Schrems II: Reaktionen auf das Urteil und Empfehlungen der Auf­sichts­be­hör­den – Update #38

Behörde/Gremium

Europäischer Datenschutzausschuss (EDSA)

Anforderungen an Datentransfers mittels SSC

• Bei der Verwendung von SCC oder BCR haben Datenexporteur und -importeur das Schutzniveau im betreffenden Drittland zu prüfen, um festzustellen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können.
• Andernfalls ist zu prüfen, ob zusätzliche Maßnahmen zu ergreifen sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um ihre Wirksamkeit zu verhindern.
• Zur Beurteilung der geeigneten Garantien bei Überwachungsmaßnahmen hat der EDSA Empfehlungen veröffentlicht; die vier wesentlichen Garantien sind ein Basieren der Verarbeitung auf klaren, präzisen und zugänglichen Regeln, Notwendigkeit und Angemessenheit im Hinblick auf die legitimen Zwecke, das Bestehen eines unabhängigen Aufsichtsmechanismus sowie ein effektiver Rechtsschutz für die Betroffenen.
• Der EDSA bezieht sich in der 43. Plenarsitzung auf die Herausforderungen, welche mit dem Datentransfer in Drittländer einhergehen.
• Der EDSA und der Europäische Datenschutzbeauftragte (EDPS, s.u.) haben die gemeinsamen Stellungnahmen und eine Recommendation zu zwei Gruppen von Vertragsklauseln (SCC) angenommen. Durch diese solle Rechtssicherheit für Einzelpersonen und ihrer persönlichen Daten geschaffen werden. Insb. enthalten die neuen SCC spezifischere Schutzmaßnahmen für den Fall, dass die Gesetze des Bestimmungslandes die Einhaltung der Klauseln beeinträchtigen, beispielsweise im Falle von verbindlichen Aufforderungen von Behörden zur Offenlegung personenbezogener Daten. Die neuen SCC zu Art. 46 DSGVO sollen die vorherigen SCC beim internationalen Datentransfer ersetzen.
• Der EDSA hat im November 2022 seine Empfehlungen für BCR veröffentlicht, die offen zur Kommentierung sind.

Handlungsbedarf für den Datenexporteur

• Wenn die Beurteilung im Einzelfall zu dem Ergebnis führt, dass das Land des Datenimporteurs kein im Wesentlichen gleichwertiges Schutzniveau bietet, müsse der Exporteur unter Umständen zusätzliche Schutzmaßnahmen zu den in den SCC enthaltenen Maßnahmen in Betracht ziehen.
• Der EDSA hat eine Empfehlung dazu entworfen, wie Transferwerkzeuge zu ergänzen sind. Hierzu gehören z.B. Pseudonymisierung, eine auch gegen den Empfänger wirksame Verschlüsselung oder die Wahl eines Empfängers, der durch das Recht des Ziellandes vor Zugriffen geschützt ist. Im Gegensatz hierzu soll bei Anbietern, die auf die Daten im Klartext zugreifen müssen (z.B. bei Cloud Processing) und gegenüber denen öffentliche Stellen über das für eine demokratische Gesellschaft notwendige Maß hinaus Zugriffsbefugnisse haben, keine datenschutzkonforme Übermittlung möglich sein.
• Datenexporteure müssen ihre Datenübertragungen nach Russland überprüfen und einstellen, falls diese nicht den Anforderungen des Schrems II-Urteils genügen.

Historie

17. Juli 2020: Pressemitteilung23. Juli 2020: FAQ15. August 2020: Kurze Stellungnahme zu BCR4. September 2020: Ankündigung Arbeitsgruppe23. September 2020: Informelle Aussage über Zeitrahmen11. November 2020: Entwurf einer Empfehlung 01/2020 zu ergänzenden Maßnahmen für Transferwerkzeuge, Pressemitteilung und Schaubild; Empfehlungen 02/2020 zu geeigneten Garantien20. November 2020: Pressemitteilung zu SCC-Entwurf und Recommendation 0115. Dezember 2020: Statement zu dem Ende der Brexit Übergangsphase15. Dezember 2020: Informationsvermerk zur Datenübermittlung nach der DSGVO an das Vereinigtes Königreich nach der Übergangszeit16. Dezember 2020: Pressemitteilung zu 43. Plenarsitzung4. Januar 2021: Pressemitteilung zu den verabschiedeten Dokumenten des EDSA – 42. und 43. Plenum14. Januar 2021: Gemeinsame Stellungnahme 1/2021 von EDSA und EDPS zu Standardvertragsklauseln zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern14. Januar 2021: Gemeinsame Stellungnahme 2/2021 von EDSA und EDPS zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer15. Januar 2021: Gemeinsame Stellungnahmen des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten zu neuen Standardvertragsklauseln10. März 2021: Pressemitteilung13. April 2021: Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom; Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom16. April 2021: Pressemitteilung zu Opinion 14/2021 und 15/202118. Juni 2021: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data21. Juni 2021: Pressemitteilung zur endgültigen Fassung der Empfehlungen zu ergänzenden MaßnahmenNovember 2021: Guidelines 05/2021 zum Zusammenspiel zwischen der Anwendung von Artikel 3 und den Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO12. Juli 2022: Statement 02/2022 on personal data transfersto the Russian Federation17. November 2022: Recommendations 1/2022 on the Appli-cation for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Behörde/Gremium

Europäischer Datenschutzbeauftragter (EDPS)

Anforderungen an Datentransfers mittels SSC

• Der EuGH habe zwar grundsätzlich die Gültigkeit der SCC bestätigt, jedoch begrüßenswerte Klarstellungen geliefert betreffend der Verantwortlichkeit der Datenexporteure und der europäischen Datenschutzbehörden bei der Berücksichtigung der Risiken im Zusammenhang mit dem Zugriff auf personenbezogenen Daten durch die Behörden von Drittländern. Die durch den EuGH aufgestellten Kriterien betreffen alle geeigneten Garantien nach Art. 46 DSGVO.
• Zur Bestimmung des wesentlich gleichwertigen Schutzniveaus hat der EDPS angekündigt, einen Leitfaden zur Durchführung von Transfer-Folgeabschätzungen herausgeben.
• Die neuen SCC zielen darauf ab, eine vollständige Harmonisierung und Rechtssicherheit in der EU zu gewährleisten, wenn es um Verträge zwischen Verantwortlichen und ihren Auftragsverarbeitern geht. Die neuen SCC enthalten spezifischere Schutzmaßnahmen für den Fall, dass die Gesetze des Bestimmungslandes die Einhaltung der Klauseln beeinträchtigen, insb. bei verbindlichen Aufforderungen von Behörden zur Weitergabe von personenbezogenen Daten.

Handlungsbedarf für den Datenexporteur

• Die Auswirkungen des Urteils, insb. auch hinsichtlich der von EU-Institutionen geschlossenen Verträge, werden im Einzelnen geprüft. EU-Institutionen sollen die Sicherheitsrisiken von Übermittlungen in Drittstaaten vorab bewerten und dokumentieren. Dies soll in sog. Transfer Impact Assessments (TIA) geschehen. Für zukünftige Datenübermittlungen von EU-Institutionen rät der EDPS stark von Übermittlungen in die USA ab. Der EDPS bezieht sich in dem Newsletter auf die Recommendations 01/2020 und 02/2020 und führt aus: (i) Verarbeitung sollte auf klaren, präzisen und zugänglichen Regeln beruhen; (ii) die Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die verfolgten legitimen Ziele muss nachgewiesen werden; (iii) ein unabhängiger Aufsichtsmechanismus sollte vorhanden sein; (iv) dem Einzelnen müssen wirksame Rechtsbehelfe zur Verfügung stehen.
• Der EDPS hat zur Bewertung der Einhaltung des Schrems II-Urteils zwei Untersuchungen eingeleitet. Die erste Untersuchung betrifft die Nutzung von Amazon Web Services und Microsoft durch die Organe, Einrichtungen und Agenturen der Europäischen Union im Rahmen von Cloud-Diensten, deren Bereitstellung auf Cloud-II-Verträgen basiert. Die zweite Untersuchung betrifft die Nutzung von Microsoft (Office) 365 durch die Europäische Kommission.
• Der EDPS hat festgestellt, dass das Europäische Parlament durch die Verwendung von Google Analytics und Stripe gegen die Vorgaben des Schrems II-Urteils verstößt.

