Infos und Prüfschema des BfDI zu Schrems II

Bereits mit Schreiben vom 08.10.2020 adressierte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“) an die öffentlichen Stellen des Bundes und Unternehmen unter der Aufsicht des BfDI.

Unter Ziffer 3. seines Informationsschreibens fasste der BfDI die Verpflichtung der Verantwortlichen zur Prüfung der Datentransfers in Drittländer wie folgt zusammen:
„Unternehmen und Behörden müssen als Reaktion auf die Vorgaben aus dem Urteil des EuGH in der Rechtssache C-311/18 „Schrems II“ als Verantwortliche ihre Datentransfers in Drittländer prüfen. Je nach bisher gewählter Grundlage für die Datenübermittlung muss diese – z.B. im Falle des EU-US Datenschutzschildes – durch eine neue Grundlage ersetzt werden. Zudem müssen alle Verantwortlichen bei der Verwendung von geeigneten Garantien nach Art. 46 DSGVO prüfen, ob und ggf. welche zusätzlichen Maßnahmen ergriffen werden müssen, um die übermittelten Daten im Drittland angemessen zu schützen. Das Ergebnis dieser Prüfung und die getroffenen Maßnahmen sind nachvollziehbar zu dokumentieren. „

Mittlerweile hat der BfDI die empfohlene Vorgehensweise verfeinert und in einem Prüfschema veröffentlicht. Das vorgestellte Prüfschema dürfte auch für Unternehmen interessant sein, die nicht unter der Aufsicht des BfDI stehen. Die Schritte der Prüfung des Drittlandtransfers strukturiert der BfDI folgendermaßen:

1. Datentransfers prüfen
2. Vorliegen Angemessenheitsbeschluss
3. Schutzniveau im Drittland: Einzelfallanalyse
4. Prüfung Schutzmechanimus
5. Definierung zusätzlicher Maßnahmen
6. Implementierung zusätzlicher Maßnahmen
7. Ausnahmen nach Art. 49 DS-GVO
8. Dokumentation
9. Meldung an die Aufsichtsbehörde