Art. 24 DSGVO und damit der risi­ko­ba­sier­te Ansatz bestimmt nicht nur für die Fra­ge der Accoun­ta­bi­li­ty und damit der Beweis­last, son­dern ist auch Mas­stab für die Pflich­ten des Ver­ant­wort­li­chen selbst.
  • Dies gilt auch für die Bekannt­ga­be ins Aus­land, u.a. weil Art. 46 DSGVO eine Pflicht des Ver­ant­wort­li­chen vor­sieht (“sofern der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter geeig­ne­te Garan­tien vor­ge­se­hen hat”), die damit Art. 24 DSGVO untersteht.
  • Der EuGH hat dies in Schrems II nicht wider­legt, eben­so­we­nig wie die Emp­feh­lun­gen des EDSA zu Sup­ple­men­ta­ry Mea­su­res.
  • Art. 5 Abs. 2 DSGVO kennt dem­ge­gen­über kei­nen risi­ko­ba­sier­ten Ansatz. Die­se Bestim­mung gilt indes nur für die Bear­bei­tungs­grund­sät­ze des Art. 5 Abs. 1 DSGVO.