Historie

17. Juli 2020: Pressemitteilung29. Oktober 2020: Strategie für EU-Institutionen11. Dezember 2020: Blog-Beitrag21. Dezember 2020: Newsletter (N 84)15. Januar 2021: Pressemitteilung19. April 2021: Jahresreport 202027. Mai 2021: Pressemitteilung10. Juni 2021: From Lindqvist to Schrems II: case law of the CJEU on transfers of personal data to third countries11. Januar 2022: News NOYB (EDPS sanctions the European Parliament for illegal EU-US data transfers)

Behörde/Gremium

Bulgarien

Anforderungen an Datentransfers mittels SSC

• Verweist auf das Urteil des EuGH und stellt andere Schutzmechanismen dar.

Handlungsbedarf für den Datenexporteur

• Der Datenexporteur muss auf alternative Transfermechanismen wie SCC oder BCR wechseln.

Historie

16. Juli 2020: Pressemitteilung

Behörde/Gremium

Deutschland – Datenschutzkonferenz (DSK)

Anforderungen an Datentransfers mittels SSC

• SCC können für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer verwendet werden, allerdings im Falle der USA nur mit zusätzlichen Schutzmaßnahmen.
• Die Bewertung eines gleichwertigen Datenschutzes in Drittländern obliegt dem Verantwortlichen und dem Empfänger.
• Die DSK hat ein Expertengutachten zum aktuellen Stand des US-Überwachungsrechts und der -befugnisse veröffentlicht.
• Die DSK hat zu Microsoft Onlinediensten/365 festgestellt, dass der Nachweis von Verantwortlichen, die Dienste datenschutzrechtskonform zu betreiben, nicht auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ geführt werden könne.

Handlungsbedarf für den Datenexporteur

• Falls im Drittland kein entsprechender Schutz gewährleistet werden kann, sollte geprüft werden, welche zusätzlichen Schutzmaßnahmen möglich sind.
• Dies gelte auch für BCR. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR zusätzliche Schutzmaßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen.
• Die DSK spricht sich für die Verschlüsselung als zentrales Mittel zur Sicherung von Datenübertragungen in Drittländer aus. Trotz neuer SCC der EU-Kommission seien weiterhin ergänzende Prüfungen und Maßnahmen notwendig.
• Bei der Einbindung von Inhalten Dritter und Tracking-Dienstleistungen mit Drittlandbezug seien ausreichende ergänzende Maßnahmen kaum möglich, sodass die Einbindung der betroffenen Dienste oftmals nicht erfolgen dürfe.
• Öffentliche Stellen dürften gegenwärtig keine Facebook-Fanpage betreiben, wenn u.a. der Nachweis der Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten nicht gelinge.

Historie

28. Juli 2020: Pressemitteilung26. November 2020: Pressemitteilung28. Dezember 2020: Pressemitteilung zum Brexit21. Juni 2021: Pressemitteilung20. Dezember 2021: Orientierungshilfe der Aufsichtsbehörden für AnbieterInnen von Telemedien ab dem 1. Dezember 202125. Januar 2022: Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse vom 15. November 2021

18. März 2022: Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages (aktualisiert am 10. November 2022) sowie dazugehöriger Beschluss vom 23. März 2022

24. November 2022: Festlegung der DSK zu Microsoft (dazugehöriger Abschlussbericht und Zusammenfassung)

Behörde/Gremium

Deutschland – Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI)

Anforderungen an Datentransfers mittels SSC

• SCC sind weiterhin mögliche Grundlagen des Datentransfers. Schließt sich FAQ des EDSA vollständig an. Begrüßt die Stellungnahme des EDPS und EDSA zu den Entwürfen der Europäischen Kommission von SCC.

Handlungsbedarf für den Datenexporteur

• Der internationale Datenverkehr ist weiterhin möglich, wobei es für eine Übermittlung in die USA zusätzlicher Schutzmaßnahmen bedürfe. Als solche kommen insb. Verschlüsselung und Pseudonymisierung in Betracht.
• Unternehmen sollen Verträge mit Dienstleistern prüfen, ob und wie diese Daten in Drittländern übermitteln.
• Gegenwärtig sei kein datenschutzkonformer Betrieb einer Facebook-Fanpage durch öffentliche Stellen möglich. Hierbei verweist der BfDI in seinem Anschreiben an die Bundesministerien und an die obersten Bundesbehörden u.a. auf das Schrems II-Urteil des EuGH.

Historie

16. Juli 2020: 1. Pressemitteilung24. Juli 2020: 2. Pressemitteilung1. Oktober 2020: Interview mit Ulrich Kelber (BfDI)8. Oktober 2020: Informationsschreiben mit Kernaussagen des Urteils und Prüfschema für internationale Datentransfers24. Oktober 2020: Podcast-Interview mit Ulrich Kelber15. Januar 2021: Stellungnahme zu überarbeiteten Standarddatenschutzklauseln25. März 2021: Tätigkeitsbericht 202025. Juni 2021: Schreiben des BfDI an sämtliche Bundesministerien und obersten Bundesbehörden zu Facebook-Auftritten von öffentlichen Stellen des Bundes vom 16. Juni 2021Ohne Datum: Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“)

Behörde/Gremium

Deutschland – Baden-Württemberg

Anforderungen an Datentransfers mittels SSC

• SCC wurden durch den EuGH nicht prinzipiell für unwirksam erklärt. Bei ihrer weiteren Verwendung müssen die europäischen Unternehmen und im Anschluss die Datenschutzbehörden im Einzelfall prüfen, ob sie ausreichen. Dies gelte auch für andere Drittländer. Im Falle der USA liege das Ergebnis dieser Prüfung aber auf der Hand, denn praktisch kein US-amerikanisches Unternehmen könne glaubhaft garantieren, dass es vom Zugriff der Geheimdienste verschont bleiben wird. Weiterverarbeitung auf Basis des Privacy Shields werde zu Bußgeldern führen. SCC seien nur in seltenen Fällen denkbar.
• Besondere Vorsicht sei bei den neuen SCC hinsichtlich Clause 14 zu den Gepflogenheiten im Drittland geboten; die Klauseln der neuen SCC seien teilweise zu ergänzen (S. 9 der Orientierungshilfe).
• Datentransfers in die USA seien kaum noch möglich; ordnet die Executive Order des US-Präsidenten als wichtigen Schritt ein, der aber viele Fragen offenlasse.
• Kritisiert EuGH, da dieser anderen Staaten europäische Vorstellungen von Datenschutz aufzwinge und die Entscheidung für Unternehmen nur schwer umzusetzen sei.
• Zu demBeschluss der Vergabekammer Baden-Württemberg vom 13. Juli 2022 (1 VK 23/22): Die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Datenübermittlung sei zweifelhaft. Pauschale Transferverbote seien nicht das Mittel der Wahl.

