Der Transfer personenbezogener Daten über Ländergrenzen hinweg ist Bestandteil der digitalen Welt. Das EU-Datenschutzrecht setzt dem Transfer personenbezogener Daten jedoch Grenzen. Der Europäische Gerichtshof (EuGH) hat das mit der Schrems-Rechtsprechung bereits zweimal – und vor allem mit seiner Entscheidung vom 16.7.2020 – ausdrücklich betont. Der Europäische Datenschutzausschuss (EDSA) hat nun hierauf reagiert – und die EU-Kommission ebenso auf die geänderten Anforderungen durch die Datenschutz-Grundverordnung (DSGVO).
Grundsätzliches:
Das müssen Sie wissen
Art. 44 DSGVO macht deutlich, dass der Transfer personenbezogener Daten über die EU-Außengrenzen anhand von Art. 44 bis 49 DSGVO auf seine Zulässigkeit geprüft werden muss. Diese Artikel unterscheiden sich aufgrund des Umfangs der Zulässigkeit:
Zulässigkeit für ein ganzes Land: Die Möglichkeit, für einen bestimmten Rechtsraum (z.B. einen Staat) die Angemessenheit des Datenschutzniveaus anzuerkennen, sieht Art. 45 DSGVO vor. Ein Angemessenheitsbeschluss hat zur Folge, dass eine Übermittlung personenbezogener Daten in dieses Drittland ohne die weiteren Anforderungen der Art. 46 bis 49 DSGVO zulässig ist.
Zulässigkeit in Bezug auf bestimmte Empfänger: Für ein bestimmtes Unternehmen in einem Drittland wird durch die Mechanismen der Art. 46, 47 DSGVO ein angemessenes Datenschutzniveau in Bezug auf bestimmte Datenverarbeitungen geschaffen.
Zulässigkeit einzelner Übermittlungen: Art. 48 und 49 DSGVO begründen hingegen nur für einzelne bestimmte Übermittlungen personenbezogener Daten die Zulässigkeit.
Neue Weichenstellung durch EuGH-Urteil „Schrems II“
Im Urteil vom 16.7.2020 („Schrems II“, Rs. C-311/18) setzt sich der EuGH auf der Grundlage der Feststellungen der EU-Kommission im Beschluss 2016/1250 mit dem Rechtsrahmen in den USA auseinander und kommt, vereinfacht gesagt, zu dem Ergebnis, dass in den USA aufgrund der Ausgestaltung von Zugriffsbefugnissen der US-Sicherheitsbehörden ein dem EU-Recht ausreichendes Schutzniveau nicht gegeben ist.
Die Dramatik dieser Feststellung besteht darin, dass weder ein neuer Angemessenheitsbeschluss noch die Standardinstrumente der Art. 46 (z.B. Standarddatenschutzklauseln) oder Art. 47 (Binding Corporate Rules) DSGVO über die „Hürde“ hinweghelfen und die Ausnahmeregelungen des Art. 49 DSGVO (z. B. Einwilligung) nicht standardmäßig weiterhelfen.
Der EuGH stellt mit dieser Entscheidung auch klar, dass bei einem Drittlandtransfer – insbesondere beim Einsatz von EU-Standardklauseln (Art. 46 DSGVO) – zu überprüfen ist, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen.
Das Problem liegt darin, dass eine solche umfassende Prüfung der Rechtslage in einem Drittland nicht leicht möglich ist. Machen Sie sich das einfach mit der Frage deutlich, ob Sie diese Bewertung unter Einbeziehung der Zugriffsbefugnisse von staatlichen Stellen ohne Weiteres für Deutschland vornehmen könnten.
Zwei Empfehlungen des EDSA
Vor diesem Hintergrund wurden mit viel Interesse die Empfehlungen des EDSA zum Drittlandtransfer erwartet:
sowie
Sofern mit diesen Empfehlungen sogar die Hoffnung auf eine Lösung des Problems verbunden war, wurde diese – erwartungsgemäß – enttäuscht. Denn auch der EDSA hat nicht die Kompetenz, die Auslegung der DSGVO durch den EuGH „auszuhebeln“.
