Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Die Auswirkungen des Schrems-II-Urteils sind gravierend. Gravierend deshalb, weil unzählige Unternehmen und Dienstleister betroffen sind. Gleichzeitig bestehen für Datenschutzverstöße enorme Bußgeldandrohungen, wobei eine rechtssichere Lösung für das Problem nur sehr schwer oder kaum gefunden werden kann. Vor allem betroffen sind Unternehmen, die sich bei der Übermittlung von personenbezogenen Daten in die USA bis dato auf das Privacy-Shield gestützt hatten. Doch selbst die, die bereits zuvor auf das Einbinden der Standardvertragsklauseln gesetzt haben, können sich jetzt nicht entspannt zurücklehnen. Die EuGH-Richter betonten zwar, dass die Standardvertragsklauseln der Kommission weiterhin Gültigkeit besäßen, diese aber für rechtskonforme Übertragungen personenbezogener Daten in die USA modifiziert werden müssten, um einen adäquaten Schutz für die Betroffenen zu bieten. Was ist also zu tun?
1. Gibt es eine andere Rechtsgrundlage?
Gem. Art. 44 S. 1 DSGVO dürfen personenbezogene Daten nur dann in ein Drittland transferiert werden, wenn der Verantwortliche und der Auftragsverarbeiter sicherstellen können, dass die übermittelten Daten nach Maßgaben der DSGVO oder auf einem vergleichbaren Schutzniveau, behandelt werden. Dies kann dann auf einem Angemessenheitsbeschluss der Kommission (Art. 45 DSGVO) oder auf Grundlage geeigneter Garantien (Art. 46 DSGVO), die der Auftragsverarbeiter gibt, geschehen.
Für bestimmte Fälle kennt die DSGVO auch Ausnahmetatbestände (Art. 49 Abs. 1 lit a-g DSGVO), die greifen können, wenn weder ein Angemessenheitsbeschluss vorliegt, noch geeignete Garantien vorhanden sind. Zu nennen sind hier beispielsweise die ausdrückliche Einwilligung des Betroffenen in die Datenübermittlung in ein Drittland (lit. a) oder die Notwendigkeit der Übermittlung zur Erfüllung eines Vertrages (z.B. Reisebüro) zwischen Betroffenem und Verantwortlichem (lit. b). Ebenfalls zu den Ausnahmetatbeständen gehört die Übermittlung von personenbezogenen Daten zur Rechtsdurchsetzung oder Verteidigung.
Diese Ausnahmetatbestände werden allerdings sehr restriktiv gehandhabt und in den meisten Fällen nicht greifen. Also, weiter geht’s.
2. Gewissheit erlangen
Der Grund, weswegen das Privacy-Shield für ungültig erklärt wurde ist, dass US-Geheimdienstbehörden zur Terrorismusbekämpfung sehr umfangreiche Zugriffsrechte auf personenbezogene Daten – auch von EU-Bürgern – haben. Und das ohne einen konkreten Anlass oder Verdacht benennen zu müssenund der Betroffene hiergegen keine Klagemöglichkeit oder ähnliches hätte. Dieses Vorgehen verstößt ganz klar gegen Datenschutzgrundrechte von EU-Bürgern. Unternehmen sollten sich also zunächst Gewissheit darüber verschaffen, ob Auftragsverarbeiter in den USA nationalen Gesetzen unterliegen, die einen solchen Zugriff erlauben. Bei Dienstleistern in den USA wird dies quasi immer der Fall sein.
Zu beachten ist vor diesem Hintergrund auch, dass durch den sog. Cloud-Act US-Sicherheitsbehörden auch Zugriff auf Daten haben, die US-Unternehmen auf ausländischen Servern speichern. Ein Server im Ausland kann also nicht immer die Lösung sein.
3. Erweiterte Standardvertragsklauseln
Ohne Änderungen können die Standardvertragsklauseln nicht verwendet werden. Vielmehr müssen ganz genau technische und organisatorische Maßnahmen benannt werden, die der Datenimporteur einhalten muss, um die Sicherheit der empfangenen personenbezogenen Daten zu gewährleisten. Kann die Sicherheit der personenbezogenen Daten nicht gewährleistet werden, so verpflichtet sich der Verantwortliche dazu, die Datenübertragung sofort auszusetzen.
Die naheliegendste technische Lösung ist sicherlich das Verschlüsseln oder Pseudonymisieren von personenbezogenen Daten. Soweit möglich sollte dann aber auch nur der Datenexporteur wissen, wie die Daten zu entschlüsseln sind, bzw. wer sich hinter welchem Pseudonym verbirgt. Alle Schritte der Verschlüsselung/Pseudonymisierung sollten auf jeden Fall dokumentiert werden.
Eine weitere Maßnahme könnte sein, dass sich der Datenimporteur in den USA vertraglich verpflichtet, den Verantwortlichen sofort zu informieren, sollte er Anfragen von US-Sicherheitsbehörden erhalten. Dies kann zwar einen Zugriff der Behörden auf die Daten nicht verhindern, könnte dem Verantwortlichen aber eventuell mehr Flexibilität für eine Reaktion einräumen.
