Wegen des Schrems II Urteils ist im Anwendungsbereich der EU-DSGVO umstritten, wie und gestützt auf welche Rechtsgrundlagen Personendaten weiterhin legal in Staaten ohne angemessenes Datenschutzniveau, insbesondere in die USA, übermittelt werden können. In der Praxis werden sich Unternehmen bei Datentransfers in solche Staaten meist auf Garantien nach Art. 46 DSGVO stützen, insbesondere auf die revidierten Standardvertragsklauseln.

Ob die Garantien den jeweiligen Transfer legitimieren können, müssen Unternehmen aber im Einzelfall prüfen und dokumentieren. Der EDSA hat nun die finale Version der Empfehlungen veröffentlicht, was Unternehmen bei einer derartigen Prüfung (auch als Data Transfer Impact Assessment bezeichnet) berücksichtigen sollen.

Auch wenn vom EuGH klargestellt wurde, dass zusätzliche Massnahmen einen Transfer in Länder ohne angemessenes Datenschutzniveau legitimieren können, zeigt sich der EDSA diesbezüglich streng. Auch dies ist die Folge der Forderung, dass ein der Sache nach gleichwertiges Datenschutzniveau hergestellt werden muss. Nötig wäre in vielen Konstellationen eine behördensichere Verschlüsselung und diese ist keine Lösung, wenn der Datenempfänger Zugriff auf die Daten im Klartext haben soll, resp. muss. Letzteres ist aber meistens der Fall. Damit ist eigentlich nicht ersichtlich, wie in diesen Konstellationen nach der Auffassung der Datenschutzbehörden ein rechtmässiger Datentransfer von Personendaten noch möglich sein kann.

Bitte lesen Sie den Artikel im mll-Nesletter