EDPB Guidelines 05/2021 Punkt 29: „Angepasste“ SCC, wenn Verantwortliche/AVerarbeiter im Drittland bereits der DS-GVO unterliegen

von Barbara Schmitz, veröffentlicht am 27.02.2023
Rechtsgebiete: Internationales|1241 Aufrufe

Der EDPB hat die Guidelines 05/2021 zum Zusammenspiel zwischen Art. 3 und Kapitel V der DS-GVO zum 14.2.2023 überarbeitet. Neben einer ganzen Reihe praktischen Beispielen mit skizierten Abläufen hat der EDPB sich auch mit dem Marktortprinzip beschäftigt.

Unter Punkt 29 führt der EDPB folgendes aus (Fett durch Verfasserin):

Similarly, for a transfer of personal data to a controller or processor in a third country who is already subject to the GDPR for the given processing, it has to be noted that the GDPR already applies in its entirety.

Therefore, for such scenario, when developing relevant transfer instruments under Article 46, namely standard contractual clauses or ad hoc contractual clauses, the Article 3 situation should be taken into account in order not to duplicate the GDPR obligations but rather to address the elements that are related specifically to the risks associated with the importer being located in a third country, e.g. to address possible conflicting national laws and government access in the third country, as well as the difficulty to enforce and obtain redress against an entity outside the EU.

Entsprechende Übermittlungsinstrumente, die die Risiken berücksichtigen, dass der Importeuer „located in a third country“, könnten laut EDPB „ein neues Set von SCC sein.

Mit anderen Worten: auch wenn der Importeur nach Art. 3 DS-GVO bereits den Anforderungen der DS-GVO unterliegt, müssen trotzdem SCC vereinbart werden, mit denen die Gefahr „located in a 3rd country“ entgegnet wird.

Nach meinem Verständnis deckt sich diese Auslegung nicht mit Artikel 1 Abs. 1 des Durchführungsbeschlusses der neuen SCC. Dort heißt es:

  1. Die im Anhang aufgeführten Standardvertragsklauseln gelten als geeignete Garantien im Sinne des Artikels 46 Absatz 1 und des Artikels 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 für die Übermittlung von gemäß dieser Verordnung verarbeiteten personenbezogenen Daten durch einen Verantwortlichen oder einen Auftragsverarbeiter (Datenexporteur) an einen Verantwortlichen oder einen (Unter-)Auftragsverarbeiter, dessen Verarbeitung der Daten nicht dieser Verordnung unterliegt (Datenimporteur).

Im Klartext: die SCC finden nur dann Anwendung, wenn der Datenimporteuer NICHT der DS-GVO unterliegt.

Der EDPB sagt jedoch: (angepasste) SCC bedarf es auch dann, wenn der Datenimporteuer bereits der DS-GVO unterliegt und/aber im Drittland ansässig.

In der Fußnote 29 begründet der EDPB seine Ansicht zu Artikel 1 des Durchführungsbeschlusses wie folgt:

Note that this concerns the scope of application of the SCCs and does not interpret the notion of transfer under Chapter V of the GDPR.

Mit anderen Worten: das Szenario in Artikel 1 Abs. 1 des Durchführungsbeschlusses betrifft nach Ansicht des EDPB den "Anwendungsbereich" der SCC, nicht die „Übermittlung“ nach Kapitel V DS-GVO.

Abgesehen davon, dass in Artikel 1 Abs. 1 Durchführungsbeschluss explizit steht: „für die Übermittlung von gemäß dieser Verordnung verarbeiteten personenbezogenen Daten…“ lässt der EDPB mit seiner in den Leitlinie 05/2021 dargelegten Auslegung Art. 50 DS-GVO und die damit verbundene Rechtsgrundlage der Internationalen Zusammenarbeit für den Schutz personenbezogener Daten unberücksichtigt.

Ausreichend für den internationalen Datentransfer wäre mE ein gekonntes Zusammenspiel von Art. 3 DS-GVO – Art. 1 Durchführungsbeschluss SCC – Art. 50 DS-GVO – oder

was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen