Schrems II
© OpenClipart-Vectors / pixabay.com
Mit seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) die Welt des internationalen Datentransfers wachgerüttelt (C-311/18, sog. Schrems II-Urteil). Er hat das Recht des Einzelnen auf informationelle Selbstbestimmung gestärkt und sich dabei auf die Charta der Grundrechte der Europäischen Union berufen. Das Urteil sorgt für mehr Klarheit in Bezug auf die Grundrechte, wirft jedoch zahlreiche Fragen in Bezug auf die Umsetzung in der Praxis auf.
Der EuGH hat in seinem Schrems II-Urteil den EU-U.S.-Datenschutzschild für ungültig erklärt, der bis dato vier Jahre lang als Grundlage für Datenübermittlungen in die Vereinigten Staaten von Amerika genutzt werden konnte. Eigentlicher Gegenstand des Verfahrens waren die Standardvertragsklauseln der EU-Kommission (2010/87/EU). Deren Gültigkeit wurde zwar bestätigt, so dass sie grundsätzlich weiterhin verwendet werden können. Der EuGH hebt in seinem Urteil jedoch bestimmte Pflichten der Verantwortlichen hervor, die sich aus der Verwendung der Klauseln ergeben.
Insbesondere die zusätzlich zu den Standardvertragsklauseln ggf. zu treffenden ergänzenden Maßnahmen beschäftigen seit dem Urteil sowohl Verantwortliche, Auftragsbearbeiter als auch die Datenschutzaufsichtsbehörden. Am 12. November 2020 hat die EU-Kommission zudem Entwürfe neuer Sets von Standardvertragsklauseln veröffentlicht.
Bereits eine Woche nach dem EuGH-Urteil hatte der Europäische Datenschutzausschuss (EDSA) in einem Dokument die häufig gestellten Fragen zum Urteil zusammengefasst und beantwortet.
Der LfDI hatte noch am Tag des Urteilsspruchs eigene erste Fragen und Antworten zusammengestellt (siehe auf dieser Seite ganz unten). Diese basierten auf einer ersten Bewertung des EuGH-Urteils durch den LfDI. Er reagierte damit auf den großen Beratungsbedarf rheinland-pfälzischer Verantwortlicher, der sich bereits vor Erlass des Urteils angekündigt hatte.
Inzwischen stehen weitere Dokumente zu diesem Themenkomplex zur Verfügung, die rechts in der grauen Box in chronologischer Reihenfolge aufgeführt sind. Der LfDI hat ein graphisch dargestelltes Prüfschema für alle Datenübermittlungen in Drittländer erstellt, mit dessen Hilfe sich Verantwortliche und Auftragsverarbeiter einem datenschutzkonformen Weg der Datenübermittlungen in Drittländer nähern können und führt in einer Podcastfolge den Zuhörer in die Thematik allgemein ein.
Der EDSA hat Empfehlungen zur Umsetzung ergänzender Maßnahmen, die ein angemessenes Schutzniveau auch im Drittland schaffen sollen sowie eine Infographik zur Vorgehensweise veröffentlicht. Die Empfehlungen wurden mit der Möglichkeit zur Kommentierung durch jedermann bis zum 21. Dezember 2020 veröffentlicht. Anpassungen des Papiers im Nachgang sind daher möglich. In einem weiteren Empfehlungspapier will der EDSA die Verantwortlichen und Auftragsarbeiter bei der Schaffung geeigneter Garantien, insbesondere bei Überwachungsmaßnahmen im Drittland, unterstützen.
Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln veröffentlicht, ebenfalls mit Kommentierungsmöglichkeit, jedoch nur bis zum 10. Dezember 2020. Das Set von Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c DS-GVO stellt eine Art Baukasten dar, mit welchem man durch die Auswahl der entsprechenden Module Standardverträge für alle denkbaren Konstellationen erstellen kann (controller to controller, controller to processor, processor to processor, processor to controller). Auch bei den Standardvertragsklauseln sind Anpassungen durch die EU-Kommission nach der Konsultationsphase denkbar.
FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020
Auswirkungen hat die Feststellung der Ungültigkeit des EU-U.S.-Datenschutzschilds auf Datenübermittlungen in die USA, die Verantwortliche in der EU konkret auf der Grundlage des EU-U.S.-Datenschutzschild vornehmen oder vorgenommen haben. Dieser Teil des Urteils betrifft also nicht grundsätzlich alle Datenübermittlungen in die USA
Der EU-U.S.-Datenschutzschild kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig. Verantwortliche müssen umgehend auf andere Transferinstrumente des Kapitel V DS-GVO umstellen. Stehen keine anderen Transferinstrumente zur Verfügung und kann auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, muss der Verantwortliche die Datenübermittlung aussetzen. Darüber hinaus sind bereits übermittelte Daten zurückzufordern bzw. zu vernichten.
Nein, Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO vor.
Dies galt auch schon vorher. Mit seinem Urteil verdeutlicht der EuGH, dass sich datenexportierende Stellen dauerhaft mit der Gesetzeslage des Ziellandes auseinandersetzen müssen, um nicht von den Aufsichtsbehörden in der EU für Datenschutzverstöße durch die importierenden Stelle im Drittland belangt zu werden.
Darüber hinaus hat das Gesetz ggf. Auswirkungen auch auf andere Unternehmen, z.B. dann, wenn diese Unternehmen Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege doch Zugriff auf die Daten erhalten.
Denkbar ist zudem, dass allein aufgrund der Tatsache der elektronischen Datenübermittlung, also der Tatsache dass die Daten auf dem Weg zum Empfänger in den USA durch die Kabel US-amerikanischer Telekommunikationsanbietern fließen, Sec. 702 FISA auf alle auf diesem Weg übermittelten Daten Anwendung findet.
Darüber hinaus ist im Zusammenhang mit der Datenübermittlung in die USA zu bedenken, dass gemäß der US-amerikanischen Executive Order 12.333 auch eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen kann, wenn diese die transatlantischen Kabel durchqueren.
Allgemeiner gesprochen bedeutet dies:
In dem Fall, dass die US-Sicherheitsgesetze, die dem EU-Datenschutzrecht entgegenstehen, auf alle Datenübermittlungen von der EU in die USA anwendbar sind, kann das Schutzniveau in den USA insgesamt als nicht dem in der EU herrschenden Schutzniveau gleichwertig angesehen werden. In diesem Fall stellen die Standardvertragsklauseln, so wie sie formuliert sind, keine geeigneten Garantien für die Datenübermittlung in die USA dar.
In dem Fall, dass die US-Sicherheitsgesetze nur auf bestimmte Datenübermittlungen in die USA Anwendung finden, obliegt es dem Datenexporteuer in der EU, unter Einbeziehung des jeweiligen Datenimporteurs in den USA, zu prüfen, ob bzw. welchen Gesetzen seines Heimatlandes der Datenimporteur bzw. die jeweilige Datenübermittlung zu diesem unterliegt und zu bewerten, ob die Standardvertragsklauseln in diesem Fall geeignete Garantien darstellen.
Zur Frage der Anpassung der Standardvertragsklauseln durch die Vertragsparteien siehe die vorangegangene Frage.
Sollten sich Beeinträchtigungen offenbaren, besteht die – zumindest theoretische – Möglichkeit, diese durch Ergänzungen der Standardvertragsklauseln zu beheben (Rn. 132). Ob ein Beheben tatsächlich möglich ist, insbesondere im Falle der Kollision der Gesetze des Drittlandes mit dem europäischen Datenschutzrecht, ist fraglich und wird sich in der praktischen Anwendung zeigen. Hier ist der Einzelfall zu prüfen. Auch, ab wann die Grenze zu Ad hoc-Verträgen (Art. 46 Abs. 3 lit. a DS-GVO) überschritten ist, es sich also um genehmigungspflichtige Vereinbarungen handelt, ist eine noch ungeklärte Frage.
