„Schrems II“: Stellungnahmen der Aufsichtsbehörden zu Schrems II und Empfehlungen zur Umsetzung des Urteils bei internationalen Datentransfers.
Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs).
Prüfungsanforderungen: Der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger müssen einem angemessenen Datenschutzniveau entsprechen
Bei einer Übermittlung von personenbezogenen Daten mittels SCCs muss der Datenexporteur zukünftig bewerten, ob für die von Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die übertragenen Daten.
Zu bewerten sind daher:
- der konkrete Übertragungsweg der Daten: Risiken für das Schutzniveau können sich beispielsweise aus der staatlichen Überwachung von Leitungsnetzen ergeben (so kann bei Datenübertragung in die USA mittels Überseekabel eine Überwachung durch US-amerikanische Geheimdienste stattfinden, die bei einem anderen Übertragungsweg möglicherweise nicht erfolgt);
- die Risiken durch die Speicherung der Daten bei einem spezifischen Empfänger: Unterschiede können sich beispielsweise durch branchenspezifische Gesetzgebung ergeben, die bestimmte Empfänger (z.B. TK-Anbieter) zur Kooperation mit Geheimdiensten zwingen, wohingegen andere Datenimporteure von derartiger Gesetzgebung nicht betroffen sein müssen;
- ob zumutbare Alternativen bestehen (etwa in der EU ansässige Dienstleister), die ohne internationalen Datentransfer auskommen.
Ergibt sich aufgrund dieser Bewertung, dass das Schutzniveau nicht mit dem europäischen vergleichbar ist, muss der Datenexporteur vor dem Transfer zusätzliche Maßnahmen ergreifen, um den Schutz der Daten zu garantieren. Falls die Maßnahmen nicht ausreichen, dürfen personenbezogenen Daten nicht mehr auf der Grundlage von SCCs übertragen werden.
Stellungnahmen der Aufsichtsbehörden
Seit der Veröffentlichung des Urteils haben sich zahlreiche Aufsichtsbehörden in Stellungnahmen und Empfehlungen zum Urteil des EuGH geäußert. Wir dokumentieren diese Stellungnahmen im Anschluss, um Unternehmen bei der Implementierung des Urteils eine Hilfestellung zu geben. Von besonderer Bedeutung sind die Empfehlungen des Europäischen Datenschutzausschuss, dem Zusammenschluss der europäischen Aufsichtsbehörden. In unserer Tabelle heben wir hervor, welche Anforderungen aus Sicht der Aufsichtsbehörden nach dem Urteil bei einem Datentransfer in Drittländer zu beachten sind. Durch farbliche Markierung zeigen wir, ob eine Aufsichtsbehörde hohe, durchschnittlich oder geringe Anforderungen zur Umsetzung des Urteils stellt.
Keine Updates verpassen
Klicken Sie auf „Updates erhalten″ und teilen Sie uns Ihre E-Mail-Adresse mit, wenn Sie über wesentliche Updates, Best-Practices zur Umsetzung des Urteils und Datenschutz von CMS informiert werden möchten. Sie können Ihre Einwilligung jederzeit widerrufen. Unsere Datenschutzhinweise finden Sie hier.
Hinweis: Dieser Beitrag wird laufend aktualisiert, erhebt aber keinen Anspruch auf Vollständigkeit. Die ergangenen Stellungnahmen sind jeweils in chronologischer Reihenfolge verlinkt. Unsere Tabelle fasst jeweils die aktuellste Stellungnahme zusammen. Die letzte Aktualisierung erfolgte am 13. Januar 2021.
