§ 12 Grenzüberschreitender Verkehr von Beschäftigtendaten / cc) Folgen des Schrems II-Urteils des EuGH

Rz. 61

Besonders seit der Schrems II-Entscheidung des EuGH herrscht in der Praxis große Unsicherheit über die Rechtmäßigkeit von internationalen Datentransfers, insb. in die USA. Große Auswirkungen entfaltet das Schrems II-Urteil des EuGH auch für geeigneten Garantien, da der EuGH in seinem Urteil für einen rechtskonformen Datentransfer auf Basis von geeigneten Garantien verlangt, dass in dem jeweiligen Drittland das gleiche Schutzniveaus besteht. Ebenso haben zweiseitige Verträge keinen Einfluss auf Zugriffsmöglichkeiten von Behörden, da Behördenbefugnisse nicht durch einen privatwirtschaftlichen Vertrag eingeschränkt werden können.

Rz. 62

EDPB (European Data Protection Board) empfiehlt derzeit (Stand September 2021) folgende Maßnahmen:^[57]

1.	Die Datenübermittlungen in Drittländer kennen – Unternehmen sollen sich als erstes einen Überblick darüber verschaffen, welche Daten sie in welche Drittländer übermitteln und ob dies notwendig ist (Stichwort: Datenminimierung).
2.	Identifikation der Übermittlungsgrundlagen – Danach sollte zu jeder Übermittlung die Grundlage aufgeschrieben werden, auf der die Übermittlung derzeit beruht, also welcher Erlaubnistatbestand ­benutzt wird. Je nachdem sollten auch die einschlägigen Abschnitte dieses Kapitels durchgearbeitet werden.
3.	Effektive Garantien? – Wenn Garantien des Art. 46 DSGVO genutzt werden, müssen diese effektiven Schutz bieten. Hier ist die Rechtslage und die tatsächliche Praxis im Drittland maßgeblich. Gibt es gesetzliche Befugnisse zum Auslesen von Daten mit/ohne Informationspflichten? Werden diese tatsächlich angewendet? Gibt es keine gesetzliche Grundlage, aber Daten werden von Behörden dennoch ausgelesen? Es ist eine umfangreiche Beurteilung des Drittlandes auf Grundlage der öffentlich verfügbaren Informationen nötig. Hier wird regelmäßig ein Rechtsgutachten einzuholen sein.
4.	Identifizierung zusätzlicher Schutzmaßnahmen – Sollten Drittstaaten eine zu große Eingriffsmöglichkeit haben/nutzen, müssen zusätzlich rechtliche, organisatorische oder technische Schutzmaßnahmen unternommen werden. Rechtlich ergibt sich hier der regelmäßig der Zirkelschluss, dass Behörden auch an weitere Vereinbarungen zwischen den Parteien nicht gebunden werden können. Daher müssen v.a. technische Maßnahmen wie Verschlüsselungen oder pseudonymisierte Daten angedacht werden. Diese Maßnahmen erschweren oft die Arbeit im Drittland oder machen die Übermittlung (nahezu) unmöglich.
5.	Durchführung ergänzender Maßnahmen – Wenn sinnvolle zusätzliche Maßnahmen nach Nr. 4 gefunden wurden, sollten diese vertraglich, organisatorisch und technisch eingeführt werden.
6.	Regelmäßige Evaluierung – Wie auch in allen anderen Bereichen, können sich Änderungen ergeben durch die, die Schutzmaßnahmen nicht mehr ausreichend sind oder vielleicht auch anderseits unnötig werden. Dies muss regelmäßig überprüft werden.

[57] Beschrieben in: EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0 18.6.2021.