Datentransfer ins EU-Ausland: Richtlinie

Sicherheit News

Das edpb (European Data Protection Board) hat Empfehlungen zum Datentransfer in Drittstaaten nach dem Schrems II Urteil des EuGH herausgegeben. Entscheidend sind die Überwachungsmöglichkeiten der Regierungen für die Zulässigkeit.

Das edpb (die Organisation der europäischen Datenschutzbeauftragten) konkretisiert jetzt die Folgen des Schrems II Urteils, mit dem das US Privacy Shield gekippt wurde. Hier die Empfehlungen als PDF und die wichtigsten Inhalte in Kürze:

Es gibt keine schnellen Lösungen und keine Universallösung für alle Fälle - es muss immer der Einzelfall betrachtet werden. Und es muss dafür die Schutzebene im Drittland sichergestellt werden, die vergleichbar auch in der EU gilt. Dafür hat die edpb sechs Schritte definiert, die bei der Prüfung durchlaufen werden sollten:

  1. Voraussetzung für die Verantwortlichen ist zuallererst, zu wissen, welche persönlichen Daten im Detail in ein Drittland übermittelt werden (sollen).
  2. Das Übertragungswerkzeug muss sicher und geprüft sein. Dazu gehören alle Vorgaben aus Kapitel V der DSGVO. Ist ein Drittland nach Art. 45 DSGVO als sicher bezeichnet, so kann diese Prüfung entfallen.
  3. Es müssen die Gesetze und Praktiken des Drittlands geprüft werden, ob diese den Schutz der persönlichen Daten respektieren oder im Gegenteil negieren. Der Schutzstatus muss der Praxis der DSGVO entsprechen, also unabdingbar sein.
  4. Eine Prüfung auf besondere Vereinbarungen entsprechend Art. 46 DSGVO für staatliche Schutzgarantien, um eine Gleichwertigkeit zur DSGVO herzustellen.
  5. Die formale Prüfung und Inkraftsetzung der in Punkt 4 erwirkten Garantien.
  6. Die regelmäßige Prüfung aller o.a. Maßnahmen, ob sie noch gültig und wirksam sind.

Bei der gegenwärtigen Rechtslage wird es mit einigen Staaten, insbesondere den USA, de facto unmöglich sein, ein dem EU-Recht gleichgestelltes Schutzniveau für persönliche Daten von EU-Bürgern herzustellen. Insbesondere bilaterale Regelungen unterhalb der Legislative unterliegen immer der Aushebelung durch die derzeit geltenden Gesetze in den USA. Wir empfehlen deshalb unseren Mitgliedern dringend, auf Werkzeuge und Software zu verzichten, die persönliche Daten in welcher Form auch immer in die USA transferieren. Dies beginnt bei der Nutzung sozialer Netzwerke und betrifft Analysetools ebenso wie so einfache Hilfen in Form von verlinkten Schriftarten.