Schrems II

Mit seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) die Welt des internationalen Datentransfers wachgerüttelt (C-311/18, sog. Schrems II-Urteil). Er hat das Recht des Einzelnen auf informationelle Selbstbestimmung gestärkt und sich dabei auf die Charta der Grundrechte der Europäischen Union berufen. Das Urteil sorgt für mehr Klarheit in Bezug auf die Grundrechte, wirft jedoch zahlreiche Fragen in Bezug auf die Umsetzung in der Praxis auf.

Der EuGH hat in seinem Schrems II-Urteil den EU-U.S.-Datenschutzschild für ungültig erklärt, der bis dato vier Jahre lang als Grundlage für Datenübermittlungen in die Vereinigten Staaten von Amerika genutzt werden konnte. Eigentlicher Gegenstand des Verfahrens waren die Standardvertragsklauseln der EU-Kommission (2010/87/EU). Deren Gültigkeit wurde zwar bestätigt, so dass sie grundsätzlich weiterhin verwendet werden können. Der EuGH hebt in seinem Urteil jedoch bestimmte Pflichten der Verantwortlichen hervor, die sich aus der Verwendung der Klauseln ergeben.

Insbesondere die zusätzlich zu den Standardvertragsklauseln ggf. zu treffenden ergänzenden Maßnahmen beschäftigen seit dem Urteil sowohl Verantwortliche, Auftragsbearbeiter als auch die Datenschutzaufsichtsbehörden. Am 12. November 2020 hat die EU-Kommission zudem Entwürfe neuer Sets von Standardvertragsklauseln veröffentlicht.

Bereits eine Woche nach dem EuGH-Urteil hatte der Europäische Datenschutzausschuss (EDSA) in einem Dokument die häufig gestellten Fragen zum Urteil zusammengefasst und beantwortet.

Der LfDI hatte noch am Tag des Urteilsspruchs eigene erste Fragen und Antworten zusammengestellt (siehe auf dieser Seite ganz unten). Diese basierten auf einer ersten Bewertung des EuGH-Urteils durch den LfDI. Er reagierte damit auf den großen Beratungsbedarf rheinland-pfälzischer Verantwortlicher, der sich bereits vor Erlass des Urteils angekündigt hatte.

Inzwischen stehen weitere Dokumente zu diesem Themenkomplex zur Verfügung, die rechts in der grauen Box in chronologischer Reihenfolge aufgeführt sind. Der LfDI hat ein graphisch dargestelltes Prüfschema für alle Datenübermittlungen in Drittländer erstellt, mit dessen Hilfe sich Verantwortliche und Auftragsverarbeiter einem datenschutzkonformen Weg der Datenübermittlungen in Drittländer nähern können und führt in einer Podcastfolge den Zuhörer in die Thematik allgemein ein.

Der EDSA hat Empfehlungen zur Umsetzung ergänzender Maßnahmen, die ein angemessenes Schutzniveau auch im Drittland schaffen sollen sowie eine Infographik zur Vorgehensweise veröffentlicht. Die Empfehlungen wurden mit der Möglichkeit zur Kommentierung durch jedermann bis zum 21. Dezember 2020 veröffentlicht. Anpassungen des Papiers im Nachgang sind daher möglich. In einem weiteren Empfehlungspapier will der EDSA die Verantwortlichen und Auftragsarbeiter bei der Schaffung geeigneter Garantien, insbesondere bei Überwachungsmaßnahmen im Drittland, unterstützen.

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln veröffentlicht, ebenfalls mit Kommentierungsmöglichkeit, jedoch nur bis zum 10. Dezember 2020. Das Set von Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c DS-GVO stellt eine Art Baukasten dar, mit welchem man durch die Auswahl der entsprechenden Module Standardverträge für alle denkbaren Konstellationen erstellen kann (controller to controller, controller to processor, processor to processor, processor to controller). Auch bei den Standardvertragsklauseln sind Anpassungen durch die EU-Kommission nach der Konsultationsphase denkbar.

FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020

Der EU-U.S.-Datenschutzschild kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig. Verantwortliche müssen umgehend auf andere Transferinstrumente des Kapitel V DS-GVO umstellen. Stehen keine anderen Transferinstrumente zur Verfügung und kann auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, muss der Verantwortliche die Datenübermittlung aussetzen. Darüber hinaus sind bereits übermittelte Daten zurückzufordern bzw. zu vernichten.

Ja und nein. Eine Anpassung der Standardvertragsklauseln durch die EU-Kommission ist nicht erforderlich. Sie sind als solche gültig. Der EuGH hat jedoch klargestellt, dass die Verantwortlichen, die die Standardvertragsklauseln verwenden, ihren daraus erwachsenden Pflichten nachkommen müssen. Wenn sich herausstellt, dass der Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, hat der datenexportierende Verantwortliche in der EU z.B. gemäß Klausel 5 des Standardvertrags für Datenübermittlungen von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (2010/87/EU) das vertraglich begründete Recht, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Um nicht gegen die Vorschriften der DS-GVO zu verstoßen, muss der Verantwortliche in diesem Fall von diesem Recht Gebrauch machen.