Handlungsbedarf für den Datenexporteur

• Liefert eine Orientierungshilfe inkl. Checkliste für Unternehmen, die internationale Datentransfers betreiben (s.u.).
• Unternehmen sollen prüfen, welche Daten sie in welche Länder exportieren. Ein Datenexport sei auch die bloße Möglichkeit des Zugriffs (z.B. bei Wartung). Anschließend müssen sie prüfen, ob es einen Angemessenheitsbeschluss für das jeweilige Land gibt, und falls nicht, wie die Rechtslage in dem jeweiligen Drittland ist.
• Datenexporteure sollten sich an möglichen zusätzlichen Garantien orientieren und diese umsetzen.
• Datenexporte auf Basis des Privacy Shields seien umgehend einzustellen, bis ein neuer Transfermechanismus gefunden sei.
• Dieser neue Transfermechanismus sei in den Datenschutzhinweisen und in dem Verzeichnis der Verarbeitungstätigkeiten zu einzutragen.
• Es bedürfe zudem maßgeschneiderter zusätzlicher Schutzmaßnahmen, die beispielsweise darin bestehen könnten, dass Datenexporteure (insb. Anbieter von Cloud-Diensten) die Daten nachweislich in einer Weise verschlüsseln, bei welcher allein der Datenexporteur den Schlüssel hat und die auch die Geheimdienste nicht überwinden können.
• Zentral sei, ob zumutbare Alternativangebote ohne Transferproblematik bestehen (z.B. Vereinbarung, dass Daten in einem der Mitgliedstaaten der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird). Wenn solche existieren, werde der LfDI Baden-Württemberg diesen Datentransfer untersagen.
• Beispiel Microsoft: Laut dem LfDI seien die ergriffenen Maßnahmen ein gutes Beispiel, an welchem sich andere Unternehmen orientieren können. Microsoft habe seine SCC wie folgt ergänzt:(i) Anerkennung des Ersatzes von materiellen und immateriellen Schäden von Betroffenen in Europa, (ii) Verpflichtung, gegen Anordnungen der U.S.-Sicherheitsbehörde gerichtliche vorzugehen, soweit dies möglich ist, und (iii) die Informationspflicht der Betroffenen, solle eine staatliche Anordnung rechtlich bindend dazu verpflichten, Daten an US-Sicherheitsbehörden herauszugeben. Es seien weitere Maßnahmen erforderlich, wie beispielsweise die Verschlüsselung, um den Anforderungen des Urteils gerecht zu werden.

Historie

20. Juli 2020: FAZ-Interview mit Stefan Brink (LfDI BaWü)21. August 2020: Handelsblatt-Interview mit Stefan Brink24. August 2020: Orientierungshilfe (aktualisiert am 7. September 2020)28. August 2020: Podcast-Interview mit Stefan Brink15. Oktober 2020: Podcast-Interview mit Stefan Brink20. November 2020: Podcast-Interview mit Stefan Brink und Pressemitteilung vom 20. November 20204. Januar 2021: Pressemitteilung8. Februar 2021: Datenschutz-Tätigkeitsbericht 2020 und dazugehörige Pressemitteilung2. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die DatenschutzaufsichtsbehördenSeptember 2021: Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? (inkl. Checkliste)9. Februar 2022: Tätigkeitsbericht 2021 und dazugehörige Pressemitteilung15. August 2022: Pressemitteilung26. Oktober 2022: Pressemitteilung

Behörde/Gremium

Deutschland – Bayern

Anforderungen an Datentransfers mittels SSC

Handlungsbedarf für den Datenexporteur

• Verzicht auf Dienstleistungen mit Datentransfer in Drittländer wird empfohlen. Bezug auf die Maßnahmen von Microsoft, welche ein wichtiger Schritt seien.
• Sofern bayerische öffentliche Stellen externe Web Fonts auf einer Webseite einbinden, müssen dafür für die Übermittlung der IP-Adresse von Betroffenen in Drittländer eine wirksame Einwilligung vorliegen und erforderlichenfalls die Einhaltung der Art. 44 ff. DSGVO nachweisen werden können.
• Das Bayerische Landesamt für Datenschutzaufsicht rät, Alternativen zu Google reCAPTCHA zu suchen.
• Datenübermittlungen in Drittländer ohne Einhaltung der Anforderungen des Schrems II-Urteils sind einzustellen.

Historie

20. November 2020: Pressemitteilung1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden (Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht)Ohne Datum: Übermittlung personenbezogener Daten in DrittländerOhne Datum (2021): Interview Carlo Piltz mit Alexander Filip (Leiter des Bereichs 3 für internationalen Datenverkehr beim BayLDA), DSB 2021, 206 (juris)Ohne Datum: Kurzinformation zu externen Schriftarten auf Webseiten bayerischer öffentlicher StellenOhne Datum: FAQ des BayLDA zu Google reCAPTCHA

Behörde/Gremium

Deutschland – Berlin

Anforderungen an Datentransfers mittels SSC

• Datenexporteure und -importeure seien verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen. Bestehen solche Zugriffsrechte, können auch die SCC den Datenexport nicht rechtfertigen.
• Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von SCC nicht, um Datenexporte zu ermöglichen.

Handlungsbedarf für den Datenexporteur

• Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Drittländer wie China, Russland oder Indien.
• Sofern ein Transfer personenbezogener Daten in Drittländer nicht rechtskonform möglich ist, ist dieser sofort einzustellen.
• Gerade bei IT-Dienstleistungen sei ein Verzicht auf Datentransfers in unsichere Drittländer der pragmatische Weg, für Transfers in die USA sei der Verzicht zumeist wohl die einzige rechtskonforme Lösung.

Historie

17. Juli 2020: Pressemitteilung8. April 2021: Tätigkeitsbericht 20201. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden24. Mai 2022: Tätigkeitsbericht 2021Ohne Datum: Datenexporte

Behörde/Gremium

Deutschland – Brandenburg

Anforderungen an Datentransfers mittels SSC

Handlungsbedarf für den Datenexporteur

• Sofern ein Transfer personenbezogener Daten in Drittländer nicht rechtskonform möglich ist, ist dieser sofort einzustellen.

Historie

1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden9. Mai 2022: Tätigkeitsbericht 2021

Behörde/Gremium

Deutschland – Bremen

Historie

10. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden

Behörde/Gremium

Deutschland – Hamburg

Anforderungen an Datentransfers mittels SSC

• Die Möglichkeit bestehe, dass Gerichte die neuen SCC kippen; Unternehmen sollten diese trotzdem abschließen.
• Der reine Abschluss von SCC genüge nicht, um Datenexporte in Drittländer zu ermöglichen; verweist zum Tracking auf die Orientierungshilfe der Aufsichtsbehörden für AnbieterInnen von Telemedien ab dem 1. Dezember 2021.
• Zu demBeschluss der Vergabekammer Baden-Württemberg vom 13. Juli 2022 (1 VK 23/22): Derzeit könne kein Unternehmen mit europäischen Servern und US-amerikanischen Mutterkonzernen ausschließen, dass ein Risiko des Zugriffs auf unverschlüsselte personenbezogene Daten (z.B. durch Geheimdienste) bestehe, was zu einer faktischen Unzulässigkeit der Datenverarbeitung führe.
• Privacy Shield: Der Datenschutzbeauftragte äußert Bedenken zu der Executive Order; allerdings habe diese eine fundierte, ergebnisoffene Prüfung verdient.

Handlungsbedarf für den Datenexporteur

• Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Länder wie China, für die „derartige datenschutzrechtliche Vorkehrungen weit entfernt seien“.
• USA: Momentan habe sich an der Rechtslage in den USA noch nichts Entscheidendes aufgrund der Executive Order geändert.

Historie

16. Juli 2020: Pressemitteilung26. August 2020: Kommentar im Handelsblatt1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden6. April 2022: Tätigkeitsbericht 202129. Juli 2022: Podcast-Interview mit Thomas Fuchs (Datenschutzbeauftragter Hamburg)29. November 2022: Datenschutz in den USA – aktuelle Lage7. Dezember 2022: Pressemitteilung

Behörde/Gremium

Deutschland – Hessen

Anforderungen an Datentransfers mittels SSC

• Der Hessische Beauftragte für Datenschutz und Informationsfreiheit fordert datenverarbeitende Stellen in Hessen ausdrücklich zur Beachtung des Schrems II-Urteils auf.

Handlungsbedarf für den Datenexporteur

• Der Hessische Beauftragte für Datenschutz und Informationsfreiheit begrüßt die Initiative zur Absicherung internationaler Datentransfers in Bezug auf die Ergänzung der SCC von Microsoft. Die Angemessenheit des U.S.-Datenschutzes für europäische Exportunternehmen sei durch eine Abwägungsentscheidung zu beantworten.
• Transfers personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen seien nicht zulässig.

Historie

20. November 2020: Pressemitteilung22. Juni 2021: Hinweis Schrems II und Pressemitteilung12. Januar 2022: Informationen zu den SCC8. Juni 2022: Tätigkeitsbericht 202117. November 2022: Informationen zu EU-US-Datentransfer – Privacy Shield18. November 2022: Informationen zu BCR

Behörde/Gremium

Deutschland – Mecklenburg-Vorpommern

Anforderungen an Datentransfers mittels SSC

• Im Bundesland verwendete Betriebssysteme, Büro-Anwendungen und Videokonferenzprogramme können nicht ohne Datenabfluss in Drittländer, insb. in die USA, rechtskonform betrieben werden.

