8
Weitere Einzelthemen
8.1 Drittstaatentransfers
Die Globalisierung führt zu einer zunehmenden länderübergreifenden Verarbeitung und Übermittlung in Drittstaaten von personenbezogenen Daten. Im vorangegangenen Jahr standen insbesondere die Diskussionen zu den
Auswirkungen des Brexit auf den Datenverkehr zwischen
den EU-Mitgliedstaaten und dem Vereinigten Königreich
im Fokus. Daneben blieb die Übermittlung von personenbezogenen Daten aus der EU in die USA ein Dauerthema.
8.1.1 Brexit – Folgen für den Datentransfer
Der Austritt des Vereinigten Königreichs aus der EU hat
auch Auswirkungen auf den Datenverkehr zwischen
den EU-Mitgliedstaaten und dem Vereinigten Königreich, das dadurch datenschutzrechtlich zu einem
Drittland wurde.
Ich habe bereits frühzeitig darauf hingewiesen, dass Verantwortliche und Auftragsverarbeiter auch im Bereich
Datenschutz Vorkehrungen für den Brexit treffen sollten. Auch wenn inzwischen feststeht, dass das Vereinigte
Königreich auf der Grundlage eines Austrittsabkommen
aus der EU austreten wird, sollten Verantwortliche und
Auftragsverarbeiter weiterhin aufmerksam bleiben.
Das Vereinigte Königreich wird datenschutzrechtlich
bereits mit dem Austritt zum 31. Januar 2020 zu einem
Drittland. Dennoch wird die DSGVO bis zum 31. Dezember 2020 im Vereinigten Königreich wirksam bleiben.
Es bedarf daher in diesem Übergangszeitraum keiner
besonderen Schutzmaßnahmen, wenn Daten in das
Vereinigte Königreich übermittelt werden. So lange profitieren Unternehmen mit Sitz im Vereinigten Königreich
außerdem vom One-Stop-Shop.
In der politischen Erklärung zu den weiteren Beziehungen zwischen dem Vereinigten Königreich und der EU
nach dem EU-Austritt wird angestrebt, möglichst bis Ende
2020 die notwendigen Angemessenheitsbeschlüsse zu
fassen, auf deren Grundlage weiterhin ein freier Datenfluss erfolgen könnte. Sofern dies nicht gelingt und auch
60
Tätigkeitsbericht zum Datenschutz für 2019
keine Verlängerung der vorgesehenen Übergangszeit
beschlossen wird, würde das Vereinigte Königreich sofort
zu einem Drittland werden, in dem die DSGVO nicht mehr
gilt. Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten an Partner im Vereinigten Königreich
übermitteln wollen, müssten ab diesem Zeitpunkt ihre
Datentransfers mit den besonderen Schutzmaßnahmen
nach Kapitel V der DSGVO absichern.
Ich werde weiterhin über die jeweils aktuelle Situation in
Sachen Brexit unter www.bfdi.bund.de/brexit informieren.
8.1.2 Das Schrems II-Verfahren
Standardvertragsklauseln sind eine Grundlage für
Datenübermittlungen in die USA. Darüber wird der
EuGH im sog. Schrems II-Verfahren in der ersten
Jahreshälfte 2020 entscheiden.
Es war ein Paukenschlag, als der EuGH im Oktober
2015 in der sog. Schrems-Entscheidung (Rechtssache
C-362/14) das Safe Harbor-Abkommen für ungültig
erklärte. Ein neues Abkommen mit den USA wurde
notwendig, das Privacy Shield entstand. Nun entscheidet
der EuGH im sog. Schrems II-Verfahren erneut über die
Datenübermittlung innerhalb des Facebook-Konzerns.
Diese Entscheidung könnte noch sehr viel weitergehende Konsequenzen haben. Denn dieses Mal geht es
darum, ob die geltenden Standardvertragsklauseln für
die Übermittlung von personenbezogenen Daten in die
USA ausreichen. Standardvertragsklauseln sind das in
der Praxis meistverwendete Instrument, um die für eine
Übermittlung in einen Drittstaat notwendigen geeigneten Garantien nachzuweisen. Die Bedeutung des Falles
zeigte auch die achtstündige mündliche Verhandlung
vor der Großen Kammer des EuGH. Zu dieser wurde
erstmals auch der EDSA geladen, der dabei durch die
Ausschussvorsitzende und einen Mitarbeiter meiner
Behörde vertreten worden ist.
Sollte der EuGH entscheiden, dass die umfangreichen
Befugnisse der US-amerikanischen Nachrichtendienste
oder die unbefriedigenden Rechtschutzmöglichkeiten