1. Schrems II – Das Urteil
Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.
Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.
Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.
2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers
Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.
3. Reaktionen der Aufsichtsbehörden
Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.
Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.
Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.
4. Was müssen Unternehmen nun beachten?
Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:
a) Identifizierung von Privacy-Shield basierten Datenflüssen
Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.
b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren
Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.
Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.
Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).
c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist
Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.
d) Einwilligung des Betroffenen
Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.
e) Nicht betroffene Datenflüsse
Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.
Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.