Sollten Datenübertragungen zuvor auf das Privacy Shield gestützt worden sein, müssen Verantwortliche auf jeden Fall auch die Datenschutzerklärung anpassen.
Der EuGH geht davon aus, dass selbst unter Heranziehen der erweiterten Standardvertragsklauseln ein EU-vergleichbares Datenschutzniveau in den USA nicht eingehalten werden kann. Dies ist auch logisch: Die Standardvertragsklauseln sind Verträge bzw. werden in Verträge eingebunden. Verträge haben lediglich zwischen den Parteien Gültigkeit, die sie abschließen (Verantwortlicher und Auftragsverarbeiter). Wenn aber nun im Zielland Gesetze gelten, die es dem Auftragnehmer unmöglich machen, die Festsetzungen in den Standardvertragsklauseln einzuhalten, lässt dies alle Abmachungen zwischen den Parteien zu zahnlosen Tigern verkommen. Eine tatsächliche Rechtssicherheit im transatlantischen Datenaustausch ist somit auch unter Anwendung der Standardvertragsklauseln kaum zu erreichen.
4. Was tun?
Aufgrund der mangelnden Rechtssicherheit und der insgesamt herrschenden Unsicherheit bei dem Umgang mit diesem Thema, haben viele Verantwortliche schlicht Angst und tendieren dazu, nichts zu tun. Das ist wohl von allen die schlechteste Handlungsalternative. Wer wirklich auf Nummer sicher gehen will und keinerlei Restrisiko haben möchte, muss die Zusammenarbeit mit US-Dienstleistern einstellen und sich auf die Suche nach Alternativen in der EU begeben. Das ist auch der Ratschlag der Landesbeauftragten für Datenschutz in Berlin.
Eine andere Möglichkeit wäre, eine Anfrage an die Datenschutzaufsichtsbehörde zu stellen, wie diese denn den individuellen Fall beurteilt. Im Zweifelsfall wird bei dieser Anfrage aber herauskommen, dass eine Datenübertragung aus den oben genannten Punkten nicht rechtmäßig sein wird.
Die letzte Handlungsoption, die sich bietet, ist: Eine Risikobewertung vornehmen und unter Umständen ein kalkuliertes Risiko eingehen.
5. Risikobewertung
In die Risikobewertung können Faktoren einfließen, wie
„Wie hoch ist die Wahrscheinlichkeit, dass die Datenübertragung von der Datenschutzaufsichtsbehörde untersagt wird?“,
„Wie hoch ist die Wahrscheinlichkeit, dass Aufsichtsbehörden weitere Maßnahmen, wie beispielsweise die Verhängung von Bußgeldern, ergreifen?“ oder auch
„Wie wahrscheinlich ist es, dass Betroffene von ihren Rechten Gebrauch machen?“
6. Was sagen die Datenschutzaufsichtsbehörden?
Eine Schonfrist gibt es nicht. Aber auch die einzelnen Beauftragten für Datenschutz der Länder sind sich uneins, wie mit dem Urteil des EuGHs umzugehen ist. Während Berlin direkt auffordert, auf EU-Dienstleister umzustellen, ist man in Baden-Württemberg etwas entspannter. Hier will man die Anwendbarkeit des Art. 49 DSGVO prüfen und Datenübermittlungen in die USA nur dann sanktionieren, wenn der Verantwortliche auch auf „zumutbare Alternativangebote ohne Transferproblematik“ hätte zurückgreifen können. In Hamburg schließt man sich tendenziell der Ansicht der Berliner Landesbeauftragten für Datenschutz an und moniert, dass auch unter Anwendung der erweiterten Standardvertragsklauseln ein adäquates Datenschutzniveau eben nicht hergestellt werden könnte. Diese Meinung teilt man auch in Rheinland-Pfalz, wobei man hier auch noch ein FAQ für Verantwortliche zum Umgang mit dem Schrems-II-Urteil veröffentlicht hat.
Insgesamt herrscht große Verunsicherung. Die Vorstellungen mancher Aufsichtsbehörden, man solle doch einfach auf einen EU-Dienstleister umswitchen, ist weder praxisnah, noch realistisch. Bei Messengerdiensten mag das noch funktionieren, jedoch nicht bei etablierten Cloud-Lösungen in Unternehmen. Ebenso im Sande verlaufen die erweiterten Standardvertragsklauseln. Wie bereits festgestellt können diese nicht über die weitreichenden Zugriffsrechte der US-Geheimdienste hinweghelfen.
Halten wir fest: die Verantwortlichen müssen auf jeden Fall tätig werden und sollten ihre Abwägungen dokumentieren. Schließlich ist auch aufmerksam zu verfolgen, welche Maßnahmen die Aufsichtsbehörden ergreifen werden.
Weiterführende Linkshttps://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/https://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schremshttps://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdfhttps://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf
[…] im Juli 2020 das Privacy Shield gekippt wurde (wir berichteten hier und hier), stellte man Datentransfers in die USA mit einem Schlag vor hohe datenschutzrechtliche Hürden. […]