Behörde/ Gremium | Anforderungen an Datentransfers mittels SCCs | Handlungsbedarf für den Datenexporteur |
Europäischer Datenschutzausschuss (EDSA) |
|
|
Historie: 17. Juli 2020: Presseerklärung 23. Juli 2020: FAQs 15. August 2020: Kurze Stellungnahme zu BCRs 4. September 2020: Ankündigung Arbeitsgruppe 23. September 2020: Informelle Aussage über Zeitrahmen 11. November 2020: Entwurf einer Empfehlung 01/2020 zu ergänzenden Maßnahmen für Transferwerkzeuge, Pressemitteilung und Schaubild; Empfehlungen 02/2020 zu geeigneten Garantien 20. November 2020: Pressemitteilung zu SCC-Entwurf und Recomendation 1 15. Dezember 2020: Statement zu dem Ende der Brexit Übergangsphase 15. Dezember 2020: Informationsvermerk zur Datenübermittlung nach der DSGVO an das Vereinigtes Königreich nach der Übergangszeit 16. Dezember 2020: Pressemitteilung zu 43. Plenarsitzung 4. Januar 2021: Pressemitteilung zu den verabschiedeten Dokumente des EDSA – 42. und 43. Plenum |
||
Europäischer Datenschutzbeauftragter (EDPS) | Der EuGH habe zwar grundsätzlich die Gültigkeit der SCCs bestätigt, jedoch begrüßenswerte Klarstellungen geliefert betreffend der Verantwortlichkeit der Datenexporteure und der europäischen Datenschutzbehörden bei der Berücksichtigung der Risiken im Zusammenhang mit dem Zugriff auf personenbezogenen Daten durch die Behörden von Drittländern. Die durch den EuGH aufgestellten Kriterien betreffen alle geeigneten Garantien nach Art. 46 DSGVO. Zur Bestimmung des wesentlich gleichwertigen Schutzniveaus, wird der EDPS in Kürze einen Leitfaden zur Durchführung von Transfer-Folgeabschätzungen herausgeben. | Die Auswirkungen des Urteils, insb. auch hinsichtlich der von EU-Institutionen geschlossenen Verträge, werden im Einzelnen geprüft. EU-Institutionen sollen die Sicherheitsrisiken von Übermittlungen in Drittstaaten vorab bewerten und dokumentieren. Dies soll in sog. Transfer Impact Assessments (TIA) geschehen. Für zukünftige Datenübermittlungen von EU-Institutionen rät der EDPS stark von Übermittlungen in die USA ab. EDPS bezieht sich in dem Newsletter auf die Recommendations 01/ 2020 und 02/2020 und führt aus: (i) Verarbeitung sollte auf klaren, präzisen und zugänglichen Regeln beruhen; (ii) die Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die verfolgten legitimen Ziele muss nachgewiesen werden; (iii) ein unabhängiger Aufsichtsmechanismus sollte vorhanden sein; (iV) dem Einzelnen müssen wirksame Rechtsbehelfe zur Verfügung stehen. |
Historie: 17. Juli 2020: Erklärung 29. Oktober 2020: Strategie für EU-Institutionen 11. Dezember 2020: Blog-Beitrag 21. Dezember 2020: Newsletter (N 84) |
||
Bulgarien | Verweist auf das Urteil des EuGH und stellt andere Schutzmechanismen dar. | Der Datenexporteur muss auf alternative Transfermechanismen wie SCCs oder BCRs wechseln. |
Historie: 16. Juli 2020: Pressemitteilung |
||
Deutschland – Datenschutzkonferenz |
|
|
Historie: 28. Juli 2020: Presseerklärung 26. November 2020: Presseerklärung 28. Dezember 2020: Pressemitteilung zum Brexit |
||
Deutschland – Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI) | SCCs sind weiterhin mögliche Grundlagen des Datentransfers. Schließt sich FAQ des EDSA vollständig an. |
|
Historie:
16. Juli 2020: 1. Presseerklärung |
||
Deutschland – Baden-Württemberg |
|
|
Historie: 20. Juli 2020: FAZ-Interview mit Stefan Brink (LfDI BaWü) 21. August 2020: Handelsblatt-Interview mit Stefan Brink 24. August 2020: Orientierungshilfe (aktualisiert am 7. September 2020) 28. August 2020: Podcast-Interview mit Stefan Brink 15. Oktober 2020: Podcast-Interview mit Stefan Brink 20. November 2020: Podcast Interview mit Stefan Brink und Pressemitteilung vom 20. November 2020 4. Januar 2021: Pressemitteilung |
||
Deutschland –Bayern | Verzicht auf Dienstleistungen mit Datentransfer in Drittländer wird empfohlen. Bezug auf die Maßnahmen von Microsoft, welche ein wichtiger Schritt seien. | |
Historie: 20. November 2020: Pressemitteilung |
||
Deutschland –Berlin | Datenexporteure und -importeure seien verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen. Bestehen solche Zugriffsrechte, können auch die SCCs den Datenexport nicht rechtfertigen.
Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von SCCs nicht, um Datenexporte zu ermöglichen. |
Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Drittländer wie China, Russland oder Indien. |
Historie: 17. Juli 2020: Presseerklärung |
||
Deutschland – Hamburg | Die Beibehaltung von SCCs durch den EuGH sei nicht konsequent, da Geheimdienstaktivitäten auch diese betreffen. Die Datenschutzaufsichtsbehörden müssen die inhaltlichen Anforderungen des Urteils beachten, insb. das Datenschutzniveau des Empfängerstaates. Die EU müsse Daten nicht nur bei US-Anbietern, sondern weltweit vor staatlichen Zugriffen schützen. | Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Länder wie China, für die „derartige datenschutzrechtliche Vorkehrungen weit entfernt seien“, sowie im Hinblick auf den Brexit. |
Historie: 16. Juli 2020: Presseerklärung 26. August 2020: Kommentar im Handelsblatt |
||
Deutschland – Hessen | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit begrüßt die Initiative zur Absicherung internationaler Datentransfers in Bezug auf die Ergänzung der Standardvertragsklauseln von Microsoft. Die Angemessenheit des U.S.-Datenschutzes für europäische Exportunternehmen sei durch eine Abwägungsentscheidung zu beantworten. | |
Historie: 20. November 2020: Pressemitteilung |
||
Deutschland – Niedersachsen | SCCs können nur verwendet werden, wenn diese in dem Rechtssystem des jeweiligen Drittlandes einen gleichwertigen Schutz bieten. Bei der Prüfung des Rechtssystems des Drittlandes gelte der gleiche Maßstab wie bei einem Angemessen-heitsbeschluss der Kommission.
Für die USA bestehe kein solch gleichwertiger Schutz. Daher seien zusätzliche Schutzmaßnahmen zwingend erforderlich. Die Anforderungen an eine Einwilligung nach Art. 49 DSGVO seien sehr hoch. |
Datenübermittlungen in die USA, die allein auf das Privacy Shield gestützt werden, müssen sofort eingestellt werden. Unternehmen müssen umfassend analysieren, ob SSCs ausreichend sind und zusätzliche Schutzmaßnahmen erwägen. Diese können rechtlicher, technischer oder organisatorischer Art sein. Ein angemessenes Schutzniveau fehlt, wenn die zusätzlichen Schutzmaßnahmen nicht vor unverhältnismäßigem Zugriff der Drittlandsbehörden schützen und hiergegen kein effektiver Rechtsschutz besteht. Gleiches gilt entsprechend für die Verwendung von BCRs.
Datentransfer in das Vereinigte Königreich ist vorerst weiterhin möglich. |
Historie: 21. August 2020: PDF mit FAQ zu Videokonferenzdiensten (Fragen 7–10) 4. November 2020: Themenseite zu Schrems II-Urteil Ohne Datum: Datenübermittlung nach dem Brexit |
||
Deutschland – Rheinland-Pfalz | Unternehmen können sich mit den SCCs nicht von ihren Prüfpflichten freikaufen. Sie müssen sich mit den nationalen Gesetzen des Drittlandes intensiv auseinandersetzen.
Insb. sei offen, ob eine Ergänzung der SCCs in der konkreten Vertragsbeziehung als zusätzliche Schutzmaßnahme geeignet sein könne, insb. z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die SCCs gebunden sind. Der LfDI Rheinland-Pfalz hat im Rahmen einer „Informationsoffensive″ zum Thema ein Prüfschema veröffentlicht, um die Prüfung durch Verantwortliche zu erleichtern. |
|
Historie: 16. Juli 2020: Presseerklärung und FAQs 24. Juli 2020: Presseerklärung 22. September 2020: Podcast-Interview mit Dr. Kugelmann (LfD Rheinland-Pfalz) 6. November 2020: Prüfschema 10. November 2020: Kurzvortrag Prof. Dr. Kugelmann 10. November 2020: Podcast-Interview mit Sylvia Beck 29. Dezember 2020: Pressemitteilung |
||
Deutschland – Thüringen | Es sei fraglich, wie die weiterhin anwendbaren SCCs der EU künftig mit „Leben erfüllt“ werden sollen.
Der LfDI Thüringen verweist im Übrigen auf die „Informationsoffensive″ des LfDI Rheinland-Pfalz und die dort veröffentlichten Materialien (siehe oben). |
Insb. sei unklar, wie Datenexporteur und -importeur bei der Prüfung der Schutzmaßnahmen der SCCs und ihrer Einhaltung im Fall der USA zu einem EU-datenschutzkonformen Prüfergebnis gelangen sollen. |
Historie: 17. Juli 2020: Presseerklärung 11. November 2020: Hinweis auf Informationsoffensive des LfDI RLP |
||
Dänemark | Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Die Aufsichtsbehörde verweist zudem auf die beiden Recommendations des EDSA sowie den Entwurf neuer SCCs durch die EU-Kommission. | Es wird vorgeschlagen, dass Maßnahmen getroffen werden sollten, falls das Vereinigte Königreich nicht als sicheres Drittland anerkannt wird. |
Historie: 20. Juli 2020: Presseerklärung 11. November 2020: Verweis auf die Recommendations des EDSA 13. November 2020: Verweis auf den Entwurf neuer SCCs Ohne Datum: Brexit und Datentransfer 4. Januar 2021: Pressemitteilung zum Austrittsabkommen UK |
||
Estland | Die Verantwortung zur Prüfung der Frage, ob der Schutz personenbezogener Daten durch SCCs (auch in Zukunft) gewährleistet werden könne, liege nunmehr bei Datenexporteur und -importeur. Die Aufsichtsbehörde verweist zudem auf die laufende Konsultation zu Recommendation 01/2020 des EDSA. Zudem werden Ausführungen zu der Einstufung der Länder außerhalb der EU gemacht und die Aufsichtsbehörde geht dabei auf die Schutzmaßnahmen der Art. 46 ff. – unter Berücksichtigung des Schrems II-Urteils – ein. | Kann der Schutz personenbezogener Daten nicht gewährleistet werden, müsse die Datenübertragung ausgesetzt werden. Soll die Übertragung fortgesetzt werden, müsse auf zusätzliche Schutzmechanismen zurückgegriffen werden. |
Historie: 17. Juli 2020: Presseerklärung 12. November 2020: Verweis auf Konsultation 17. November 2020: Ausführungen zu der Einstufung der Länder außerhalb der EU |
||
Finnland | Der finnische Datenschutzbeauftragte verweist auf die FAQs des EDSA (s.o.). Er hat zudem von Unternehmen Informationen dazu angefordert, ob sie SCCs verwenden und welche Maßnahmen sie nach der Schrems-II-Entscheidung ergriffen haben. Darüber hinaus verweist er auf Recommendation 1 und 2/2020 des EDSA und die Konsultation der EU-Kommission zum neuen SCC-Entwurf. |
Verantwortliche müssen bei SCCs das Datenschutzniveau im Drittstaat bewerten. Der Datenimporteur mussbei dieser Prüfung behilflich sein. |
Historie: 16. Juli 2020: Presseerklärung 22. Juli 2020: Hinweis auf EDSA-Richtlinien 4. September 2020:Bericht über Briefe an Unternehmen 17. November 2020: Verweis auf SCC-Konsultation und Recommendation 2 2. Dezember 2020: Verweis auf SCC-Konsultation und Recommendation 01/2020 |
||
Frankreich | Gesundheitsdaten dürfen nicht zu US-Cloudanbieter übertragen werden. Dies gelte selbst, wenn die Daten in Europa gespeichert würden, aber US-Geheimdienste über den CLOUD Act dennoch Zugriff nehmen könnten. Eine Aussage über weniger sensible Daten sei damit nicht verbunden. In dem konkreten Verfahren hat das oberste französische Verwaltungsgericht die Anordnung allerdings wieder aufgehoben. | Eine mögliche Lösung sei eine Datentreuhänderschaft europäischer Unternehmen. Eine solche Treuhänderschaft hat das oberste französische Verwaltungsgericht jedoch nicht für nötig gehalten. |
Historie: 17. Juli 2020: Presseerklärung 9. Oktober 2020: Anordnung zu Gesundheitsdaten 13. Oktober 2020: Urteil des obersten Verwaltungsgerichts 28.Dezember 2020: Pressemitteilung zum Brexit |
||
Griechenland | Verweist auf FAQs des Europäischen Datenschutzausschusses (s.o.). | Keine Hinweise zum weiteren Handlungsbedarf. |
Historie: 30. September 2020: Presseerklärung 9. Oktober 2020: Stellungnahme zu Gesundheitsdaten |
||
Irland | Die Anwendung der SCCs auf die Übermittlung personenbezogener Daten in die USA sei fragwürdig, da Datenübermittlungen zwischen der EU und den USA – unabhängig vom rechtlichen Transfermechanismus im Einzelfall – „von Grund auf problematisch“ seien. Zumindest bei Facebook sind SCCs keine angemessene Garantie (selbst mit zusätzlichen Schutzmaßnahmen). | Insb. die Frage der Zulässigkeit von Datentransfers in die USA aufgrund von SCCs bedürfe einer weiteren und sorgfältigen Prüfung. Es müsse beurteilt werden, ob das von dem EU-Recht geforderte Schutzniveau in Großbritannien (Hinweis: Brexit) gewährleistet wird, um festzustellen, ob die von den SCCs gebotenen Garantien in der Praxis eingehalten werden können. Es solle ein in GB ansässiger Dienstanbieter für diese Beurteilung hinzugezogen werden. |
Historie: 16. Juli 2020: Eigene Presseerklärung 9. September 2020: Presseerklärung von Facebook Ohne Datum: Leitlinien für die Übermittlung personenbezogener Daten aus Irland an das Vereinigte Königreich am Ende der Übergangszeit (11.00 Uhr am 31. Dezember 2020) |
||
Island | Verweist auf FAQs des EDSA (s.o.). | Laut des Datenschutzbeauftragten hätten sich alle Parteien, die personenbezogene Daten an das Vereinigte Königreich übermitteln, sich ausdrücklich verpflichtet den Transfer durch angemessene Recht aus Kap. V der DSGVO zu unterstützen.
