Am 16.Juli 2020 hat der Europäische Gerichtshof (EuGH) den Privacy Shield-Mechanismus, der Legitimation für die Übermittlung einer Vielzahl personenbezogener Daten in die USA war, für ungültig erklärt. Auf einen Beitrag in diesem Blog wird hingewiesen. Der EuGH hat ferner seine Rechtsauffassung zur Anwendung der Standarddatenschutzklauseln – insbesondere für den Datentransfer in die USA – dargelegt. Der folgende Beitrag geht im Frage-/Antwortmodus auf wesentliche Aspekte des Urteils ein und zeigt Handlungsfelder auf.
Die Übermittlung personenbezogener Daten in Länder, für die die DSGVO gilt, ist unproblematisch. (Das gilt nur für den Grenzübertritt, also gewissermaßen für das Internationale im Sachverhalt, nicht für die Datenübermittlung als Datenverarbeitung. Die Datenübermittlung ist bereits Datenverarbeitung im Sinne des Art.4 Nr.2 DSGVO. Sie benötigt zu ihrer Rechtmäßigkeit einen Erlaubnistatbestand der Artt.6 ff DSGVO, Art. 5 Abs. 1 Buchst. a) DSGVO. Der Verantwortliche muss bei grenzüberschreitendem Datenverkehr also zweierlei prüfen: Darf ich 1. die personenbezogenen Daten nach Artt.6ff DSGVO überhaupt verarbeiten – hier: an einen Empfänger übermitteln – und ist 2. die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland, also jedes Land außerhalb der EU und des EWR, rechtmäßig? In dem vom EuGH entschiedenen Fall geht es ausschließlich um das Zweite: Ist die Übermittlung von personenbezogenen Daten im Fall Schrems in die USA, einem Drittland, rechtmäßig.)
Werden personenbezogene Daten an eine Stelle in einem Drittland übermittelt, muss der für die Datenverarbeitung Verantwortliche prüfen, ob eine der Erlaubnistatbestände der Artt. 44 bis 49 DSGVO für den Drittlandstransfer greift. Sonst ist die Übermittlung in das betreffende Drittland unrechtmäßig. Das liegt auf der Hand, denn in Drittländern gilt anderes, in aller Regel schwächeres, Datenschutzrecht als im Geltungsbereich der DSGVO. Die Rechte und Freiheiten der betroffenen Datensubjekte, deren personenbezogene Daten in ein Drittland übermittelt werden sollen, könnten durch die Übermittlung beeinträchtigt werden.
Zur Legitimierung des Grenzübertritts personenbezogener Daten in Drittländer sieht das 5. Kapitel der DSGVO (Artt. 44 ff) mehrere Instrumente vor. Das für den Verantwortlichen in der EU / dem EWR bequemste und beste Rechtsinstrument ist ein Angemessenheitsbeschluss der EU-Kommission im Sinne des Art 45 DSGVO. Hat die Kommission einen solchen Beschluss für ein Drittland nämlich erlassen, ist die Datenübermittlung in das Drittland gestattet und benötigt keine behördliche Genehmigung. Solche Beschlüsse fällt die Kommission, wenn das Drittland – stark verkürzt ausgedrückt – ein Datenschutzniveau bietet, das dem der DSGVO gleichkommt. (Detaillierter sind die Voraussetzungen für den Angemessenheitsbeschluss in Art.45 Abs.2 DSGVO geregelt). Angemessenheitsbeschlüsse liegen u.a. für die Schweiz und Japan vor. Den vollständigen Katalog veröffentlicht die Kommission hier. Angemessenheitsbeschlüsse, die die Kommission vor dem 25. Mai 2018 (seither ist die DSGVO anzuwenden) erlassen hatte, bestehen fort, Art.45 Abs.9 DSGVO. Art.45 DSGVO lässt Angemessenheitsbeschlüsse nicht nur in Bezug auf ganze Staaten, sondern einschränkend auch in Bezug auf Gebiete bzw. Sektoren zu. So war es möglich, dass die Kommission einen Angemessenheitsbeschluss für Kanada mit der Einschränkung traf, dass hierbei Übermittlungen an Unternehmen gestattet sind, die dem kanadischen Personal Information Protection and Electronic Documents Act unterfallen. Mit den USA hat die Kommission ein Abkommen getroffen und auf dessen Grundlage einen Angemessenheitsbeschluss erlassen, beschränkt auf die Datenübermittlung zu Unternehmen in den USA, die sich bei der amerikanischen Handelskommission (FTC) registrierten und zur Einhaltung bestimmter Verarbeitungsgrundsätze verpflichtet haben. Der Komplex ist unter dem Begriff „Privacy Shield“ oder „Datenschutzschild“ bekannt. Den Angemessenheitsbeschluss der EU-Kommission und damit das Verfahren nach dem Privacy Shield hat der EuGH jetzt am 16.07.2020 aufgehoben.