Handlungsbedarf für den Datenexporteur

• Sofern Verschlüsselungs- und Anonymisierungstechniken auf personenbezogene Daten nicht angewendet werden können, sollten Behörden die Verwendung der genannten Programme unterlassen und datenschutzkonforme Alternativprodukte anwenden.

Historie

17. März 2021: Pressemitteilung

Behörde/Gremium

Deutschland – Niedersachsen

Anforderungen an Datentransfers mittels SSC

• SCC können nur verwendet werden, wenn diese in dem Rechtssystem des jeweiligen Drittlandes einen gleichwertigen Schutz bieten. Bei der Prüfung des Rechtssystems des Drittlandes gelte der gleiche Maßstab wie bei einem Angemessenheitsbeschluss der Kommission. Für die USA bestehe kein solch gleichwertiger Schutz. Daher seien zusätzliche Schutzmaßnahmen zwingend erforderlich.
• Die Anforderungen an eine Einwilligung nach Art. 49 DSGVO seien sehr hoch.
• Die Behörde hat bestimmte BCR genehmigt.

Handlungsbedarf für den Datenexporteur

• Der LfDI Niedersachsen verweist auf die Pressemitteilung der DSK vom 21. Juni 2021 (s.o.), in der diese klarstellt, dass ergänzende Prüfungen und Maßnahmen zu den SCC notwendig seien.
• Datenübermittlungen in die USA, die allein auf das Privacy Shield gestützt werden, müssen sofort eingestellt werden. Unternehmen müssen umfassend analysieren, ob SCC ausreichend sind, und zusätzliche Schutzmaßnahmen erwägen. Diese können rechtlicher, technischer oder organisatorischer Art sein. Ein angemessenes Schutzniveau fehlt, wenn die zusätzlichen Schutzmaßnahmen nicht vor unverhältnismäßigem Zugriff der Drittlandsbehörden schützen und hiergegen kein effektiver Rechtsschutz besteht. Gleiches gilt entsprechend für die Verwendung von BCR.
• Datenexporteure müssen auch bei der Verwendung der neuen SCC die Rechtslage und -praxis des Drittlands prüfen, ggf. seien zusätzliche Schutzmaßnahmen zu ergreifen oder die Übermittlung einzustellen.
• Die Datenschutzbeauftragte weist auf die (nunmehr abgelaufene) Umsetzungsfrist zur Umstellung auf die neuen SCC hin.

Historie

21. August 2020: FAQ zu Videokonferenzdiensten(Fragen 7-10)4. November 2020: Themenseite zu Schrems II-Urteil (aktualisiert im Januar 2021)11. Februar 2021: Pressemitteilung1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden2. Juni 2022: Tätigkeitsbericht 20213. November 2022: PressemitteilungOhne Datum: Datenübermittlung nach dem Brexit

Behörde/Gremium

Deutschland – Nordrhein-Westfalen

Anforderungen an Datentransfers mittels SSC

• Unternehmen müssen das Schutzniveau im Empfängerland vor der Übermittlung prüfen und möglicherweise zusätzliche Maßnahmen treffen, die im Wesentlichen ein im Europäischen Wirtschaftsraum garantiertes Schutzniveau gewährleisten. Sofern geeignete Maßnahmen nicht ersichtlich sind, ist eine rechtmäßige Übermittlung nicht möglich.

Handlungsbedarf für den Datenexporteur

• Rat an Verantwortliche zur Überprüfung des Einsatzes von Software und Diensten, die Daten in ein Drittland übermitteln oder dies könnten. Gleiches gelte auch für Auftragsverarbeiter, welche Daten in Drittländer übermitteln, wenn die verantwortliche Stelle, die den Auftrag erteilt, nicht der DSGVO verpflichtet ist.
• In einigen Fällen sei es bei der Übermittlung von Daten in ein Drittland empfehlenswert, die Übermittlung abzustellen, auf Produkte zu verzichten oder diese zu ersetzen.
• Es gebe Datentransfers in Drittländer, die derzeit nicht datenschutzkonform ausgestaltet werden können, sodass Verantwortliche nach Alternativen suchen sollten, die ohne die Übermittlung der Daten in ein Drittland ausgestaltet sind.
• Die Datenschutzbeauftragte weist auf die (nun-mehr abgelaufene) Umsetzungsfrist zur Umstellung auf die neuen SCC hin.
• Privacy Shield: Die Datenschutzbeauftragte verweist für Datentransfers in die USA darauf, dass hierfür bis zu einem Angemessenheitsbeschluss der EU-Kommission weiterhin SCC abgeschlossen und weitere Maßnahmen getroffen werden müssen.

Historie

August 2021: Tätigkeitsbericht 20202022: Informationsseite zum EU-U.S. DPFOhne Datum: Mitteilung „EU-Standarddatenschutzklauseln: Umsetzungsfristen enden″

Behörde/Gremium

Deutschland – Rheinland-Pfalz

Anforderungen an Datentransfers mittels SSC

• Unternehmen können sich mit den SCC nicht von ihren Prüfpflichten freikaufen. Sie müssen sich mit den nationalen Gesetzen des Drittlandes intensiv auseinandersetzen.
• Insb. sei offen, ob eine Ergänzung der SCC in der konkreten Vertragsbeziehung als zusätzliche Schutzmaßnahme geeignet sein könne, insb. z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die SCC gebunden sind.
• Der LfDI Rheinland-Pfalz hat im Rahmen einer „Informationsoffensive“ zu dem Thema ein Prüfschema veröffentlicht, um die Prüfung durch Verantwortliche zu erleichtern.

Handlungsbedarf für den Datenexporteur

• Die SCC müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können. Dies sei aber eine Frage des Einzelfalles.
• Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland, daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die DSGVO verlangt. Unternehmen müssen Alternativdienste aus dem EEA nutzen, selbst wenn sie teurer sind.
• Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
• Der LfDI Rheinland-Pfalz rät dringend dazu, alle in einem Unternehmen laufenden Vorgänge der Datenverarbeitung mit Bezug zu Drittländern anhand des von der Behörde entworfenen Prüfschemas auf Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, bei dem Datenschutzverstöße so schnell wie möglich abzustellen oder zu verhindern sind.
• Wesentliche Änderungen an SCC sowie BCR oder ein Code of Conduct („CoC“) müssen der Aufsichtsbehörde mit Antrag auf Genehmigung vorgelegt werden. Eine kontinuierliche Prüfung der Voraussetzungen der Übermittlung durch den Verantwortlichen ist nötig.

Historie

16. Juli 2020: Pressemitteilung und Übersicht zu Datenübermittlungen in Drittländer24. Juli 2020: Pressemitteilung und FAQ22. September 2020: Podcast-Interview mit Dr. Kugelmann (LfD Rheinland-Pfalz)6. November 2020: Prüfschema10. November 2020: Kurzvortrag Prof. Dr. Kugelmann10. November: Podcast-Interview mit Sylvia Beck29. Dezember 2020: Pressemitteilung und Informationsseite zum Brexit12. Mai 2021: Informationsoffensive zur Datenübermittlung in Drittländer1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden21. Juni 2021: Pressemitteilung

Behörde/Gremium

Deutschland – Saarland

Anforderungen an Datentransfers mittels SSC

• Bei der Verwendung von SCC sind das Schutzniveau im betreffenden Drittland sowie zusätzliche Schutzmaßnahmen zu prüfen; verweist auf die Recommendation 01/2020 des EDSA.

Handlungsbedarf für den Datenexporteur

• Sofern ein Transfer personenbezogener Daten in Drittländer nicht rechtskonform möglich ist, darf dieser nicht erfolgen.

Historie

1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden22. Juni 2022: Tätigkeitsbericht 2021

Behörde/Gremium

Deutschland – Sachsen

Anforderungen an Datentransfers mittels SSC

Handlungsbedarf für den Datenexporteur

• Sofern ein Transfer personenbezogener Daten in Drittländer nicht rechtskonform möglich ist, ist dieser sofort einzustellen.

