DATEV Informationsbüro Brüssel, Mitteilung vom 18.11.2020
Die EU-Kommission veröffentlichte am 12.11.2020 einen Entwurf eines Durchführungsbeschlusses über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer. Diese sollen Datenschutz für die Informationsvermittlung von einem Datenexporteur an einen Datenimporteur garantieren und die Weitergabe personenbezogener Daten in die USA und andere Staaten regulieren. Die Klauseln sollen die Vorgaben aus dem Schrems-II-Urteil des EuGH zum transatlantischen Privacy Shield und die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) berücksichtigen.
Im Einzelnen sieht der Entwurf Bestimmungen zur Zweckbegrenzung der Datenübertragung, Transparenz, Datenminimierung und Genauigkeit, Speicherbeschränkung, Sicherheit der Verarbeitung, Umgang mit besonderen Kategorien personenbezogener Daten, Weiterleitungen, Dokumentation, Einhaltung, Löschung und Rückgabe von Daten für folgende Module vor:
- Modul 1: controller-to-controller
- Modul 2: controller-to-processor
- Modul 3: processor-to-processor
- Modul 4: processor-to-controller
Nach dem Entwurf soll die Verarbeitung personenbezogener Daten nur erfolgen, wenn die Gesetze des Bestimmungslandes den Datenimporteur nicht daran hindern, diese Klauseln einzuhalten. Der Datenimporteur darf die personenbezogenen Daten ausschließlich für zuvor vereinbarte Zwecke verarbeiten und nicht länger als für den Zweck erforderlich aufbewahren. Sowohl der Datenimporteur als auch der Exporteur sollen technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten. Der Datenimporteur soll zusätzliche Schutzmaßnahmen für besondere Daten (politische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen, genetische oder biometrische Daten oder Daten über sexuelle Orientierung oder strafrechtliche Verurteilungen der Person) einrichten.
Der Importeur verpflichtet sich weiterhin, Betroffene unverzüglich zu benachrichtigen, wenn er einen Antrag einer Behörde auf Datenherausgabe erhält. Im Falle einer Datenverletzung hat der Datenimporteur die Pflicht, unverzüglich den Datenexporteur und die Aufsichtsbehörde zu benachrichtigen und den Verstoß inklusive absehbarer Folgen zu beschreiben. Dabei ist jeweils die Aufsichtsbehörde des Mitgliedsstaats des Datenexporteurs zuständig oder unter Umständen die Aufsichtsbehörde des Mitgliedsstaats der betroffenen Person. Zudem müssen die Personen, deren personenbezogene Daten betroffen sind, unmittelbar über die Datenverletzung informieret werden.
Über eine öffentliche Konsultation haben Stakeholder die Möglichkeit, sich zu dem Entwurf zu positionieren. Der Konsultationsprozess ist bis zum 10.12.2020 geöffnet.
Quelle: DATEV eG Informationsbüro Brüssel