Nach dem 1. Januar 2021 müssen Institute und Unternehmen keine Maßnahmen in Bezug auf den Transfer personenbezogener Daten aus Island in das Vereinigte Königreich ergreifen. Künftige Regelungen für die Weitergabe personenbezogener Daten an das Vereinigte Königreich werden in den kommenden Monaten getroffen. |
Historie: 16. Juli 2020: Presseerklärung (aktualisiert am 24. Juli 2020) 18. Dezember 2020: Pressemitteilung 30. Dezember 2020: Pressemitteilung |
||
Israel | Das EU-US Privacy Shield stehe auch für Israel-US-Datentransfers nicht mehr zur Verfügung. Dieses hatte die israelische Datenschutzbehörde bisher als angemessenen Schutzmechanismus interpretiert. | Unternehmen müssen prüfen, ob sie andere Schutzmechanismen nutzen können. |
Historie: 29. September 2020: Presseerklärung |
||
Italien | Verweist auf FAQs des EDSA (s.o.) und verlinkt die Pressemittei-lung des EDSA zu den Recommendations (s.o.). Die Datenschutzbehörde votiert zudem für eine politische Lösung zwischen der EU und den USA sowie perspektivisch auch anderen Ländern. In der Folgeabschätzung des Ministeriums für Wirtschaft und Finanzen für die Umsetzung eines Cashback-Programms wurde zur Bewertung der Risiken die Empfehlungen 01/2020 des EDSA und das Urteil des EuGH einbezogen. | Keine Hinweise zum weiteren Handlungsbedarf. |
Historie: 29. Juli 2020: Presseerklärung (englischsprachige Zusammenfassung) 17. November 2020: Rede von Guido Scorza 26. November 2020: Folgenabschätzung des Ministeriums für Wirtschaft und Finanzen für die Umsetzung des Cashback-Programms |
||
Liechtenstein | Daten können nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO wie insb. Standarddatenschutzklauseln in die USA übermittelt werden. Bis ein anderes Abkommen der EU-Kommission mit den USA geschlossen werde, müssen sich Verantwortliche auf solche Transfermechanismen stützen. Darüber hinaus wird von der Datenschutzstelle in einem Schrems II Update auf die Recommendation 1 und 2/2020 des EDSA und die Konsultation der EU-Kommission zum neuen SCC-Entwurf verwiesen. | Verantwortlicher hat die zu-sätzlich ergriffenen Maßnahmen so zu gestalten, dass sie eine DSGVO-konforme Datenübermittlung sicherstellen. Wird kein gleichwertiges Schutzniveau im Drittland gewährleistet, so sei die Übermittlung v. personenbezogenen Daten einzustellen. Viele U.S. Applikationen seien als kritisch einzustufen.
Brexit: 1) Übergangsperiode: Es seien keine zusätzlichen Formalitäten für Verantwortliche und Auftragsverarbeiter in den EU/EWR-Mitgliedstaaten oder im Vereinigten Königreich erforderlich; 2) Mit Ablauf der Übergangsperiode sei das Vereinigte Königreich ein Drittland. Liegt kein Angemessenheitsbeschluss vor, müsse auf alternative Maßnahmen des Kapitel V DS-GVO zurückgegriffen werden. |
Historie: 17. Juli 2020: Presseerklärung und Leitfaden 3. Dezember 2020: Schrems II-Urteil: Update 7. Januar 2021: Pressemitteilung |
||
Litauen | Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien.
