Europäischer Datenschutzausschuss stellt Richtlinien zum Datenexport in Drittländer aufgrund von Zertifizierungen bereit

Geschrieben am 06.09.2022 von:

Alexander Becker


zum Profil

Kontaktiere mich:


E-Mail senden

Der Europäische Datenschutzausschuss (EDSA) hat am 14.06.2022 neue Richtlinien für die Nutzung von Zertifizierung nach Art. 46 Abs. 2 f) DS-GVO verabschiedet.

Zum Hintergrund: Alle Übermittlungen von personenbezogenen Daten in Drittländer, außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums, dürfen nur unter der Nutzung der in den Art. 44 ff. DS-GVO beschriebenen Transfertools stattfinden, um im Drittland einen angemessenen Schutz der Daten zu gewährleisten.

Als solche Transfertools werden in der Praxis hauptsächlich Angemessenheitsbeschlüsse nach Art 45 DS-GVO und Standarddatenschutzklauseln nach Art. 46 Abs. 2 c) DS-GVO verwendet. Die Nutzung der Standarddatenschutzklauseln kann jedoch einen großen Aufwand für den Verantwortlichen bedeuten, da Art. 14 der Klauseln vorschreibt, dass eine Prüfung der Rechtslage und Rechtspraktiken im Zielland durchgeführt werden muss. Im Zielland fällt also die Entscheidung, ob weitere Maßnahmen erforderlich sind, um den Schutz der Daten zu gewährleisten. Dabei sind auch sämtliche Folgetransfers in weitere Drittländer zu berücksichtigen.

Der EDSA beschreibt in seinen Richtlinien zum einen die Kriterien nach denen Anbieter sich bei akkreditierten Zertifizierungsstellen zertifizieren lassen können. Zum anderen beschreibt der EDSA die Schritte, die ein*e Verantwortliche*r durchführen muss, wenn er*sie Daten an einen so zertifizierten Anbieter*in übermitteln möchte:

  1. Prüfung, ob die Zertifizierung sämtliche anfallenden Datenverarbeitungen umfasst.
  2. Prüfung der Rechtslage im Drittland und ob die Zertifizierung zum Schutz der Daten ausreicht oder ob weitere Maßnahmen ergriffen werden müssen.
  3. Vertragliche Verpflichtung des Anbieters, die Regelungen der Zertifizierung einzuhalten, die Betroffenenrechte zu wahren, sowie zur Haftung und Durchsetzbarkeit der Vereinbarung.

Den Umfang der Prüfung nach Punkt 2 beschreibt der EDSA nicht. Allerdings dürfte dieser im Wesentlichen der Prüfung bei Nutzung der Standarddatenschutzklauseln entsprechen. Somit bleibt es wohl dabei, dass Verantwortliche, die Daten in ein Drittland exportieren wollen insbesondere bei großen weltweit agierenden Anbietern, einem großen Prüfungsaufwand unterliegen.


zurück zum Blog