Dies galt auch schon vorher. Mit seinem Urteil verdeutlicht der EuGH, dass sich datenexportierende Stellen dauerhaft mit der Gesetzeslage des Ziellandes auseinandersetzen müssen, um nicht von den Aufsichtsbehörden in der EU für Datenschutzverstöße durch die importierenden Stelle im Drittland belangt zu werden.

Der EuGH benennt die Möglichkeit der Ergänzung der Standardvertragsklauseln durch die Vertragsparteien, um in dieser konkreten Vertragsbeziehung dennoch geeignete Garantien dafür zu schaffen, dass das durch die DS-GVO verbürgte Schutzniveau für natürliche Personen nicht beeinträchtigt wird (Rn. 132). Ziel ist hierbei, ein Schutzniveau zu erreichen, das dem in der Union durch die DS-GVO im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist (Rn. 92, 94, 96, 105). Als Kriterien hierfür sind insbesondere die in Art. 45 Abs. 2 DS-GVO genannten heranzuziehen (Rn. 104).

Offen ist, ob dies im Einzelfall tatsächlich möglich ist, insbesondere z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die Standardvertragsklauseln gebunden sind. Offen ist darüber hinaus auch, wie sich diese Möglichkeit zu Art. 46 Abs. 3 lit. a DS-GVO verhält, also ab wann die o.g. Ergänzungen einer aufsichtsbehördlichen Genehmigungspflicht unterliegen.

Dies wird derzeit geprüft und hängt im Wesentlichen von der Auslegung der US-Sicherheitsgesetze ab. Die Sicherheitsgesetze in den USA, wie Sec. 702 FISA, der den US-Sicherheitsbehörden ohne richterlichen Beschluss erlaubt, in bestimmten Fällen Zugriff auf personenbezogene Daten zu nehmen, gelten vorrangig gegenüber Telekommunikationsunternehmen. Für Datenübermittlungen an solche Unternehmen können die Standardvertragsklauseln in der Regel nicht verwendet werden.

Darüber hinaus hat das Gesetz ggf. Auswirkungen auch auf andere Unternehmen, z.B. dann, wenn diese Unternehmen Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege doch Zugriff auf die Daten erhalten.

Denkbar ist zudem, dass allein aufgrund der Tatsache der elektronischen Datenübermittlung, also der Tatsache dass die Daten auf dem Weg zum Empfänger in den USA durch die Kabel US-amerikanischer Telekommunikationsanbietern fließen, Sec. 702 FISA auf alle auf diesem Weg übermittelten Daten Anwendung findet.

Darüber hinaus ist im Zusammenhang mit der Datenübermittlung in die USA zu bedenken, dass gemäß der US-amerikanischen Executive Order 12.333 auch eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen kann, wenn diese die transatlantischen Kabel durchqueren.

Allgemeiner gesprochen bedeutet dies:

In dem Fall, dass die US-Sicherheitsgesetze, die dem EU-Datenschutzrecht entgegenstehen, auf alle Datenübermittlungen von der EU in die USA anwendbar sind, kann das Schutzniveau in den USA insgesamt als nicht dem in der EU herrschenden Schutzniveau gleichwertig angesehen werden. In diesem Fall stellen die Standardvertragsklauseln, so wie sie formuliert sind, keine geeigneten Garantien für die Datenübermittlung in die USA dar.

In dem Fall, dass die US-Sicherheitsgesetze nur auf bestimmte Datenübermittlungen in die USA Anwendung finden, obliegt es dem Datenexporteuer in der EU, unter Einbeziehung des jeweiligen Datenimporteurs in den USA, zu prüfen, ob bzw. welchen Gesetzen seines Heimatlandes der Datenimporteur bzw. die jeweilige Datenübermittlung zu diesem unterliegt und zu bewerten, ob die Standardvertragsklauseln in diesem Fall geeignete Garantien darstellen.

Zur Frage der Anpassung der Standardvertragsklauseln durch die Vertragsparteien siehe die vorangegangene Frage.

Die Verantwortlichen müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland, an den sie die Daten übermitteln möchten und ggf. dessen weitere Vertragspartner in dieser Geschäftsbeziehung, unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu genügen, sind diese Prüfungen sowie die Ergebnisse zu dokumentieren. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.

