Mitarbeiterdatenschutz bei Datenübermittlungen in Drittl ... / 4.1 Hintergrund

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden^[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Drittland auf die personenbezogenen Daten müssen andernfalls zusätzliche Maßnahmen ergriffen werden, um die Einhaltung der Standardvertragsklauseln und damit ein angemessenes Datenschutzniveau sicherzustellen.^[2] In Umsetzung des Schrems-II-Urteils hat die Europäische Kommission am 7.6.2021 im Amtsblatt neue Musterklauseln veröffentlicht, die Verantwortliche als Unterstützung heranziehen können, um sicherzustellen, dass aus dem EWR übermittelte personenbezogene Daten angemessen geschützt sind. Tatsächlich hat die Kommission zwei verschiedene Klauselwerke publiziert: das erste sind die für Verantwortliche und Datenverarbeiter anzuwendenden Musterklauseln.^[3] Das zweite Werk bietet geeignete Absicherungen für die internationale Übermittlung personenbezogener Daten^[4] ("Neue Standardvertragsklauseln"). Die Klauseln ersetzen die bestehenden Standardvertragsklauseln (zuletzt aktualisiert 2010, unter der alten Datenschutzrichtlinie von 1995) und wurden aktualisiert, um der DSGVO und dem Schrems-II-Urteil Rechnung zu tragen, insbesondere im Hinblick auf die Bedeutung des nationalen Rechts und die Überwachungsrechte in manchen Empfängerländern.

Die EDSA hat ergänzend Empfehlungen publiziert, um Unternehmen dabei zu unterstützen, die Risiken, die mit der Übermittlung von personenbezogenen Daten außerhalb der EU einhergehen, zu bewerten und geeignete ergänzende Maßnahmen zu identifizieren, die bei Bedarf umgesetzt werden müssen.^[5]

Sofern diese zusätzlichen Maßnahmen nicht ausreichen, um einen angemessenen Schutz der personenbezogenen Daten sicherzustellen, ist die Übermittlung in das Drittland zu unterlassen.

[1] EuGH, Urteil v. 16.7.2020, C-311/18 (Schrems II).

[2] So auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ("DSK") in ihrer Pressemitteilung v. 21.6.2021.

[3] Art. 28 Abs. 7 DSGVO.

[4] Art. 46 Abs. 2 Buchst. c DSGVO.

[5] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten v. 18.6.2021.