Die DSGVO kennt ferner „Garantien“, die den Datentransfer in Drittländer gestatten Art.46 DSGVO. Praktisch relevante Garantien sind die Standdarddatenschutzklauseln, dazu unten. Für international agierende Konzerne hilfreich sind verbindliche interne Datenschutzvorschriften (BCR – Binding Corporate Rules), Art.47 DSGVO. Solche konzerninternen Datenschutzregelungen sind in jedem Einzelfall genehmigungspflichtig und daher in der Handhabung aufwändiger als die Standardatenschutzklauseln. Ohne professionelle Unterstützung können sie schwerlich etabliert werden. Gemäß Art.49 DSGVO ist es möglich, in Ausnahmefällen personenbezogene Daten an eine Stelle in einem Drittland auch ohne Angemessenheitsbeschluss, Art.45 DSGVO, Garantie im Sinne des Art.46 DSGVO und ohne BCR, Art.47 DSGVO, abzuführen. Die Anwendung von Art.49 DSGVO kommt nur für spezielle Anwendungsfelder in Betracht (Einwilligung des Betroffenen, Datenübermittlung im Interesse des Betroffenen, Rechtsverfolgung, wichtige Gründe des öffentlichen Interesses, lebenswichtige Interessen).
Sollen personenbezogene Daten in ein Drittland (weder EU noch EWR) übermittelt werden und liegt ein Angemessenheitsbeschluss der EU-Kommission nicht vor (dazu oben Grenzüberschreitende Übermittlung personenbezogener Daten) bietet die DSGVO in Art 46 Abs.2 den Abschluss von Standardvertragsklauseln (nach der Terminologie der DSGVO: Standarddatenschutzklauseln) an. Der Datenempfänger im Drittland verpflichtet sich gegenüber dem Verantwortlichen in der EU / dem EWR per Vertrag zum Umgang mit den ihm übermittelten personenbezogenen Daten auf eine Weise, die im Detail in den Standardvertragsklauseln der EU vorformuliert sind. Die Idee: Herrscht im Empfängerstaat kein angemessenes Datenschutzniveau, kann sich aber der Datenempfänger in diesem Drittland gegenüber dem Verantwortlichen in der EU / dem EWR verpflichten, mit den personenbezogenen Daten so zu verfahren, dass er Standards einhält, die dem Datenschutzniveau nach europäischer Vorstellung gleichkommt. Die Parteien selbst schaffen also untereinander ein angemessenes Datenschutzniveau für die zu übermittelnden Daten. Die Regelungen der Musterverträge der EU, die Standarddatenschutzklauseln, dürfen von den Vertragsparteien daher nicht zum Nachteil der betroffenen Datensubjekte abgeschwächt werden. Umgekehrt benötigen die Vertragspartner keine behördliche Genehmigung zum Nachweis dafür, dass geeignete Garantien, wie es in Art 46 Abs.2 DSGVO heißt, für die Übermittlung in ein Drittland vorliegen.