Die Prüfung kann ggf. in den Fällen umgangen werden, in denen andere Transferinstrumente des Kapitel V DS-GVO oder ein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden können. Letzteres kommt z.B. häufig bei Reisebuchungen in Betracht, dürfte aber für typische Outsourcing-Szenarien, also Dienstleistungen, die auch in der EU / dem EWR erbracht werden könnten, aber in einem Drittland leichter, billiger oder besser erbracht werden, kaum in Betracht kommen. Beim Wechsel zu anderen Transferinstrumenten ist zu berücksichtigen, dass das EuGH-Urteil auch auf diese Auswirkungen haben könnte (siehe unten).
Wenn die mit den Standardvertragsklauseln benannten datenschutzrechtlichen Garantien durch den Datenimporteur aufgrund der Gesetzeslage in seinem Heimatland nicht eingehalten werden können, muss der Datenexporteur, also der Verantwortliche in der EU, Datenübermittlungen dorthin aussetzen, weil er ansonsten selbst gegen das Datenschutzrecht verstößt. Bereits in das Drittland übermittelte Daten sind sämtlich vom Datenimporteur zurückzuschicken oder zu zerstören (Rn. 143). Die Vertragsparteien können versuchen, durch Ergänzungen der Standardvertragsklauseln geeignete Garantien zu schaffen (siehe oben).
Der Verantwortliche muss prüfen, welches andere Transferinstrument des Kapitel V DS-GVO für die Datenübermittlungen in Betracht kommt oder ob ggf. ein Ausnahmetatbestand des Art. 49 DS-GVO greift.
Wenn es keine Grundlage gibt, die den Datentransfer legitimiert, muss dieser – ggf. dauerhaft – ausgesetzt werden, da ansonsten ein Verstoß gegen Art. 44 DS-GVO vorliegt. Ggf. haben Verantwortliche die Möglichkeit, auf Anbieter der gleichen Dienstleistungen in der EU bzw. dem EWR auszuweichen.
b)Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DS-GVO Standardvertragsklauseln der EU-Kommission?
c)Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DS-GVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen oder gibt es andere Anhaltspunkte dafür, dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können?
d)Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Können die Standardvertragsklauseln mithilfe weiterer Vereinbarungen zwischen den Vertragsparteien so ergänzt werden, dass das so geschaffene Schutzniveau dem in der Union garantieren Schutzniveau der Sache nach gleichwertig ist?
e)Wenn ja, ist die Prüfung hier zu Ende. Wenn nein: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DS-GVO oder auf einen Ausnahmetatbestand des Art. 49 DS-GVO gestützt werden?
f)Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DS-GVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DS-GVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Setzen Sie den Datentransfer umgehend aus und fordern Sie die bereits übermittelten Daten vom Datenimporteur zurück bzw. fordern Sie diesen auf, die Daten zu vernichten. Nehmen Sie Kontakt mit künftigen Vertragspartnern in Ländern auf, in denen die Daten besser geschützt sind.
Der EuGH hat die generelle Aussage getroffen, dass die geeigneten Garantien so beschaffen sein müssen, dass sie ein Schutzniveau gewährleisten, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist (Rn. 96). Dies legt nahe, dass alle Transferinstrumente des Art. 46 DS-GVO am Maßstab dieser Gleichwertigkeit zu messen sind. Verantwortliche und Auftragsverarbeiter sollten daher auch bei der Verwendung anderer Transferinstrumente als den Standardvertragsklauseln prüfen, ob diese den Anforderungen genügen.
Ja, für Personen, die ihre eigenen personenbezogenen Daten in ein Drittland übermitteln, ändert sich nichts. Sie sind von diesem Urteil nicht betroffen.