Datenschutzkonforme Datenexporte in Drittländer


Hintergrund

ǀ Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18 – „Schrems II“) erklärte der EuGH das bis dato geltende Datenschutzabkommen zwischen den USA und der EU (Beschluss 2016/1250 – „EU-US-Privacy Shield“) für ungültig (wir berichteten). Damit entfiel eine von vielen Unternehmen genutzte Rechtsgrundlage, die für eine Übermittlung personenbezogener Daten in Drittländer notwendig war und ist. Der Wegfall des Privacy-Shields warf somit die Frage auf, unter welchen Voraussetzungen eine Datenübermittlung in Drittländer, insbesondere in die USA, überhaupt noch möglich ist.

Infolgedessen sind einige Stellungnahmen von Aufsichtsbehörden sowie vom europäischen Datenschutzausschuss (EDSA) ergangen, die sich mit möglichen Alternativen beschäftigen. Des Weiteren hat die EU-Kommission am 12. November 2020 einen Entwurf für neue Standardvertragsklauseln veröffentlicht. Ob und inwieweit die Rechtsunsicherheit hinsichtlich des Datenexports in Drittländer damit abgeschafft werden kann, soll im Folgenden erörtert werden.


Standardvertragsklauseln als Ausweg?

Die Datenübermittlung auf Grundlage des Beschlusses 2010/87/EU zu den Standarddatenschutzklauseln sei zwar grundsätzlich erlaubt, jedoch verschärfte der EuGH die Anforderungen in Bezug auf die Verwendung der Standarddatenschutzklauseln. So muss der Datenexporteur künftig bewerten, ob für die vom Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Mit anderen Worten: Die zugesagten Garantien aus den Standardvertragsklauseln dürfen nicht von der Rechtslage des Empfängerlandes konterkariert werden.

Kommt der Datenexporteur nach der Bewertung zu dem Schluss, dass bei der Datenübermittlung kein angemessenes europäisches Schutzniveau gewährleistet werden kann, so muss dieser vor dem Export zusätzliche Maßnahmen ergreifen, um den Schutz der Daten zu garantieren. Kann trotz alledem kein ausreichendes Datenschutzniveau hergestellt werden, steht der Datenexporteur in der Pflicht, die Datenübermittlung auszusetzen bzw. zu beenden. Auch Datenschutzbehörden sind verpflichtet, rechtswidrige Datenübermittlungen zu untersagen. Allein der Abschluss von Standardvertragsklauseln reicht daher – zumindest bei der Datenübermittlung in die USA – nicht aus, insbesondere, weil die dortigen Sicherheitsbehörden aufgrund bestimmter Sicherheitsgesetze erleichterten Zugriff auf personenbezogene Daten haben.

Seit Veröffentlichung des „Schrems II“-Urteils war daher nicht klar, welche zusätzlichen Maßnahmen grundsätzlich als geeignet angesehen werden können, um eine rechtssichere Datenübermittlung auf Grundlage von Standarddatenschutzklauseln vorzunehmen, zumal der EuGH hierzu keine Aussage getroffen hat. Folglich wurden seitdem zahlreiche Stellungnahmen und Empfehlungen veröffentlicht. Die bedeutendsten Verlautbarungen stammen u. a. vom Europäischen Datenschutzausschuss (EDSA) und dem Landesdatenschutzbeauftragten Baden-Württembergs.


Maßnahmen zur Sicherstellung eines europäischen Datenschutzniveaus

Der europäische Datenschutzausschuss veröffentlichte am 10. November 2020 als Reaktion auf das „Schrems II“-Urteil ein umfangreiches Dokument mit Handlungsempfehlungen, das sich u. a. auf die zu ergänzenden Maßnahmen bezieht. Die Öffentlichkeit konnte sich bis zum 21. Dezember 2020 zu den dort formulierten Empfehlungen einbringen.

Als geeignete technische Maßnahmen betrachtet der Ausschuss eine Pseudonymisierung sowie eine gegen den Datenimporteur wirksame Verschlüsselung der Daten. Im Umkehrschluss steht der EDSA einer Verarbeitung von Klardaten sowie einer Übermittlung von Daten für eigene Geschäftszwecke des Datenimporteurs kritisch gegenüber. In solchen Fällen sei eine datenschutzkonforme Datenübermittlung nur schwer vorstellbar. Zusätzlich macht der Ausschuss Vorschläge für ergänzende Vertragsklauseln, die sich u. a. auf die Umsetzung der technischen Maßnahmen, die Rechte von Betroffenen und Transparenzvorgaben beziehen. Die finale Umsetzung der Empfehlungen bleibt indes abzuwarten. Insgesamt sind Unternehmen jedoch gut damit beraten, sich an den Empfehlungen des EDSA zu orientieren.

