Am 17.12.2016 wurden die geänderten Durchführungsbeschlüsse der Kommission zu den Standardvertragsklauseln und über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern im Amtsblatt der Europäischen Union veröffentlicht.
Ursächlich für die Änderung ist das Schrems-Urteil des EuGH. In diesem stellte der EuGH klar, dass die nationalen Aufsichtsbehörden weiterhin für die Kontrolle der Übermittlung personenbezogener Daten an ein Drittland, das Gegenstand einer Angemessenheitsentscheidung der Kommission ist, zuständig sind, und die Kommission nicht befugt ist, die Befugnisse zu beschneiden. Da die nachfolgenden Beschlüsse der Kommission die Befugnisse der nationalen Aufsichtsbehörden einschränken, mussten diese im Lichte des Schrems-Urteils angepasst werden.
Beschlüsse zu den Standardvertragsklauseln
Bis zur Änderung der Beschlüsse war das Recht der Aufsichtsbehörden, einen Datentransfer in ein Drittland zu untersagen, vom Vorliegen bestimmter Voraussetzungen abhängig. So musste die zuständige Behörde beispielsweise festgestellt haben, dass der Datenimporteur die Standardvertragsklauseln nicht eingehalten hat. Nunmehr besteht nur noch eine Informationspflicht gegenüber der Europäische Kommission, die ihrerseits die anderen Mitgliedstaaten benachrichtigt.
Folgende Beschlüsse sind betroffen:
- 2001/497/EG: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer
- 2010/87/EU: Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern
Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern
Die Beschlüsse erfahren eine Anpassung in dem jeweiligen Artikel 3. Danach ist die Europäische Kommission unverzüglich zu informieren, wenn die zuständigen Behörden in den Mitgliedstaaten die Datenübertragungen in das betroffene Drittland aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen. Die Kommission leitet diese Informationen an die anderen Mitgliedstaaten weiter.
Zudem wird ein weiterer Artikel eingefügt.
Dieser verpflichtet die Kommission, die Entwicklungen in der Rechtsordnung des Mitgliedstaats laufend zu überwachen. Ferner unterrichten sich die Mitgliedstaaten und die Kommission über Fälle, in denen die Maßnahmen nicht ausreichen, ein angemessenes Schutzniveau zu gewährleisten. Darüber hinaus besteht eine gegenseitige Unterrichtungspflicht, wenn Anhaltspunkte vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht. Können diese Aspekte im Drittland nicht sichergestellt werden, benachrichtigt die Kommission die zuständige Behörde im Drittland und schlägt, wenn nötig, Maßnahmen vor, die auf die Aufhebung oder Aussetzung des Angemessenheitsbeschlusses oder eine Beschränkung ihres Geltungsbereichs gerichtet ist.
Folgende Drittländer und Beschlüsse sind betroffen:
- 2000/518/EG: Angemessenheit des Schutzes personenbezogener Daten in der Schweiz
- 2002/2/EG: Angemessenheit des Schutzes personenbezogener Daten in Kanada
- 2003/490/EG: Angemessenheit des Schutzes personenbezogener Daten in Argentinien
- 2003/821/EG: Angemessenheit des Schutzes personenbezogener Daten an die Vogtei Guernsey
- 2004/411/EG: Angemessenheit des Schutzes personenbezogener Daten an die Insel Man
- 2008/393/EG: Angemessenheit des Schutzes personenbezogener Daten an Jersey
- 2010/146/EU: Angemessenheit des Schutzes personenbezogener Daten auf den Färöer
- 2010/625/EU: Angemessenheit des Schutzes personenbezogener Daten an Andorra
- 2011/61/EU: Angemessenheit des Schutzes personenbezogener Daten an den Staat Israel
- 2012/484/EU: Angemessenheit des Schutzes personenbezogener Daten an die Republik Östlich des Uruguay
- 2013/65/EU: Angemessenheit des Schutzes personenbezogener Daten an Neuseeland