Fundorte
Die EU Kommission stellt ein Set von drei Vertragsmustern zur Verfügung. Zwei für die Übermittlung personenbezogener Daten zwischen Verantwortlichen und ein Muster für die Übermittlung eines Verantwortlichen an einen Auftragsverarbeiter. Die Parteien haben die Wahl, welchem Vertragsmuster sie für die Übermittlung Verantwortlicher an Verantwortlichen den Vorzug geben wollen. Der Standardvertrag II gilt als etwas wirtschaftsfreundlicher. Das Set ist hier zu finden: Standardvertrag an Verantwortlichen I , Standardvertrag an Verantwortlichen II , Standardvertrag an Auftragsverarbeiter .
Zum Inhalt
Die Standarddatenschutzklauseln sind trotz Einführung der DSGVO inhaltlich bisher nicht angepasst worden. Sie enthalten daher noch Bezugnahmen auf die mittlerweile durch die DSGVO abgelöste alte europäische Datenschutzrichtlinie 95/46/EG.
Inhaltlich sind die Standarddatenschutzklauseln ein scharfes Schwert für die betroffenen Datensubjekte und den Datenexporteur; Beispiele:
Ihnen ist die Drittbegünstigung zu eigen – derart, dass die betroffenen Datensubjekte (Personen, deren Daten übermittelt werden), die ja nicht Partei der Standarddatenschutzklauseln sind, ausdrücklich eigene Rechte aus dem Vertrag erhalten (Standardvertrag I: Klausel 3, Standardvertrag II. Ziffer III Buchst. b)). Betroffene können auf diese Weise z.B. geltend machen, dass der Datenimporteur Datenschutzgrundsätze wie etwa die Zweckbindung der Datenverarbeitung, ihre Verhältnismäßigkeit, Transparenz usw. beachtet.
Ihre Rechte und Ansprüche aus den Standarddatenschutzklauseln können die Betroffenen vor den Gerichten im Land des Datenexporteurs aus der EU/des EWR einklagen, Standardvertrag I Klausel 7, Ziffer 1.b); Standardvertrag II Ziffer III Buchst.b) S.1.
Standardvertrag I gewährt dem Datenexporteur ein voraussetzungsloses Recht, die Datenverarbeitungsanlagen des Datenimporteurs zu prüfen, Klausel 5, Buchst.d). Das Kontrollrecht des Standardvertrags II ist demgegenüber weit weniger stark ausgebildet, Ziffer 2, Buchst. g).
Der EuGH wurde vom irischen High Court angerufen, auch um zu prüfen, ob die Standarddatenschutzklauseln Bestand haben. Der EuGH bejahte die Frage. Die Standarddatenschutzklauseln können daher auch in Zukunft für den grenzüberschreitenden Datenverkehr verwendet werden.
Der EuGH stellte allerdings zum Thema Standarddatenschutzklauseln u.a. klar:
1. Grundlage für die grenzüberschreitende Übermittlung personenbezogener Daten ist Art.46 DSGVO. Gemäß Art.46 Abs.1 DSGVO ist die Übermittlung an ein Drittland daran gebunden, dass der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien (für den Schutz betroffener Personen) vorsehen und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
2. Die Standarddatenschutzklauseln selbst müssen nicht sämtliche dieser Garantien vorsehen (Urteil RN 127f).
3. Verantwortlicher und Auftragsverarbeiter selbst müssen die Garantien erfüllen (Urteil RN 131-134).
4. Soweit dem Verantwortlichen bzw. dem Auftragsverarbeiter nicht möglich ist, die Garantien zum Schutz der betroffenen Personen sicherzustellen, müssen sie den Datenabfluss unterbinden. Nötigenfalls ist hierzu die Aufsichtsbehörde verpflichtet (Urteil RN 135).
5. Um festzustellen, ob im Sinne von Art 46 DSGVO geeignete Garantien zum Schutz der Betroffenen im Drittland vorliegen, sind sowohl die vertraglichen Vereinbarungen der beiden Stellen (Sender und Empfänger der Daten) als auch das Rechtssystem im Drittland zu bewerten (Urteil RN 104).
6. Die Situation im Drittland ist an den (hohen) Anforderungen der DSGVO und der EU-Charta („Charta“) zu messen (Urteil RN 101).
Auf die weiteren Ausführungen des EuGH zu seiner Interpretation von Art 46 wird verwiesen (Urteil RN 90-105).