Historie

Dezember 2021: Leitfaden „Datenschutz ist Chefsache – Informationen für kleine und mittlere Unternehmen“24. Mai 2022: Tätigkeitsbericht 2021

Behörde/Gremium

Deutschland – Thüringen

Anforderungen an Datentransfers mittels SSC

• Der LfDI Thüringen verweist auf die „Informationsoffensive“ des LfDI Rheinland-Pfalz und die dort veröffentlichten Materialien (s.o.).

Handlungsbedarf für den Datenexporteur

• Unklar sei, wie Datenexporteur und -importeur bei der Prüfung der Schutzmaßnahmen der SCC und ihrer Einhaltung im Fall der USA zu einem EU-datenschutzkonformen Prüfergebnis gelangen sollen.
• Der LfDI Thüringen verweist auf die Pressemitteilung der DSK vom 21. Juni 2021 (s.o.), in der diese klarstellt, dass ergänzende Prüfungen und Maßnahmen zu den SCC notwendig seien.

Historie

17. Juli 2020: Pressemitteilung11. November 2020: Hinweis auf Informationsoffensive des LfDI RLP22. Juni 2021: PressemitteilungOktober 2021: Tätigkeitsbericht 2020

Behörde/Gremium

Dänemark

Anforderungen an Datentransfers mittels SSC

• Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Die Aufsichtsbehörde verweist zudem auf die beiden Recommendations des EDSA.

Handlungsbedarf für den Datenexporteur

• Die dänische Datenschutzbehörde hat im Zusammenhang mit dem Schrems II-Urteil beschlossen, die Übermittlung personenbezogener Daten an Drittländer durch eine Reihe von Unternehmen und Behörden zu überwachen.
• Datenexporteur und -verarbeiter haben sicherzustellen und der Datenschutzbehörde nachzuweisen, dass Datenübermittlungen auf der erforderlichen wirksamen Grundlage beruhen und ggf. zusätzliche Maßnahmen umgesetzt worden sind.
• Die dänische Datenschutzbehörde hat festgestellt, dass die Verarbeitung von Daten u.a. mit Google Workspace wegen der Datenübermittlung in Drittländer nicht den datenschutzrechtlichen Vorgaben entspreche.

Historie

20. Juli 2020: Pressemitteilung11. November 2020: Verweis auf die Recommendations des EDSA13. November 2020: Verweis auf den Entwurf neuer SCCOhne Datum: Brexit und Datentransfer4. Januar 2021: Pressemitteilung zum Austrittsabkommen UK12. Januar 2021: Schwerpunkte für die Aufsichtstätigkeit der dänischen Datenschutzbehörde im Jahr 2021 (Schrems II)28. Juni 2021: Pressemitteilung8. Juni 2022: Leitfaden zum Datenexporteur im Kontext des Schrems II-Urteils14. Juli 2022: Pressemitteilung18. Juli 2022: Pressemitteilung4. November 2022: Pressemitteilung

Behörde/Gremium

Estland

Anforderungen an Datentransfers mittels SSC

• Die Verantwortung zur Prüfung der Frage, ob der Schutz personenbezogener Daten durch SCC (auch in Zukunft) gewährleistet werden könne, liege bei Datenexporteur und -importeur. Die Aufsichtsbehörde verweist zudem auf die Konsultation zu Recommendation 01/2020 des EDSA.
• Zudem werden Ausführungen zu der Einstufung der Länder außerhalb der EU gemacht und die Aufsichtsbehörde geht dabei auf die Schutzmaßnahmen der Art. 46 ff. DSGVO – unter Berücksichtigung des Schrems II-Urteils – ein.

Handlungsbedarf für den Datenexporteur

• Kann der Schutz personenbezogener Daten nicht gewährleistet werden, müsse die Datenübertragung ausgesetzt werden. Soll die Übertragung fortgesetzt werden, müsse auf zusätzliche Schutzmechanismen zurückgegriffen werden.

Historie

17. Juli 2020: Pressemitteilung12. November 2020: Verweis auf Konsultation17. November 2020: Ausführungen zu der Einstufung der Länder außerhalb der EU

Behörde/Gremium

Finnland

Anforderungen an Datentransfers mittels SSC

• Der finnische Datenschutzbeauftragte verweist auf die FAQ des EDSA (s.o.).
• Er hat zudem von Unternehmen Informationen dazu angefordert, ob sie SCC verwenden und welche Maßnahmen sie nach der Schrems- II-Entscheidung ergriffen haben. Darüber hinaus verweist er auf Recommendation 01 und 02/2020 des EDSA.

Handlungsbedarf für den Datenexporteur

• Verantwortliche müssen bei SCC das Datenschutzniveau im Drittstaat bewerten. Der Datenimporteur muss bei dieser Prüfung behilflich sein.

Historie

16. Juli 2020: Pressemitteilung22. Juli 2020: Hinweis auf EDSA-Richtlinien4. September 2020: Bericht über Briefe an Unternehmen17. November 2020: Verweis auf SCC-Konsultation und Recommendation 022. Dezember 2020: Verweis auf SCC-Konsultation und Recommendation 01/20208. Juni 2021: Pressemitteilung29. Juni 2021: Pressemitteilung5. Juli 2021: Pressemitteilung

Behörde/Gremium

Frankreich

Anforderungen an Datentransfers mittels SSC

• Gesundheitsdaten dürfen nicht zu US-Cloud-Anbieter übertragen werden. Dies gelte selbst dann, wenn die Daten in Europa gespeichert würden, aber US-Geheimdienste über den Cloud Act dennoch Zugriff nehmen könnten. Eine Aussage über weniger sensible Daten sei damit nicht verbunden. In dem konkreten Verfahren hat das oberste französische Verwaltungsgericht die Anordnung allerdings wieder aufgehoben.

Handlungsbedarf für den Datenexporteur

• Eine mögliche Lösung sei eine Datentreuhänderschaft europäischer Unternehmen. Eine solche Treuhänderschaft hat das oberste französische Verwaltungsgericht jedoch nicht für notwendig gehalten.
• Der Datenschutzstelle zufolge sei ein DSGVO-konformer Einsatz von Google Analytics auf Webseiten mit europäischen Nutzern vor dem Hintergrund des Schrems II-Urteils aufgrund erfolgender Datenübertragungen in die USA nicht möglich.
• Der Datenschutzstelle zufolge sei für den Einsatz von Google reCAPTCHA eine Einwilligung der Betroffenen notwendig.

Historie

17. Juli 2020: Pressemitteilung13. Oktober 2020: Urteil des obersten Verwaltungsgerichts28. Dezember 2020: Pressemitteilung zum Brexit10. Februar 2022: Pressemitteilung11. April 2022: Schreiben der CNIL zu Google reCAPTCHA

Behörde/Gremium

Griechenland

Anforderungen an Datentransfers mittels SSC

• Verweist auf die FAQ des EDSA (s.o.).
• Veröffentlicht Q&A zu der Executive Order des US-Präsidenten.

Handlungsbedarf für den Datenexporteur

• Keine Hinweise zum weiteren Handlungsbedarf.

Historie

19. Januar 2021: Pressemitteilung9. November 2022: Q&A zu der Executive Order des US-Präsidenten

Behörde/Gremium

Irland

Anforderungen an Datentransfers mittels SSC

• Die Anwendung der SCC auf die Übermittlung personenbezogener Daten in die USA sei fragwürdig, da Datenübermittlungen zwischen der EU und den USA – unabhängig vom rechtlichen Transfermechanismus im Einzelfall – „von Grund auf problematisch“ seien. Zumindest bei Facebook seien SCC keine angemessene Garantie (selbst mit zusätzlichen Schutzmaßnahmen).

Handlungsbedarf für den Datenexporteur

• Insb. die Frage der Zulässigkeit von Datentransfers in die USA aufgrund von SCC bedürfe einer weiteren und sorgfältigen Prüfung.

Historie

16. Juli 2020: Eigene Pressemitteilung9. September 2020: Pressemitteilung von FacebookOhne Datum: Leitlinien für die Übermittlung personenbezogener Daten3. Dezember 2020: Eigene Pressemitteilung25. Februar 2021: Tätigkeitsbericht 2020

Behörde/Gremium

Island

Anforderungen an Datentransfers mittels SSC

• Verweist auf die FAQ des EDSA (s.o.).

