Wegen des Schrems II Urteils ist im Anwendungsbereich der EU-DSGVO umstritten, welche Massnahmen ergriffen werden können / müssen, um Personendaten weiterhin legal in Staaten ohne angemessenes Datenschutzniveau, insbesondere in die USA, zu übermitteln. Die EU-Kommission hat jüngst einen Entwurf für revidierte Standardvertragsklauseln publiziert, die bei solchen Transfers als Garantie vereinbart werden können. Der EDSA und der EDPS haben sich nun in einer Joint Opinion zu diesem Entwurf geäussert. Die Joint Opinion zeigt, dass die Aufsichtsbehörden strenge Sorgfaltspflichten an den Einsatz von Standardvertragsklauseln knüpfen wollen und nicht bereit sind, rechtswidrige Datentransfers hinzunehmen. Unternehmen sollten ihre Datentransfers überprüfen und die notwendigen Anpassungen einleiten.
  

Schrems II Urteil des EuGH

Mit dem Schrems II Urteil (C-311/18) des EuGH wurde das EU-US Privacy Shield aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von Art. 45 Datenschutz-Grundverordnung (DSGVO) geforderten gleichwertigen Schutzniveau führen würden. Sofern Unternehmen im Anwendungsbereich der DSGVO Personendaten in die USA bisher nur gestützt auf das EU-US Privacy Shield übermittelten, müssen sie nun andere geeignete Garantien nach Art. 46 ff. DSGVO implementieren. In der Praxis werden vielfach die von der EU-Kommission erlassenen Standard Contractual Clauses (SCC) als Alternative in Frage kommen, sofern diese nicht bereits zusätzlich vereinbart wurden.

Das Schrems II Urteil stellte aber klar, dass der Einsatz von SCC für Datentransfers in die USA und andere Länder ohne angemessenes Datenschutzniveau einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung um zusätzliche Garantien bedürfen. Der EuGH hat sich aber nicht detailliert dazu geäussert, wann genau zusätzliche Garantien zu vereinbaren sind und welchen Inhalt diese Garantien haben sollen (siehe dazu MLL-News vom 5. Oktober 2020).
 

Lesen Sie den ganzenBeitrag auf mll-news.com