Der US-Staat ist nicht Vertragspartei und daher nicht in den Pflichtenkreis der Standardvertragsklauseln einbezogen. Was auch immer die Parteien des Standardvertrags vereinbart haben, die US-Administration und ihre Sicherheitsbehörden sind hieran nicht gebunden. An der Rechtslage und der Praxis der US-Behörden im Umgang mit personenbezogenen Daten aus Europa ändern die Standardvertragsklauseln nichts. Das ändert umgekehrt aber an der Wirksamkeit der Standarddatenschutzklauseln nichts (Urteil RN 136).
Ein Datenimporteur (Datenempfänger im Drittland) hat sich durch die Standarddatenschutzklauseln „verpflichtet und garantiert“, „dass er seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen …wird.“, Klausel 5 Ziffer a) Standardvertrag I. Eine Garantie, die ein Datenimporteur in den USA schwerlich erfüllen kann: Nach dem Verständnis des EuGH in Sachen Schrems II sind der Verantwortliche und sein Datenempfänger verpflichtet zu überprüfen, ob nationale Gesetze dem Datenimporteur die Erfüllung seiner Vertragspflichten unmöglich machen. Zu den zu prüfenden Gesetzen zählen auch die Rechtsnormen eines Drittlandes über die Nationale Sicherheit, Verteidigung und öffentliche Sicherheit. Soweit sie über ihr Ziel hinausschießen, verstoßen sie nach Auffassung des EuGH gegen eben diese Vorgabe der Standarddatenschutzklauseln (Urteil RN 141). Für Datenübermittlungen in die USA liegt es sehr nahe anzunehmen, dass Datenimporteure ihre Verpflichtung aus Klausel 5 Ziffer a) Standardvertrag I nicht erfüllen können. Bisher stand einer solchen Annahme jedoch entgegen, dass die EU-Kommission zumindest den US-Unternehmen, die sich an das Privacy Shield gebunden hatten, ein angemessenes Datenschutzniveau attestierte. Und wenn die EU Kommission das so attestiert, wird ein Datenimporteur mit Sitz in den USA, der sich den Regeln des Privacy Shield unterworfen hat, leicht behaupten können, dass seines Wissens keine US-Gesetze vorliegen, die ihm die Erfüllung seiner Vertragspflichten unmöglich machen. Das geht jetzt nicht mehr. Der EuGH hat das Privacy Shield gekippt. Der Datenimporteur ist jetzt wieder selbst in der Pflicht. Er muss garantieren, dass er seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen. Die erforderliche Prüfung hat der EuGH dem Datenimporteur bereits abgenommen. Der EuGH hat in seinem Urteil vom 16.07.2020 zur US-Gesetzeslage festgestellt, dass die USA – aus seiner Sicht – bei der Sicherheit über das Ziel hinausschießen. Er legte (in RN 180 ff des Urteils) im Detail dar, inwieweit die Überwachungsgesetze in den USA sich nicht auf das Notwendige beschränken. Die Feststellungen, die der EuGH (bei der Prüfung des Privacy Shield) traf, sind vom Datenimporteur (und auch vom Datenexporteur und den Aufsichtsbehörden) zu berücksichtigen, wenn er gehalten ist zu prüfen, ob er seine Verpflichtungen, die er mit den Standarddatenschutzklauseln eingegangen ist, erfüllen kann. Legt er die Interpretation des EuGH zugrunde kann der Datenimporteur Klausel 5 Ziffer a) Standardvertrag I nicht erfüllen. Dasselbe wird für den Datenimporteur gelten, der den Standardvertrag II gezeichnet hat. Zwar kennt dieser eine aktive Prüfungspflicht des Datenimporteurs in Bezug auf die Rechtslage nicht. Ziffer II. Buchst. c) formuliert allerdings eine Informationspflicht des Datenimporteurs zugunsten des Datenexporteurs, wenn er positive Kenntnis von Rechtsvorschriften erhält, die die Garantien aus den Standardvertragsklauseln II in gravierender Weise stören. Der Standardvertrag für die Übermittlung an Auftragsverarbeiter lässt den Datenimporteur gemäß Klausel 5 Buchst. b) garantieren, dass er seines Wissens nach keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, ist er verpflichtet, dem Datenexporteur mitzuteilen.