Handlungsbedarf für den Datenexporteur

• Keine Hinweise zum weiteren Handlungsbedarf.

Historie

16. Juli 2020: Pressemitteilung (aktualisiert am 24. Juli 2020)18. Dezember 2020: Pressemitteilung30. Dezember 2020: Pressemitteilung8. Juli 2021: Pressemitteilung

Behörde/Gremium

Israel

Anforderungen an Datentransfers mittels SSC

• Das EU-US Privacy Shield stehe auch für Israel-US-Datentransfers nicht mehr zur Verfügung. Dieses hatte die israelische Datenschutzbehörde bisher als angemessenen Schutzmechanismus interpretiert.

Handlungsbedarf für den Datenexporteur

• Unternehmen müssen prüfen, ob sie andere Schutzmechanismen nutzen können.

Historie

29. September 2020: Pressemitteilung (englischsprachige Zusammenfassung)

Behörde/Gremium

Italien

Anforderungen an Datentransfers mittels SSC

• Verweist auf die FAQ des EDSA und verlinkt die Pressemitteilung des EDSA zu den Recommendations (s.o.).
• Die Datenschutzbehörde votiert zudem für eine politische Lösung zwischen der EU und den USA sowie perspektivisch auch anderen Ländern. In der Folgeabschätzung des Ministeriums für Wirtschaft und Finanzen für die Umsetzung eines Cashback-Programms wurde zur Bewertung der Risiken die Empfehlungen 01/2020 des EDSA und das Urteil des EuGH einbezogen.

Handlungsbedarf für den Datenexporteur

• Keine Hinweise zum weiteren Handlungsbedarf.

Historie

29. Juli 2020: Pressemitteilung17. November 2020: Rede von Guido Scorza26. November 2020: Folgenabschätzung des Ministeriums für Wirtschaft und Finanzen für die Umsetzung des Cashback-ProgrammsOhne Datum: Info-Grafik Datenübertragung in die USA

Behörde/Gremium

Liechtenstein

Anforderungen an Datentransfers mittels SSC

• Daten können nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO, wie insb. SCC, in die USA übermittelt werden. Bis ein anderes Abkommen der EU-Kommission mit den USA geschlossen werde, müssen sich Verantwortliche auf solche alternativen Transfermechanismen stützen. Darüber hinaus wird von der Datenschutzstelle in einem Schrems II-Update auf die Recommendation 01 und 02/2020 des EDSA verwiesen.

Handlungsbedarf für den Datenexporteur

• Der Verantwortliche hat die zusätzlich ergriffenen Maßnahmen so zu gestalten, dass sie eine DSGVO-konforme Datenübermittlung sicherstellen. Wird kein gleichwertiges Schutzniveau im Drittland gewährleistet, so sei die Übermittlung von personenbezogenen Daten einzustellen. Viele U.S.-Applikationen seien als kritisch einzustufen.
• Privacy Shield: Trotz des EU-U.S. DPF und des Entwurfs eines US-Angemessenheitsbeschlusses weist die Behörde darauf hin, dass Datentransfers in die USA aufgrund möglicher gerichtlicher Schritte auch nach dessen Annahme weiterhin mit einem rechtlichen Risiko behaftet seien.
• Der Datenschutzstelle zufolge sei ein DSGVO-konformer Einsatz von Google Analytics und Mailchimp vor dem Hintergrund des Schrems II-Urteils aufgrund erfolgender Datenübertragungen in die USA nicht möglich.
• Brexit: Der Datenschutzstelle zufolge bleibt der Datentransfer auf langfristige Sicht auch nach dem Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (siehe: „Vereinigtes Königreich“) aufgrund der Befristung des Beschlusses und aufgrund einer jederzeit möglichen Ungültigkeitserklärung durch den EuGH mit einer „gewissen Unsicherheit“ verbunden.
• Die Datenschutzbehörde weist auf die (nun-mehr abgelaufene) Umsetzungsfrist zur Umstellung auf die neuen SCC hin.

Historie

17. Juli 2020: Pressemitteilung und Leitfaden3. Dezember 2020: Schrems II-Urteil: Update7. Januar 2021: Pressemitteilung11. Juni 2021: Tätigkeitsbericht 20201. Juli 2021: Pressemitteilung21. Dezember 2022: Informationsseite Internationale Datentransfers: Neue SCC & EU-U.S. Data Privacy Framework

Behörde/Gremium

Litauen

Anforderungen an Datentransfers mittels SSC

• Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien.

Handlungsbedarf für den Datenexporteur

• Keine weiteren Hinweise zum Handlungsbedarf.

Historie

20. Juli 2020: Pressemitteilung21. Dezember 2020: Pressemitteilung zu dem SCC-Musterformular19. Januar 2021: Pressemitteilung zum Brexit29. Dezember 2021: Pressemitteilung zu den neuen SCC

Behörde/Gremium

Luxemburg

Anforderungen an Datentransfers mittels SSC

• Schließt sich den FAQ des EDSA an (s.o.) und verweist auf die in den SCC geregelten Pflichten des Datenexporteurs und -importeurs (Klauseln 4 und 5; bei den neuen SCC u.a. neue Pflichten in den Klauseln 14 und 15). Verweis auf die Recommendations 01/2020 und 02/2020 des EDSA.

Handlungsbedarf für den Datenexporteur

• Datenexporteure müssen eine Bestandsaufnahme aller internationalen Datentransfers vornehmen. Sie müssen bei SCC analysieren, ob diese in dem Rechtssystem des Drittlandes wirksam die personenbezogenen Daten schützen. Wenn allein durch SCC kein gleichwertiger Schutz besteht, sind diese durch zusätzliche Schutzmaßnahmen zu ergänzen. Diese können technischer, organisatorischer oder rechtlicher Art sein.

Historie

27. Juli 2020: Pressemitteilung7. Oktober 2020: Präsentation17. November 2020: Verweis auf die Recommendations des EDSA31. Dezember 2020: Update der Guidelines zum Datentransfer in das Vereinigte Königreich20. Januar 2021: Pressemitteilung28. Juni 2021: Pressemitteilung1. Juli 2021: Pressemitteilung zur Angemessenheitsentscheidung für UK12. Juli 2021: Themendossier zu den Folgen des Brexit für internationale Datentransfers

Behörde/Gremium

Malta

Anforderungen an Datentransfers mittels SSC

• Verweist auf die FAQ des EDSA sowie die Recommendations 01/2020 und 02/2020 (s.o.).

Handlungsbedarf für den Datenexporteur

• Es könne von jedem personenbezogene Daten exportierenden Unternehmen verlangt werden, zusätzliche Maßnahmen zur Ergänzung der Übertragungsinstrumente zu ergreifen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten. Daher empfehle man zusätzliche Maßnahmen.

Historie

30. Juli 2020: Pressemitteilung11. November 2020: Pressemitteilung Recommendations 01/202012. November 2020: Pressemitteilung Recommendations 02/202015. Januar 2021: Pressemitteilung28. Juni 2021: PressemitteilungOhne Datum: Informationsseite zu internationalen Datentransfers

Behörde/Gremium

Niederlande

Anforderungen an Datentransfers mittels SSC

• SCC seien nach wie vor eine gültige Grundlage zur Datenübermittlung in Länder außerhalb der EU, sofern ein gleichwertiges Schutzniveau gewährleistet werden könne. Dabei wird u.a. Bezug genommen auf die Erwägungen des EuGH, wonach die Nachrichten- und Sicherheitsdienste nach US-Recht weitreichende Zugriffsbefugnisse hinsichtlich der Daten von EU-Bürgern haben, die „nicht auf streng notwendige Daten beschränkt“ seien.

Handlungsbedarf für den Datenexporteur

• Die praktischen Konsequenzen des Urteils werden – im Rahmen des EDSA – noch untersucht. Im Zweifelsfall sollte die Übermittlung in ein Drittland eingestellt und die Daten innerhalb der EU verarbeitet werden.
• Unternehmen müssen von Fall zu Fall prüfen, welche Maßnahmen erforderlich sind, um personenbezogene Daten bei Drittlandtransfers angemessen zu schützen.