Vorlage eines Musterformulars für SCCs zur öffentlichen Konsultation. Im Anschluss werden die Vorschläge dem EDSA zur Bewertung vorgelegt. |
Bisher keine Hinweise zu weiterem Handlungsbedarf. |
Historie: 20. Juli 2020: Presseerklärung 21. Dezember 2020: Presseerklärung zu dem SCC-Musterformular |
||
Luxemburg | Schließt sich den FAQs des EDSA an (s.o.) und verweist auf die in den SCCs geregelten Pflichten des Datenexporteurs und -importeurs (Klauseln 4 und 5). Verweis auf die Recommendations 01/2020 und 02/2020 des EDSA.
Brexit: CNPD veröffentlicht Brexit Guidance über die Konsequenzen auf den Datentransfer in das Vereinigte Königreich |
Datenexporteure müssen eine Bestandsaufnahme aller internationalen Datentransfers vornehmen. Sie müssen bei SCCs analysieren, ob diese in dem Rechtssystem des Drittlandes wirksam die personenbezogenen Daten schützen. Wenn allein durch SCCs kein gleichwertiger Schutz besteht, sind diese durch zusätzliche Schutzmaßnahmen zu ergänzen. Diese können technischer, organisatorischer oder rechtlicher Art sein. Es wird auf die Roadmap des EDSA verwiesen, welche der Bestimmung der Compliance bei Drittstaatentransfer dient. |
Historie: 27. Juli 2020: Presseerklärung 7. Oktober 2020: Präsentation 17. November 2020: Verweis auf die Recommendations des EDSA |
||
Malta | Verweist auf FAQs des EDSA (s.o.) sowie die Recommendations 01/2020 und 02/2020 (s.o.). | Keine Hinweise zum weiteren Handlungsbedarf. |
Historie: 30. Juli 2020: Presseerklärung 11. November 2020: Pressemitteilung Recommendations 01/2020 12. November 2020: Pressemitteilung Recommendations 02/2020 3. Dezember 2020: Update der Guidelines zum Datentranfer in das Vereinigte Königreich 31. Dezember 2020: Regeln für den Datentransfer für den Zeitraum im HANDELS- UND KOOPERATIONSABKOMMEN zwischen EU und UK |
||
Niederlande | SCCs seien nach wie vor eine gültige Grundlage zur Datenübermittlung in Länder außerhalb der EU, sofern ein gleichwertiges Schutzniveau gewährleistet werden könne. Dabei wird u.a. Bezug genommen auf die Erwägungen des EuGH, wonach die Nachrichten- und Sicherheitsdienste nach US-Recht weitreichende Zugriffsbefugnisse hinsichtlich der Daten von EU-Bürgern haben, die „nicht auf streng notwendige Daten beschränkt“ seien. | Die praktischen Konsequenzen des Urteils werden– im Rahmen des EDSA – noch untersucht. Im Zweifelsfall sollte die Übermittlung in ein Drittland eingestellt und die Daten innerhalb der EU verarbeitet werden.
