Der Europäische Datenschutzausschuss (EDSA) hat sich gestern auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt.

LEBENDES FAQ DOKUMENT

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber betont, dass es sich um ein ‚lebendes Dokument‘ handelt: Der EDSA klärt mit der FAQ entscheidende Fragen, die sich nach dem Urteil stellen. Das Dokument ist aber nicht abschließend. Der EDSA wird weitere Antworten ergänzen. Jetzt kommt es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten.

KEINE GNADENFRIST

Der EDSA gibt zunächst europaweit verbindlich Auskunft zu Fragen, die den Datenschutzaufsichtsbehörden in der vergangenen Woche sehr oft gestellt wurden. So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.

STANDARDVERTRAGSKLAUSELN NUR MIT ‚ZUSÄTZLICHE MASSNAHMEN‘

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.

VERTRÄGE PRÜFEN

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.

Der EDSA hat die FAQ auf seiner Internetseite veröffentlicht.