Historie

20. Juli 2020: Pressemitteilung11. November 2020: Pressemitteilung16. April 2021: Pressemitteilung21. Juni 2021: PressemitteilungOhne Datum: Informationen zum Brexit und FAQOhne Datum: Informationsseite zu internationalen Datentransfers

Behörde/Gremium

Norwegen

Anforderungen an Datentransfers mittels SSC

• Internationale Datentransfers müssen im Einzelfall geprüft werden. Datentransfers in die USA seien i.d.R. illegal. Amerikanische Überwachungsgesetze (z.B. FISA Sec. 702 und EO 12333) machen wirksame zusätzliche Schutzmaßnahmen häufig unmöglich. Es gebe bei der Umsetzung der Entscheidung keine Übergangsfrist. Die Aufsichtsbehörde verweist zudem auf die beiden Recommendations des EDSA.
• Mit der formellen Annahme des Privacy Shield durch die EU-Kommission rechnet die Behörde in der ersten Hälfte des Jahres 2023. Die Behörde verweist darauf, dass dies nicht die Basis für sämtliche Daten-transfers in die USA sein könne.
• Der norwegische Datenschutzbeauftragte hat aktualisierte Leitlinien für die Übermittlung personenbezogener Daten in Drittländer und zu zusätzlichen Anforderungen durch das Schrems II-Urteilveröffentlicht.

Handlungsbedarf für den Datenexporteur

• Datenexporteure müssen den Datenimporteur befragen, welche Gesetze und Bedingungen in dessen Drittland gelten.
• Anschließend müssen sie prüfen, ob zusätzliche Schutzmaßnahmen ergriffen werden können. Falls diese nicht ausreichen, müssen sie den Datentransfer stoppen.
• Die norwegische Datenschutzstelle prüft Google Analytics und empfiehlt, sich bereits jetzt nach Alternativen umzusehen.

Historie

16. Juli 2020: Pressemitteilung27. Juli 2020: FAQ11. November 2020: Verweis auf Recommendations des EDSA31. Dezember 2020: News zum Datentransfer in das Vereinigte Königreich21. Juni 2021: Pressemitteilung4. November 2021: Zusätzliche Anforderungen durch das Schrems II-Urteil11. Februar 2022: Pressemitteilung13. Dezember 2022: Pressemitteilung

Behörde/Gremium

Österreich

Anforderungen an Datentransfers mittels SSC

• Datentransfers in die USA seien nur mit zusätzlichen Schutzmaßnahmen möglich. Es gebe keine „Schonfrist“. Ansonsten verweist die österreichische Datenschutzbehörde auf die Stellungnahme und die FAQ des EDSA (s.o.) sowie die Recommendations 01 und 02 des EDSA.
• Die Datenschutzbeauftragte weist auf die (nun-mehr abgelaufene) Umsetzungsfrist zur Umstellung auf die neuen SCC hin.

Handlungsbedarf für den Datenexporteur

• Der Datenexporteur muss zusätzliche Schutzmaßnahmen prüfen. Weitere Handlungsanweisungen wurden veröffentlicht.
• Der österreichischen Datenschutzbehörde zufolge sei ein DSGVO-konformer Einsatz von Google Analytics in seiner bis zur Implementierung der neuen SCC bestehenden Ausgestaltung vor dem Hintergrund des Schrems II-Urteils aufgrund erfolgender Datenübertragungen in die USA nicht möglich.
• Die österreichische Datenschutzbehörde hat die von Google vorgetragenen Sicherheitsmaßnahmen als unzureichend betrachtet (da Google die Daten selbst entschlüsseln könne und die User-IDs auch keine Pseudonymisierung i.S.d. DSGVO darstellten, sondern im Gegenteil der Identifikation der Nutzer dienten).
• Der Beschluss betraf noch die alte Vertragslage mit Google LLC Analytics. Inzwischen ist Google Irland der Anbieter von Google Analytics und nach den neuen SCC bedarf es auch keines direkten Vertrages mehr zwischen dem Verantwortlichen und Google LLC, sondern es kommen die SCC in Modul Zwei zwischen Google Irland und LLC zum Einsatz. Am Ergebnis dürfte dies zumindest aus Sicht der Datenschutzbehörde wohl nichts ändern, weil der Verantwortliche nach Art. 28 Abs. 3 lit. a) DSGVO auch seine Zustimmung für diese Art von Datentransfers geben muss und weiterhin für die Zulässigkeit dieses Transfers verantwortlich bleibt.
• Google hat mittlerweile Safeguards für den internationalen Datentransfer veröffentlicht.

Historie

August 2020: Stellungnahme (aktualisiert November 2020)Dezember 2021/Januar 2022: News NOYB (DSB: Einsatz von Google Analytics verstößt gegen „Schrems II“-Entscheidung des EuGH)Ohne Datum: Informationen zum Brexit unter Berücksichtigung des Handels- und KooperationsabkommensOhne Datum: Bekanntmachung zu Google AnalyticsOhne Datum: Information der Datenschutzbehörde zum vollständigen Auslaufen der Standardvertragsklauseln

Behörde/Gremium

Polen

Anforderungen an Datentransfers mittels SSC

• Die Datenexporteure und -importeure müssen nicht nur die Vereinbarkeit der vertraglichen Bestimmungen mit dem EU-Recht überprüfen, sondern auch Zugriffsmöglichkeiten von Behörden eines Drittlands auf diese Daten. Der Datenschutzbeauftragte verweist zudem auf Recommendations 01 und 02 des EDSA.

Handlungsbedarf für den Datenexporteur

• Sofern das Schutzniveau der personenbezogenen Daten nicht dem der EU entspricht, könne die Übermittlung von Daten in ein Drittland auch auf andere Transfermechanismen gestützt werden, sofern diese ein gleichwertiges Schutzniveau wie in der EU gewährleisten.

Historie

20. Juli 2020: Pressemitteilung13. November 2020: Meldung zu Recommendations des EDSA17. November 2020: Meldung zu Konsultation zu SCC23. November 2020: Meldung zu Konsultation zu Recommendation 01/202024. November 2020: Meldung zu Entwurf der neuen SCC30. Dezember 2020: Pressemitteilung19. Januar 2021: Pressemitteilung2. März. 2021: Pressemitteilung30. Juni 2021: Pressemitteilung

Behörde/Gremium

Rumänien

Anforderungen an Datentransfers mittels SSC

• Es wird auf alternative Transfermechanismen für Datenübermittlungen in die USA hingewiesen. Demnach stehen hierfür neben SCC auch BCR, Verhaltenskodexe und Zertifizierungsmechanismen zur Verfügung. Zudem wird auf Recommendations 01 und 02 des EDSA hingewiesen. In der Besprechung zwischen der Aufsichtsbehörde und der Rumänisch-Amerikanischen Handelskammer wurde auf das Urteil und die Recommendations 01/2020 und 02/2020 des EDSA verwiesen.

Handlungsbedarf für den Datenexporteur

• Es wurde darauf hingewiesen, dass zu befolgende Schritte, potentielle Informationsquellen und Beispiele für die Ergänzung der Maßnahmen bereitgestellt werden sollten.

Historie

20. Juli 2020: Pressemitteilung17. November 2020: Meldung zu Recommendations des EDSA7. Dezember 2020: Besprechung der Aufsichtsbehörde und der Rumänisch-Amerikanischen Handelskammer und Hinweis zur Bereitstellung von Informationen

Behörde/Gremium

Slowenien

Anforderungen an Datentransfers mittels SSC

• Es wird darauf hingewiesen, dass als rechtliche Grundlage anstelle des Privacy-Shield-Beschlusses SCC und BCR dienen können. Es wird auf die Recommendations 01/2020 und 02/2020 des EDSA verwiesen.

Handlungsbedarf für den Datenexporteur

• Bisher keine Hinweise zu weiterem Handlungsbedarf.