Die Empfehlungen lösen also nicht die Probleme, sondern zeigen nur ein Vorgehen auf, wie die Zulässigkeit einer Drittlandübermittlung bewertet werden muss:
Entwurf neuer Standarddatenschutzklauseln der EU-Kommission
Die EU-Kommission hat am 12.11.2020 den Entwurf neuer Standarddatenschutzklauseln (Stand: 17.12.2020) veröffentlicht. Diese sollen nicht nur begrifflich, sondern auch inhaltlich die bisherigen Standardvertragsklauseln ablösen. Die Standarddatenschutzklauseln begründen nach Art. 46 Abs. 2 lit. c DSGVO die Rechtsgrundlage für einen Drittlandtransfer. Die neuen Standarddatenschutzklauseln sind anders als die Standardvertragsklauseln modular aufgebaut und bilden nicht mehr nur die Datenübermittlungen „Verantwortlicher zu Verantwortlichem“ und „Verantwortlicher zu Auftragsverarbeiter“, sondern zusätzlich auch die Datenübermittlungen „Auftragsverarbeiter zu Auftragsverarbeiter“ und „Auftragsverarbeiter zu Verantwortlichem“ ab. Vor allem durch die Abbildung der Konstellation „Auftragsverarbeiter zu Auftragsverarbeiter“ wird einer seit vielen Jahren geübten Kritik an den bisherigen Standardvertragsklauseln abgeholfen.
Ein kleiner Überblick zeigt den Fortschritt; aber klar muss sein, dass auch die neue Gestaltung wieder Kritikpunkte enthalten wird:
Dem „Schrems II“-Urteil wird Rechnung getragen. Beispielsweise enthält die Klausel 3 in Section II unter der Überschrift „Obligations of the Parties“ eine Regelung zum Umgang mit Anfragen der staatlichen Stellen des Drittlands. Der Datenimporteur (Empfänger im Drittland) muss den Datenexporteur (Übermittler aus der EU) über solche Anfragen unterrichten und sich mit Rechtsmitteln hiergegen zur Wehr setzen.
Für einen Datentransfer innerhalb eines Konzerns bzw. Unternehmensverbunds sehen die neuen Klauseln auch vor, dass der Beitritt weiterer Vertragspartner möglich ist und die Vereinbarung mehrseitig geschlossen werden kann. Das macht unter Umständen die Standarddatenschutzklauseln zur „kleinen Schwester“ der Binding Corporates Rules.
Das Modul für die Auftragsverarbeitung berücksichtigt auch die Vorgaben des Art. 28 Abs. 3 DSGVO, sodass nicht zwingend gesondert eine Vereinbarung nach Maßgabe des Art. 28 DSGVO geschlossen werden muss. Allerdings sind dadurch die Spielräume für individuelle Vertragsklauseln zur Auftragsverarbeitung begrenzt. Denn von den Standarddatenschutzklauseln darf nicht ohne Weiteres abgewichen werden.
Vermeiden Sie aber ein Missverständnis: Auch die neuen Standarddatenschutzklauseln allein werden die durch das „Schrems II“-Urteil des EuGH eröffnete Fragestellung nach dem Datenschutzniveau in dem datenempfangenden Drittland nicht lösen (können). Denn insoweit gilt für die neuen wie die alten Regelungen, dass sie als vertragliche Regelungen allein die Rechtslage im Empfängerland in Bezug auf Zugriffsbefugnisse der nationalen Sicherheitsbehörden nicht beschränken (können).
Was gilt, bis die neuen Standarddatenschutzklauseln beschlossen sind?
Die bisherigen, vor dem Anwendungsbeginn der DSGVO beschlossenen Standardvertragsklauseln bleiben nach Art. 46 Abs. 5 DSGVO so lang eine Rechtsgrundlage zur Übermittlung personenbezogener Daten in ein Drittland, bis sie durch die EU-Kommission geändert, ersetzt oder aufgehoben werden.
Autor: Dr. Jens Eckhard
erschienen in Privacy Experts.de