Sollten sich Beeinträchtigungen offenbaren, besteht die – zumindest theoretische – Möglichkeit, diese durch Ergänzungen der Standardvertragsklauseln zu beheben (Rn. 132). Ob ein Beheben tatsächlich möglich ist, insbesondere im Falle der Kollision der Gesetze des Drittlandes mit dem europäischen Datenschutzrecht, ist fraglich und wird sich in der praktischen Anwendung zeigen. Hier ist der Einzelfall zu prüfen. Auch, ab wann die Grenze zu Ad hoc-Verträgen (Art. 46 Abs. 3 lit. a DS-GVO) überschritten ist, es sich also um genehmigungspflichtige Vereinbarungen handelt, ist eine noch ungeklärte Frage.

Die Prüfung kann ggf. in den Fällen umgangen werden, in denen andere Transferinstrumente des Kapitel V DS-GVO oder ein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden können. Letzteres kommt z.B. häufig bei Reisebuchungen in Betracht, dürfte aber für typische Outsourcing-Szenarien, also Dienstleistungen, die auch in der EU / dem EWR erbracht werden könnten, aber in einem Drittland leichter, billiger oder besser erbracht werden, kaum in Betracht kommen. Beim Wechsel zu anderen Transferinstrumenten ist zu berücksichtigen, dass das EuGH-Urteil auch auf diese Auswirkungen haben könnte (siehe unten).

Wenn die mit den Standardvertragsklauseln benannten datenschutzrechtlichen Garantien durch den Datenimporteur aufgrund der Gesetzeslage in seinem Heimatland nicht eingehalten werden können, muss der Datenexporteur, also der Verantwortliche in der EU, Datenübermittlungen dorthin aussetzen, weil er ansonsten selbst gegen das Datenschutzrecht verstößt. Bereits in das Drittland übermittelte Daten sind sämtlich vom Datenimporteur zurückzuschicken oder zu zerstören (Rn. 143). Die Vertragsparteien können versuchen, durch Ergänzungen der Standardvertragsklauseln geeignete Garantien zu schaffen (siehe oben).

a)Übermittele ich personenbezogene Daten in ein Land außerhalb der EU bzw. dem EWR?

b)Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DS-GVO Standardvertragsklauseln der EU-Kommission?

c)Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DS-GVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen oder gibt es andere Anhaltspunkte dafür, dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können?

d)Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Können die Standardvertragsklauseln mithilfe weiterer Vereinbarungen zwischen den Vertragsparteien so ergänzt werden, dass das so geschaffene Schutzniveau dem in der Union garantieren Schutzniveau der Sache nach gleichwertig ist?

e)Wenn ja, ist die Prüfung hier zu Ende. Wenn nein: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DS-GVO oder auf einen Ausnahmetatbestand des Art. 49 DS-GVO gestützt werden?

f)Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DS-GVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DS-GVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Setzen Sie den Datentransfer umgehend aus und fordern Sie die bereits übermittelten Daten vom Datenimporteur zurück bzw. fordern Sie diesen auf, die Daten zu vernichten. Nehmen Sie Kontakt mit künftigen Vertragspartnern in Ländern auf, in denen die Daten besser geschützt sind.

Der EuGH hat die generelle Aussage getroffen, dass die geeigneten Garantien so beschaffen sein müssen, dass sie ein Schutzniveau gewährleisten, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist (Rn. 96). Dies legt nahe, dass alle Transferinstrumente des Art. 46 DS-GVO am Maßstab dieser Gleichwertigkeit zu messen sind. Verantwortliche und Auftragsverarbeiter sollten daher auch bei der Verwendung anderer Transferinstrumente als den Standardvertragsklauseln prüfen, ob diese den Anforderungen genügen.

Weitere Informationen

EuGH-Urteil vom 16. Juli 2020 (C-311/18), Facebook Ireland und Schrems, Vorabentscheidungsersuchen des High Court (Irland)
Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems, angenommen am Donnerstag, 23. Juli 2020
Graphische Übersicht des LfDI zu den erforderlichen Prüfschritten für eine datenschutzkonforme Übermittlung personenbezogener Daten in Drittländer (Prüfschema) vom 6. November 200
Podcast Folge 007 des LfDI zu Schrems II vom 10. November 2020
Empfehlungen des EDSA zu den europäischen wesentlichen Garantien bei Überwachungsmaßnahmen, vom 10. November 2020: Empfehlungen 02/2020 zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen
Empfehlungen des EDSA zu ergänzenden Maßnahmen, vom 10. November 2020, veröffentlicht am 11. November 2020: Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten
Infografik des EDSA zur Vorgehensweise vom 12. November 2020
Entwurf neuer Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DS-GVO vom 12. November 2020
Informationsschreiben an nicht-öffentliche Stellen in RLP vom 12.05.2021
Informationsschreiben an öffentliche Stellen in RLP vom 12.05.2021
Pressemitteilung "Koordinierte Prüfung internationaler Datentransfers" vom 1. Juni 2021