Historie

16. Juli 2020: Pressemitteilung16. November 2020: Meldung zu Recommendations des EDSA7. Januar 2021: Meldung Übermittlung personenbezogener Daten an das Vereinigte Königreich kann weiterhin erfolgen27. Juni 2021: Pressemitteilung

Behörde/Gremium

Schweden

Anforderungen an Datentransfers mittels SSC

• Verweist auf die FAQ sowie auf Recommendations 01/2020 und 02/2020 des EDSA (s.o.).
• Die Behörde hat bestimmte BCR genehmigt.
• Privacy Shield: Die Behörde erwartet eine Entscheidung zum Angemessenheitsbeschluss für die USA bis zum Sommer 2023, verweist aber darauf, dass dieser den europäischen Gerichten zur Überprüfung vorgelegt werden könnte, was abzuwarten bleibe.

Handlungsbedarf für den Datenexporteur

• Keine über die FAQ des EDSA hinausgehenden Hinweise zum weiteren Handlungsbedarf.

Historie

17. Juli 2020: Pressemitteilung (aktualisiert am 20. Juli 2020)16. November 2020: Informationsseite zu Schrems II-Urteil26. November 2020: Überprüfung der Aufsichtsbehörde11. Dezember 2020: Verstoß gegen DSGVO – Speicherung von personenbezogenen Daten in amerikanischer Cloud ohne ausreichendes Schutzniveau29. Januar 2021: Genehmigung bestimmter BCR für die Übertragung von Daten in Nicht-EU-Staaten durch bestimmte Unternehmensgruppe20. Dezember 2022: Blog-Beitrag „Von Schrems II zu adäquatem Schutzniveau″

Behörde/Gremium

Schweiz

Anforderungen an Datentransfers mittels SSC

• Auch das Swiss-US Privacy Shield biete kein ausreichendes Datenschutzniveau. Ein Datentransfer in die USA könne daher nicht mehr auf dieses gestützt werden. Dies stehe unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte. Vertragliche Garantien wie SCC und BCR gelten weiter. Die Risiken seien jedoch wie unter der DSGVO im Einzelfall abzuwägen.

Handlungsbedarf für den Datenexporteur

• Verantwortliche sollen von Swiss-US Privacy Shield auf SCC oder BCR umstellen.
• Unternehmen müssen prüfen, ob der Datenimporteur in der Lage ist, die vom Schweizer Recht vorgesehene Mitwirkung zu leisten.
• Zusätzliche Schutzmaßnahmen seien erforderlich, wenn andernfalls das angemessene Datenschutzniveau nicht gewahrt werden könne (z.B. Verschlüsselung).
• Andernfalls sei ein Verzicht auf den Datenexport zu empfehlen.

Historie

16. Juli 2020: Pressemitteilung8. September 2020: Stellungnahme zum Swiss-U.S. Privacy Shield (aktualisiert am 4. Dezember 2020: Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG)18. Juni 2021: Anleitung für die Prüfung von Datenübermittlungen mit AuslandsbezugAugust 2021: Informationsblatt: Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge

Behörde/Gremium

Spanien

Anforderungen an Datentransfers mittels SSC

• Das Urteil stelle einen Wendepunkt für die rechtlichen Grundlagen der Datenübermittlung in die USA dar. SCC seien dabei weiterhin als gültig zu beurteilen.
• Der Datenschutzbeauftragte weist auf die (nunmehr abgelaufene) Umsetzungsfrist zur Umstellung auf die neuen SCC hin.

Handlungsbedarf für den Datenexporteur

• Bisher keine Hinweise zu weiterem Handlungsbedarf.
• Für die Umsetzung des Urteils in den EU-Ländern sei jedenfalls eine einheitliche europäische Herangehensweise erforderlich.

Historie

22. Juli 2020: Pressemitteilung (aktualisiert am 9. Oktober 2020)29. September 2022: Pressemitteilung17. November 2022: Informationsseite Garantien für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

Behörde/Gremium

Tschechische Republik

Anforderungen an Datentransfers mittels SSC

• Die Anforderungen für eine weitere Verwendung von SCC bei Transfers in die USA seien hoch. Die Risiken seien im Einzelfall zu bewerten. Dabei müsse insb. auch der Cloud Act berücksichtigt werden.

Handlungsbedarf für den Datenexporteur

• Es sei Rücksprache mit dem Datenimporteur zu halten, inwieweit dieser von dem EuGH-Urteil betroffen sei.
• Zusätzliche Sicherheitsmaßnahmen seien zu prüfen (z.B. Verschlüsselung ohne Hintertür, Metadaten nur in der EU).

Historie

16. Juli 2020: Pressemitteilung7. August 2020: Hinweise für Verantwortliche2. September 2020: Veröffentlichung FAQ zu Datentransfer in Drittländer7. Januar 2021: Pressemitteilung20. Dezember 2022: Pressemitteilung

Behörde/Gremium

Vereinigtes Königreich

Anforderungen an Datentransfers mittels SSC

• Der EuGH habe bestätigt, dass EU-Datenschutzstandards mit den Daten „mitreisen“ müssen, wenn sie ins Ausland übermittelt werden. Das Urteil habe weitreichendere Auswirkungen als nur die Ungültigkeitserklärung des EU-US-Datenschutzschildes. Es sei ein Urteil, das die Bedeutung von Schutzmaßnahmen für personenbezogene Daten bestätigt, die aus dem Vereinigten Königreich transferiert werden. Zudem wird auf die Recommendations des EDSA Bezug genommen.
• Die Behörde hat Leitlinien für internationale Datentransfers aktualisiert.

Handlungsbedarf für den Datenexporteur

• Weitere Arbeiten der Europäischen Kommission und des EDSA seien im Gange, um eine umfassendere Anleitung für zusätzliche Maßnahmen zu geben, die möglicherweise zu ergreifen sind. In der Zwischenzeit sollten Unternehmen eine Bestandsaufnahme der von ihnen vorgenommenen internationalen Transfers vornehmen und umgehend reagieren, sobald Leitlinien und Ratschläge verfügbar werden. Angesichts der Herausforderungen für Unternehmen werde weiterhin praktische und pragmatische Beratung und Unterstützung angeboten.
• Brexit: Für das Vereinigte Königreich ist von der EU-Kommission ein bis zum 27. Juni 2025 befristeter Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen worden, sodass UK während dieses Zeitraums nicht als unsicherer Drittstaat für Datenübermittlungen gilt. Zuletzt hatte das EU-Parlament in einer Entschließung die EU-Kommission zu einer Überarbeitung des vorliegenden Entwurfs des Angemessenheitsbeschlusses aufgefordert. Das Parlament war über die Art. 5 der VO Nr. 182/2011 und Art. 112 Abs. 2 der Geschäftsordnung des Europäischen Parlaments eingebunden worden. Seit dem 21. März 2022 ersetzen das internationale Datenübermittlungsabkommen und der Zusatz zur internationalen Datenübermittlung zu den EU-SSC (Addendum) die bisherigen SCC für internationale Datentransfers und berücksichtigen die Vorgaben des Schrems II-Urteils.

Historie

27. Juli 2020: Erklärung des ICO (Update zur Erklärung vom 17. Juli 2020)13. November 2020: Erklärung zu Recommendations und SCC-Konsultation21. Dezember 2020: Pressemitteilung28. Dezember 2020: Erklärung des ICO19. Februar 2021: Pressemitteilung der EU-Kommissionund Entwurf bzgl. der DSGVO sowie Entwurf bzgl. der Law Enforcement DirectiveOhne Datum: Datenschutz nach der Übergangsperiode (Brexit)1. Juni 2021: Pressemitteilung des Europäischen Parlaments28. Juni 2021: Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO21. März 2022: Internationales Datentransferabkommen und Leitlinien17. November 2022: Internationale Datentransfers

Behörde/Gremium

Zypern

Anforderungen an Datentransfers mittels SSC

• Erläutert das Urteil und verweist auf die FAQ des EDSA.

Handlungsbedarf für den Datenexporteur

• Datenexporteure müssen das Schutzniveau im Drittland prüfen. Bei einem nicht ausreichenden Schutzniveau sollen sie einen Datentransfer aussetzen. Ggf. seien zusätzliche Schutzmaßnahmen zu erwägen.

Historie

20. Juli 2020: Pressemitteilung