Die Datenschutzbehörde stellt allgemeine Informationen über den Datentransfer in das Vereinigte Königreich bereit und bezieht sich dabei auf das Erfordernis eines Angemessenheitsbeschlusses bzw. das Ergreifen von Maßnahmen durch Unternehmen für den Datentransfer in das Vereinigte Königreich als Drittland, sollte ein solcher nicht beschlossen werden. |
Historie: 20. Juli 2020: Presseerklärung 11. November 2020: Pressemitteilung Ohne Datum: Informationen zum Brexit und FAQ |
||
Norwegen | Internationale Datentransfers müssen im Einzelfall geprüft werden. Datentransfers in die USA seien i.d.R. illegal. Amerikanische Überwachungsgesetze (z.B. FISA Sec. 702 und EO 12333) machen wirksame zusätzliche Schutz-maßnahmen häufig unmöglich. Es gebe bei der Umsetzung der Entscheidung keine Übergangsfrist. Die Aufsichtsbehörde verweist zudem auf die beiden Recommendations des EDSA. | Datenexporteure müssen den Datenimporteur befragen, welche Gesetze und Bedingungen in dessen Drittland gelten. Anschließend müssen sie prüfen, ob zusätzliche Schutzmaßnahmen ergriffen werden können. Falls diese nicht ausreichen, müssen sie den Datentransfer stoppen. |
Historie: 16. Juli 2020: Presseerklärung 27. Juli 2020: FAQ 11. November 2020: Verweis auf Recommendations des EDSA 31. Dezember 2020: News zum Datentransfer in das Vereinigte Königreich |
||
Österreich | Datentransfers in die USA seien nur mit zusätzlichen Schutzmaßnahmen möglich. Es gebe keine „Schonfrist″. Ansonsten verweist die österreichische Datenschutzbehörde auf die Stellungnahme und die FAQs des EDSA (s.o.) sowie die Recommendations 1 und 2 des EDSA. | Der Datenexporteur muss zusätzliche Schutzmaßnahmen prüfen. Weitere Handlungsanweisungen werden bald veröffentlicht. |
Historie: August 2020: Stellungnahme (aktualisiert November 2020) |
||
Polen | Die für die Verarbeitung verantwortlichen Datenexporteure und -importeure müssen nicht nur die Vereinbarkeit der vertraglichen Bestimmungen mit dem EU-Recht überprüfen, sondern auch Zugriffsmöglichkeiten von Behörden eines Drittlands auf diese Daten. Der Datenschutzbeauftragte verweist zudem auf Recommendations 1 und 2 des EDSA sowie die Konsultation zu den neuen SCCs der EU-Kommission und zur Recommendation 1.
Brexit: Bevor ein Angemessenheitsbeschluss ergeht muss das britische Datenschutzrecht im Zusammenhang mit der DS-GVO und der Rechtsprechung des EUGHs evaluiert werden. |
Sofern das Schutzniveau der personenbezogenen Daten nicht dem der EU entspricht, könne die Übermittlung von Daten in ein Drittland auch auf andere Transfermechanismen gestützt werden, sofern diese ein gleichwertiges Schutzniveau wie in der EU gewährleisten. |
Historie: 20. Juli 2020: Presseerklärung 13. November 2020: Meldung zu Recommendations des EDSA 17. November 2020: Meldung zu Konsultation zu SCCs 23. November 2020: Meldung zu Konsultation zu Recommendation 1/2020 24. November 2020: Meldung zu Entwurf der neuen SCCs 30. Dezember 2020: Pressemitteilung |
||
Rumänien | Es wird auf alternative Transfermechanismen für Datenübermittlungen in die USA hingewiesen. Demnach stehen hierfür neben SCCs auch BCRs, Verhaltenskodexe und Zertifizierungsmechanismen zur Verfügung. Zudem wird auf Recommendations 1 und 2 des EDSA hingewiesen. In der Besprechung zwischen der Aufsichtsbehörde und der Rumänisch-Amerikanischen Handelskammer wurde auf das Urteil und die Recommendations 01/2020 und 02/2020 des EDSA verwiesen. | Es wurde darauf hingewiesen, dass zu befolgende Schritte, potenzielle Informationsquellen und Beispiele für die Ergänzung der Maßnahmen bereitgestellt werden sollten. |
Historie: 20. Juli 2020: Presseerklärung 17. November 2020: Meldung zu Recommendations des EDSA 7. Dezember 2020: Besprechung der Aufsichtsbehörde und der Rumänisch-Amerikanischen Handelskammer und Hinweis zur Bereitstellung von Informationen |
||
Slowenien | Es wird darauf hingewiesen, dass als rechtliche Grundlage anstelle des Privacy Shield-Beschlusses SCCs und BCRs dienen können. Es wird auf die Recommendations 1 und 2 des EDSA verwiesen. | Bisher keine Hinweise zu weiterem Handlungsbedarf. |
Historie: 16. Juli 2020: Presseerklärung 16. November 2020: Meldung zu Recommendations des EDSA |
||
Schweden | Verweist auf FAQs sowie auf Recommendations 1 und 2 des EDSA (s.o.). Die Behörde hat sechs Untersuchungen über den Datentransfer in Drittländer eingeleitet und verweist auf die Recommendations des EDSA. | Keine über die FAQs des EDSA hinausgehenden Hinweise zum weiteren Handlungsbedarf. |
Historie: 17 Juli 2020: Presseerklärung (aktualisiert am 20. Juli 2020) 16. November 2020: Informationsseite zu Schrems II-Urteil 26. November 2020: Überprüfung der Aufsichtsbehörde 11. Dezember 2020: Verstoß gegen DS-GVO – Speicherung von personenbezogenen Daten in amerikanischer Cloud, ohne ausreichendes Schutzniveau |
||
Spanien | Das Urteil stelle einen Wendepunkt für die rechtlichen Grundlagen der Datenübermittlung in die USA dar. SCCs seien dabei weiterhin als gültig zu beurteilen. | Bisher keine Hinweise zu weiterem Handlungsbedarf.
