Gepostet in Neuigkeiten.

DSK: Das EU-US Data Privacy Framework ist eine valide Grundlage für den Drittlandtransfer

Verfasst von Dr. Olaf Koglin am .

Ich habe für einen Vortrag bei der Stiftung Datenschutz die deutschen Aufsichtsbehörden angefragt, ob das EU-US Data Privacy Framework eine valide Rechtsgrundlage für den Drittlandtransfer ist, und ob es bislang von den Behörden Verfahren nach § 21 Abs. 1 BDSG gab. Die Antwort ist eindeutig: Das DPF gilt.

Für meinen Vortrag bei der Stiftung Datenschutz zu Microsoft 365 (Aufnahme und Folien hier verfügbar; es gibt auch einen zweiten Teil mit Herrn Michael Will, Frederick Richter und mir) hatte ich den 18 deutschen Datenschutz-Aufsichtsbehörden die folgenden Fragen gestellt; die Aufsicht über den kirchlichen sowie den sektoralen Datenschutzes haben ich wegen des Bezugs zu § 21 BDSG nicht angefragt.

1. Gibt es in Ihrem Haus ein (oder mehrere) Verfahren, bei dem/denen Sie einen Antrag nach § 21 Abs. 1 BDSG gestellt haben? 2. Falls ja: Wann wurde der (erste) Antrag gestellt? 3. Falls nein: Lag dies daran, dass es bei Ihnen kein Verfahren gibt, bei dem es i.S.d. § 21 Abs. 1 BDSG für eine Entscheidung der Aufsichtsbehörde auf die Gültigkeit der entsprechenden Rechtsgrundlage zum sog. Drittlandtransfer ankommt? Falls dies nicht der Grund ist, gibt es andere Ursachen? 4. Ist die Rechtsauffassung Ihres Hauses zum aktuellen Zeitpunkt – also u.a. vor dem Hintergrund der Umstände, die im Schreiben des LIBE-Ausschusses des Europäischen Parlaments an die Europäische Kommission vom 06.02.2025 aufgeführt wurden – dass der Kommissionsbeschluss zum EU-US Data Privacy Framework i.S.d. § 21 Abs. 1 BDSG rechtswidrig ist?
Anschreiben Olaf Koglin an Datenschutz-Aufsichtsbehörden März 2025

Die Antworten der Datenschutzkonferenz (DSK)

Die 18 einzeln angeschriebenen Aufsichtsbehörden waren so nett, mir eine zentrale Antwort der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zukommen zu lassen. Da Berlin in 2025 den DSK-Vorsitz innehält, kam die Antwort nach Abstimmung innerhalb der DSK von der Berliner Beauftragten für Datenschutz und Informationsfreiheit.

Sehr geehrter Herr Dr. Koglin, Sie hatten den Mitgliedern der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) am 1. März 2025 einige Fragen gestellt. In meiner Eigenschaft als Vorsitzende der Datenschutzkonferenz darf ich auf Ihre Fragen auch im Namen und in Abstimmung mit allen anderen Mitgliedern der Datenschutzkonferenz wie folgt antworten:
Antwort Datenschutz-Aufsichtsbehörden an Olaf Koglin

Das hat mich sehr gefreut, weil ich immer schon einmal ein Schreiben "der DSK" haben wollte, um den Absender und die Rechtspersönlichkeit der DSK zu verstehen. Aber darum geht es hier nicht.

Antwort 1: Das EU-US Data Privacy Framework gilt

Hier die klare Antwort der DSK auf meine Frage zum DPF:

Bei dem Angemessenheitsbeschluss handelt es sich um geltendes EU-Recht. Solange der Angemessenheitsbeschluss in Kraft ist, kann er als Übermittlungsgrundlage für Übermittlungen personenbezogener Daten in die USA herangezogen werden. Die Kommission ist gesetzlich zur fortlaufenden Überwachung der Entwicklung der Rechtslage in Drittländern im Hinblick auf eine mögliche Beeinträchtigung der Wirkungsweise eines Angemessenheitsbeschlusses verpflichtet (Art. 45 Abs. 4 DSGVO).
Datenschutzkonferenz: Das Data Privacy Framework gilt

Die DSK hat es sehr schön und klar formuliert: Es gibt politische Bedenken zum Data Privacy Framework, dem Privacy and Civil Liberties Oversight Board (PCLOB) und (u.a.) dem Civil Liberties Protection Officer (CLPO). Aber der Kommissionsbeschluss zum DPA ist in Kraft und damit kann es als Rechtsgrundlage für den Drittlandtransfer verwendet werden. Vieles im Datenschutz ist Auslegungssache oder umstritten - hier gibt es ausnahmsweise keine zwei Meinungen.

Bei dem Angemessenheitsbeschluss handelt es sich um geltendes EU-Recht. Solange der Angemessenheitsbeschluss in Kraft ist, kann er als Übermittlungsgrundlage für Übermittlungen personenbezogener Daten in die USA herangezogen werden.
Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder

Also: Das EU-US Data Privacy Framework kann für den Drittlandtransfer herangezogen werden.

Aber: Jede(r) Verantwortliche sollte sich bewusst sein, dass es sich um eine Rechtsgrundlage handelt, die von der Kommission neu und abweichend beschlossen oder von EuGH kassiert werden kann. Dies nicht vorhergesehen zu haben, ist m.E. fahrlässig. Ein typischer Weg ist, parallel die Standarddatenschutzklauseln (umgangssprachlich "Standardvertragsklauseln") zu vereinbaren.

Antwort 2: Es gab keine Verfahren nach § 21 BDSG

Damit war in gewisser Weise auch meine Frage nach Verfahren nach § 21 BDSG mit beantwortet: Da die Aufsichtsbehörden das DPF zu Recht nicht für rechtswidrig halten, gab es auch keine Verfahren nach § 21 Abs. 1 BDSG.

Bis gegenwärtig gab es noch keinen Fall einer Antragstellung nach § 21 Abs. 1 BDSG aus dem Kreise der Datenschutzaufsichtsbehörden von Bund und Ländern in Bezug auf einen der Angemessenheitsbeschlüsse der Europäischen Kommission nach Art. 45 DSGVO.
Datenschutzkonferenz: Keine Verfahren nach § 21 Abs. 1 BDSG

Ich bedanke mich bei der DSK-Vorsitzenden, allen Aufsichtsbehörden und vor allem mit einem "Entschuldigung für die zusätzliche Arbeit" bei allen Mitarbeitenden, die daran mitgewirkt haben!

Getaggt

Dir könnte auch gefallen

    © LegalCheck