Wo es dem Verantwortlichen nicht gelingt, ausreichende Garantien für den Datenschutz zu schaffen, sind er und – für den Fall, dass er dies nicht tut – die Aufsichtsbehörde verpflichtet, den Datentransfer zu unterbrechen oder zu beenden (Urteil RN 135). Der EuGH unterlässt in diesem Zusammenhang auch den Hinweis auf eine mögliche Schadensersatzpflicht wegen Verletzung der Standarddatenschutzklauseln nicht (Urteil RN 143).
Der EuGH hat mit seinem Urteil vom 16.07.2020 der Übermittlung personenbezogener Daten in die USA auf der Grundlage vereinbarter Standarddatenschutzklauseln das Ende bereitet.
Die Unterschiede zwischen dem europäischen und dem US-Datenschutzrecht haben verhindert, dass die Kommission die Angemessenheit des Datenschutzniveaus (dazu oben unter Grenzüberschreitende Übermittlung personenbezogener Daten) in den USA insgesamt feststellen konnte. Wie für seinen Vorgänger – dem Safe Harbor-Mechanismus – stellte die EU Kommission die Angemessenheit des Datenschutzniveaus von US-amerikanischen Unternehmen fest, die sich einem zwischen der EU und den USA vereinbarten Katalog von Vorschriften unterwarfen. Kernelement des als Privacy Shield bekannten Mechanismus war die freiwillige Selbstverpflichtung. US-Unternehmen konnten sich beim US-Handelsministerium registrieren lassen und sich verpflichten, Daten gemäß den Grundsätzen der Anlage II des Privacy Shield zu verarbeiten.
EuGH und Privacy Shield
Diesem Mechanismus hat der EuGH mit seinem Urteil vom 16.07.2020 ein Ende bereitet. Er sieht die Interessen, Freiheiten und Rechte der betroffenen Datensubjekte (Träger der personenbezogenen Daten) durch die ausufernde Sicherheitsgesetzgebung in den USA beeinträchtigt. Zwar gelte der Datenschutz im Sinne der Artt. 7 und 8 der EU-Charta („Charta“ ) nicht grenzenlos. Einschränkungen des Datenschutzes sind gemäß Art 52 Abs.1 Charta aber nur durch Gesetz möglich, müssen den Kern der Artt. 7 und 8 beibehalten und dürfen ohne Einwilligung des Betroffenen nur soweit für den jeweiligen legitimen (Sicherungs-)Zweck erforderlich die Interessen, Freiheiten und Rechte der Betroffenen einschränken (Urteil RN 173 ff). Diese Anforderungen seien in den USA nicht erfüllt. Zweitens müsse den Betroffenen gemäß Art. 47 Charta ein juristischer Rechtsbehelf zur Verfolgung (behaupteter) Rechtsverletzungen zur Verfügung stehen (Urteil RN 186 ff). Auch daran mangele es:
Der EuGH musste keine eigenen Untersuchungen anstrengen. Er konnte sich der Untersuchungsergebnisse der EU Kommission im Zusammenhang mit dem Privacy Shield bedienen und sie aus seiner Sicht bewerten. Der EuGH stellte unter anderem heraus, dass das Programm FISA (Foreign Intelligence Surveillance Act) in der Befugnis, die es zur Durchführung von Überwachungsprogrammen für Zwecke des Auslandsgeheimdienstes erhielt, nicht beschränkt sei. Ebenso wenig räume es Garantien für Nicht-US-Personen ein, die potentiell von diesen Programmen betroffen sind (Urteil RN 180). Überwachungsprogramme, die auf E.O. (Executive Order) 12333 basieren, erlauben ohne juristische Prüfung die massenhafte Sammlung personenbezogener Daten (Urteil RN 183). US-amerikanische Überwachungsprogramme seien nicht auf das nach europäischer Auffassung Notwendige beschränkt.
