Karsten Füllhaase

Dachverband EFDPO nimmt Stellung zu den Empfehlungen des EDSA zu ergänzenden Maßnahmen bei Drittlandtransfers

Für jeden Datenschutzbeauftragten bleibt das Thema internationale Datentransfers eine Herausforderung, denn eine klare Anleitung dazu ist schwer zu finden. Die Situation ist seit der Schrems-II-Entscheidung des EuGH noch komplizierter geworden, mit der das „Privacy Shield“ im Juli 2020 für ungültig erklärt und die Gültigkeit der Standardvertragsklauseln vorbehaltlich der Umsetzung von „ergänzenden Maßnahmen“ (sofern erforderlich) bestätigt wurde, um die Einhaltung der Verpflichtungen nach europäischem Datenschutzrecht, insbesondere in Bezug auf Auskunftsersuchen von Behörden, sicherzustellen.

Zu den vom europäischen Datenschutzausschuss (EDSA) veröffentlichten Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data hat nun der vom BvD initiierte Dachverband European Federation of Data Protection Officers (EFDPO) eine Stellungnahme veröffentlicht.

Wie bereits im EFDPO-Positionspapier zu „Schrems II“ von September 2020 verweist der Dachverband auch in dieser Stellungnahme auf die schwierige Situation, in der sich Datenschutzbeauftragte befinden, da es ihnen nahezu unmöglich ist, den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern eine angemessene Rechtsberatung zukommen zu lassen, die gleichzeitig für die Unternehmen praktisch umsetzbar ist. Angesichts dieser Situation hatte die EFDPO auf eine Klarstellung und genauere Anleitung in den Empfehlungen des EDSA gehofft. Doch die Empfehlungen behandeln die spezifischen Fragen eher allgemein. Sie konzentrieren sich nicht auf konkrete, praktische Probleme, die es zu lösen gilt. Außerdem sind die Adressaten auf diejenigen beschränkt, die in der Regel nicht die Macht haben, den Zustand zu ändern.

Weiterhin hätte sich die EFDPO von den Empfehlungen des EDSA gewünscht, dass nicht nur an die Verantwortlichen in der EU als Exporteure wendet, sondern auch an die Auftragsverarbeiter. Für den DSB ist die Ausarbeitung der Verantwortlichkeiten und die engere Regelung der Pflichten des Auftragsverarbeiters von großer Bedeutung, da dies zu direkten Verpflichtungen für ihn führen könnte. Es sollte daher laut EFDPO klargestellt werden, dass die Auftragsverarbeiter (insbesondere die großen IT-Unternehmen) verpflichtet sind, den für die Verarbeitung Verantwortlichen relevante Informationen zur Verfügung zu stellen, einschließlich der erforderlichen Beschreibung der Rechtsvorschriften und ihrer praktischen Durchsetzung, damit diese die endgültigen Entscheidungen für ihre Unternehmen treffen können. Dies würde den DSB helfen, die ihnen in der DSGVO gestellten Aufgaben ordnungsgemäß zu erfüllen.

Die vollständige Stellungnahme findet sich hier zum Nachlesen (in englischer Sprache).

Die EFDPO wurde am 7. Juni 2019 in Berlin gegründet. Gründungsmitglieder sind neben dem BvD nationale Verbände für Datenschutzbeauftragte aus Österreich, Frankreich, Portugal, Tschechien, der Slowakei, Griechenland und Liechtenstein. Hauptziel der Gründung ist es, die Datenschutzbeauftragten der EU-Mitgliedsstaaten miteinander zu vernetzen, gemeinsame Standards zu entwickeln und die Interessen der in Brüssel zu vertreten. Dabei soll Datenschutz als Wettbewerbs- und Standortvorteil für Europa gestärkt werden. Arbeitssitz des neuen Verbandes ist Brüssel.