Für die Umsetzung des Urteils in den EU-Ländern sei jedenfalls eine einheitliche europäische Herangehensweise erforderlich. |
Historie: 22. Juli 2020: Presseerklärung |
||
Schweiz | Auch das Swiss-U.S. Privacy Shield biete kein ausreichendes Datenschutzniveau. Ein Datentransfer in die USA könne daher nicht mehr auf dieses gestützt werden. Dies stehe unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte. Vertragliche Garantien wie SCCs BCRs gelten weiter. Die Risiken seien jedoch wie unter der DSGVO im Einzelfall zu abzuwägen. |
|
Historie: 16. Juli 2020: Presseerklärung 8. September 2020: Stellungnahme zum Swiss-U.S. Privacy Shield |
||
Tschechische Republik | Die Anforderungen für eine weitere Verwendung von Standardvertragsklauseln bei Transfers in die USA seien hoch. Die Risiken seien im Einzelfall zu bewerten. Dabei müsse insbesondere auch der CLOUD Act berücksichtigt werden. | Rücksprache mit Datenempfänger halten, inwieweit dieser von dem EuGH-Urteil betroffen sei.
Zusätzliche Sicherheitsmaßnahmen prüfen (z.B. Verschlüsselung ohne Hintertür, Metadaten nur in der EU). |
Historie: 16. Juli 2020: Presseerklärung 7. August 2020: Hinweise für Verantwortliche 2. September 2020: Veröffentlichung FAQ zu Datentransfer in Drittländer |
||
Vereinigtes Königreich | Der EuGH habe bestätigt, dass EU-Datenschutzstandards mit den Daten „mitreisen“ müssen, wenn sie ins Ausland übermittelt werden. Das Urteil habe weitreichendere Auswirkungen als nur die Ungültigkeitserklärung des EU-US-Datenschutzschildes. Es sei ein Urteil, das die Bedeutung von Schutzmaßnahmen für personenbezogene Daten bestätigt, die aus dem Vereinigten Königreich transferiert werden. Zudem wird auf die Recommendations des EDSA und die Konsultation zu den SCCs verwiesen. | Weitere Arbeiten der Europäischen Kommission und des EDSA seien im Gange, um eine umfassendere Anleitung für zusätzliche Maßnahmen zu geben, die möglicherweise zu ergreifen sind. In der Zwischenzeit sollten Unternehmen eine Bestandsaufnahme der von Ihnen vorgenommenen internationalen Transfers vornehmen und umgehend reagieren, sobald Leitlinien und Ratschläge verfügbar werden. Angesichts der Herausforderungen für Unternehmen werde weiterhin praktische und pragmatische Beratung und Unterstützung angeboten.
Der ICO empfiehlt, dass Unternehmen bis zum 1. Juli 2021 mit EU- und EWR-Organisationen, die personenbezogene Daten an sie übermitteln, zusammenarbeiten, um alternative Übermittlungsmechanismen einzurichten, damit der freie Datentransfer personenbezogener Daten aus der EU nach Großbritannien nicht unterbrochen wird. Dazu veröffentlicht die ICO Anleitungen und Maßnahmen. Für die meisten Unternehmen und Organisationen seien SCCs die beste Lösung. |
Historie: 27. Juli 2020: Erklärung des ICO (Update zur Erklärung vom 17. Juli 2020) 13. November 2020: Erklärung zu Recommendations und SCC-Konsultation 21. Dezember 2020: Pressemitteilung 28. Dezember 2020: Erklärung des ICO Ohne Datum: Datenschutz nach der Übergangsperiode (Brexit) |
||
Zypern | Erläutert das Urteil und auf die FAQ des EDSA (s.o.). | Datenexporteure müssen das Schutzniveau im Drittland prüfen. Bei einem nicht ausreichenden Schutzniveau sollen sie einen Datentransfer aussetzen. Ggf. seien zusätzliche Schutzmaßnahmen zu erwägen. |
Historie: 20. Juli 2020: Presseerklärung |
Danke für die super Übersicht!