Es fehle ebenso an dem erforderlichen Rechtsbehelf im Sinne des Art. 47 Charta. Der Weg zu den Gerichten sei betroffenen Datensubjekte nicht ermöglicht und die in den USA unter dem Privacy Shield implementierte Rechtsfigur der Ombudsperson sei insoweit unzureichend. Sie sei nicht unabhängig, weil sie vom Secretary of State ernannt werde und an diesen berichte. Sie sei somit integraler Bestandteil des US State Department. Ihr fehle auch die Macht, Entscheidungen anzupassen, die für die Sicherheitsdienste der USA bindend sind (Urteil RN 191-197).
Ganz unmittelbar von der Entscheidung des EuGH betroffen sind Stellen, die aus der EU / dem EWR heraus personenbezogene Daten in die USA übermitteln und bisher den Privacy Shield-Mechanismus zur Legitimierung anführen konnten.
Betroffen sind ferner diejenigen Stellen, die personenbezogene Daten auf der Grundlage einer der Standarddatenschutzverträge der EU-Kommission übermitteln. Sie müssen prüfen, ob die Datenübermittlung (insbesondere aber nicht nur) in die USA unter Berücksichtigung der Feststellungen des EuGH rechtmäßig ist. Sie müssen ferner prüfen, ob sie verpflichtet sind, Betroffene bzw. ihre Aufsichtsbehörde zu informieren, Daten in den USA zu vernichten, wenn diese unrechtmäßig dorthin übermittelt wurden, und schließlich, weiteren Datentransfer zu unterbinden.
Diese Stellen werden Alternativen prüfen müssen. Zunächst, ob die Ausnahmeregelungen in Art.49 DSGVO zur Datenübermittlung in Drittländer für sie nutzbar sind. In Frage kommen ferner Anonymisierungsverfahren. Letztlich werden sich Verantwortliche in der EU und dem EWR nach Datenverarbeitern im Geltungsbereich der DSGVO statt wie bisher in den USA und anderen Drittländern umsehen. Verantwortlichen ist ebenfalls anzuraten, Datenschutzfolgeabschätzungen im Sinne des Art. 35 DSGVO vorzunehmen bzw. vorhandene Dokumentationen ggf. zu überarbeiten, soweit wegen der EuGH-Rechtsprechung zum Datentransfer in die USA (und andere Drittländer!) eine Neujustierung angezeigt ist.
Das Urteil des EuGH hat außerdem Auswirkungen auf sämtliche Verantwortliche, die sich für ihre Angebote der Dienste datenverarbeitender Stellen in den USA als Subunternehmer (z.B. Cloud Services) versichern. Bereits vor Beginn einer jeden Verarbeitung und sodann während des gesamten Lebenszyklus muss der Verantwortliche gemäß Artt.24 Abs.1 und 25 Abs.1 DSGVO geeignete technische und organisatorische Maßnahmen implementieren, die dafür ausgelegt sind, die Datenschutzgrundsätze des Art.5 DSGVO (dazu zählt auch die Integrität und Vertraulichkeit von Daten) umzusetzen und die notwendigen Garantien in der Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen. Der Begriff der technischen und organisatorischen Maßnahmen ist dabei nicht nur technisch zu verstehen. Vielmehr sind auch prozessbezogene und juristische Maßnahmen gemeint. Entscheidet sich der Verantwortliche, Dienste eines Dritten in Anspruch zu nehmen, ist er verpflichtet, seine Auswahl so zu treffen, dass die Anforderungen der DSGVO erfüllt werden können. Für Auftragsverarbeitungen formuliert Art.28 Abs.1 DSGVO, dass sich der Verantwortliche nur solcher Auftragsverarbeiter bedienen darf, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO steht. Nach Erlass des EuGH-Urteils ist Verpflichtung US-amerikanischer Dienstleister so wie bisher nicht mehr möglich.
Die Überlegungen aus dem vorigen Absatz muss jede ausschreibende Stelle beim Verfassen des Lastenhefts und bei seiner Entscheidungsfindung berücksichtigen.