Daneben wurden zahlreiche Handlungsempfehlungen von deutschen Aufsichtsbehörden und Verbänden herausgegeben, die sich aber größtenteils auf die Kernaussagen des EDSA beziehen. Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg veröffentlichte darüber hinaus am 7. September 2020 eine Checkliste, anhand derer sich Unternehmen im Fall internationaler Datentransfers orientieren können. Zu Datenübermittlungen in die USA merkt der Landesdatenschutzbeauftragte jedoch an, dass diese auf Grundlage der Standarddatenschutzklauseln nur unter Einbeziehung ebensolcher vom EuGH gefordertenund geeigneten Garantien (z. B. Verschlüsselung und Anonymisierung) vorgenommen werden können. So sollen, ergänzend zu den Standardvertragsklauseln, vor allem Pflichten zu rechtlichen Maßnahmen des Datenimporteurs gegen staatliche Dateneinsichts- bzw. Datenherausgabeverlangen aufgenommen werden. Ebenso intendiert man, den Rechtsschutz der Betroffenen Personen zu verbessern, indem der Datenimporteur dazu verpflichtet werden soll, personenbezogene Daten nur an Behörden weiterzugeben, wenn ein letztinstanzliches Urteil zur Offenlegung vorliegt. Die Praxistauglichkeit solcher Maßnahmen ist zumindest zweifelhaft. So merkt auch der Landesdatenschutzbeauftragte an, dass die Umsetzung dieser Maßnahmen keine vollumfängliche Garantie für einen rechtskonformen Datenexport bietet. Vielmehr – und jedenfalls – käme durch Umsetzung dieser Maßnahmen der Wille zu einem rechtskonformen Handeln zum Ausdruck.

In einer wesentlichen Sache stimmen alle Stellungnahmen und Empfehlungen überein: Wenn es eine zumutbare Alternative zu dem im „unsicheren“ Drittland ansässigen Diensteanbieter gibt, dann sollte diese auch vorrangig genutzt werden. Im Übrigen käme ein Datenexport auch nach der Ausnamevorschrift des Art. 49 DSGVO in Betracht. Da dieser aber sehr eng auszulegen ist, wird er nur in seltenen Fällen Anwendung finden.


Entwurf neuer Standardvertragsklauseln

Wohl auch im Hinblick auf die zurzeit unsichere Rechtslage bezüglich des Datenexports in Drittländer und insbesondere in die USA veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf zur Neufassung der Standardvertragsklauseln (Az. Ares(2020)6654686 – 12/11/2020).

Der Entwurf befasst sich erstmalig intensiv mit Verpflichtungen der Parteien im Falle sich widersprechender Gesetze und Zugriffsanfragen von Behörden eines Drittstaates. Dabei müssen die Parteien nämlich sicherstellen, dass die Gesetze im Empfängerland nicht mit den zugrunde gelegten Standardvertragsklauseln kollidieren, sodass gewährleistet werden kann, dass Verpflichtungen aus dem Vertrag erfüllt werden. In diesem Zusammenhang wird den Parteien eine Prüfpflicht auferlegt, die sich insbesondere auf die tatsächlichen Umstände der Datenübertragung, die lokalen Gesetze und deren Eignung für einen rechtskonformen Datenexport sowie etwaige ergänzende Schutzmaßnahmen bezieht.

Außerdem betrifft den Datenimporteur eine Reihe von Verpflichtungen, die im Falle eines staatlichen Zugriffs greifen sollen. So ist der Datenimporteur dazu verpflichtet, den Datenexporteur und, wenn möglich, auch den Betroffenen, hinreichend über Zugriffsanfragen von Behörden zu informieren. Dabei muss angegeben werden, welche Daten betroffen sind, welche Behörde die Daten anfragt, auf welcher rechtlichen Grundlage die Anfrage beruht und welche Antwort der Datenimporteur gegeben hat. Die Mitteilungspflicht erstreckt sich dabei auch auf Zugriffe von Behörden, die ohne vorherige Anfrage getätigt wurden. Soweit es dem Datenimporteur nach den gesetzlichen Regelungen des Drittstaates verboten sein sollte, Mitteilungen an den Datenexporteur weiterzugeben, hat sich der Datenimporteur darum zu bemühen, dieses Verbot aufzuheben. Dazu soll er alle möglichen Rechtsmittel ausschöpfen, notfalls auch einstweiligen Rechtsschutz ersuchen, bis eine letztinstanzliche Entscheidung zur Offenlegung vorliegt.


Zusammenfassung und Ausblick

Auch wenn der Entwurf zu den neuen Standardvertragsklauseln scheinbar wichtige Neuerungen enthält, wird er nur dann als verlässliche Rechtsgrundlage herangezogen werden können, wenn die vorgesehenen Maßnahmen auch tatsächlich ein angemessenes Schutzniveau gewährleisten.

Zudem ist zu erwarten, dass bis zur finalen Veröffentlichung der neuen Standardvertragsklauseln noch einige Zeit ins Land gehen wird, da der Entwurf angesichts der mehr als 140 bei der EU-Kommission eingereichten Stellungnahmen noch einigen Veränderungen zu unterziehen ist.

Insofern ist man bis auf weiteres gut damit beraten, die bisher veröffentlichten Stellungnahmen und Empfehlungen als Orientierungshilfe zu nutzen, auch wenn ein vollständig rechtssicherer Datentransfer in die USA damit wohl kaum bewerkstelligt werden kann. Dies gilt insbesondere dann, wenn die vollständige Anonymisierung oder Verschlüsselung von Daten mit einer alleinigen Datenhoheit des Datenexporteurs nicht gewährleistet wird.


Handlungsbedarf

  • Stellen Sie sicher, dass etwaige Datenübermittlungen an Drittländer auf einer legitimen Rechtsgrundlage beruhen.
  • Falls Sie sich bei der Datenübermittlung in die USA auf Standardvertragsklauseln stützen, orientieren Sie sich bei der Ausgestaltung bis auf weiteres an den Stellungsnahmen und Empfehlungen des EDSA sowie der nationalen Aufsichtsbehörden und Verbände.