Der EuGH hat am 16.Juli 2020 sein Urteil in Sachen Schrems II veröffentlicht, das Privacy Shield für ungültig erklärt und das Ende der Übermittlung personenbezogener Daten in die USA auf Grundlage der Standarddatenschutzklauseln eingeläutet. Auf zwei Beiträge zum Thema vom 16.Juli und 22.Juli wird hingewiesen. Zeit für einen Blick auf die Reaktionen der Datenschutzaufsichtsbehörden. Der Beitrag beschränkt sich auf die nationalen Behörden und Verlautbarungen des Europäischen Datenschutzausschusses. Die Ergebnisse sind ernüchternd.
1. Europäischer Datenschutzausschuss (EDSA)
Der EDSA soll die einheitliche Anwendung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union sicherstellen. Zu seinen Aufgaben zählt daher, allgemeine Anleitungen (darunter Leitlinien, Empfehlungen und bewährte Verfahren) bereitzustellen, um für Rechtsklarheit zu sorgen. Der EDSA, der sich aus den Leitern jeweils einer Aufsichtsbehörde jedes Mitgliedsstaats der EU und dem Europäischen Datenschutzbeauftragten zusammensetzt (Art. 68 Abs. (3) DSGVO), prägt die europäische Datenschutzpraxis auf diese Weise wesentlich.
Der EDSA hat am 23. Juli häufig gestellte Fragen in einem Dokument beantwortet, das auch in deutscher Sprache zur Verfügung steht – wenn auch noch nicht „proofread“. Das Dokument gibt eine erste Einschätzung des EDSA wider und spricht auch Themen an, die über die Wiederholung der Urteilsinhalte hinausreichen, inklusive der Auswirkungen des EuGH-Urteils auf andere Rechtsgrundlagen für die grenzüberschreitende Datenübermittlung.
Standarddatenschutzklauseln (Terminologie ehemals: Standardverträge), Standard Contractual Clauses (SCC)
Die Standarddatenschutzklauseln ließ der EuGH unbeanstandet. Sie sind weiterhin wirksam und die Vereinbarung dieser Vertragsklauseln zwischen Unternehmen in der EU und einem Drittland (Nicht-EU/EWR-Staat) wird auch in der Zukunft die grenzüberschreitende Datenübermittlung von diesem EU-Unternehmen an eben diesen Vertragspartner legitimieren können.
Das reicht aber nicht. Die Vertragsparteien sind vielmehr in der Pflicht, vor Datenübermittlung die Sach- und Rechtslage im jeweiligen Drittland zu bewerten und soweit erforderlich, weitere Maßnahmen zu ergreifen. Diese Feststellung ist insbesondere mit Blick auf die Datenübermittlung in die USA relevant. Solche ergänzenden Maßnahmen müssen sicherstellen, dass das US-Recht das von den Standarddatenschutzklauseln garantierte angemessene Schutzniveau nicht beeinträchtigt. Gelingt es dem Datenexporteur nicht, geeignete Schutzmaßnahmen gegen die ausufernde Praxis amerikanischer Sicherheitsbehörden beim Abgreifen (nicht nur personenbezogener) Daten aus Europa zu implementieren, muss er den Datenabfluss stoppen.
Die Antwort auf die drängendste Frage, welche geeigneten Maßnahmen dem massenhaften Datenzugriff durch die Sicherheitsbehörden der USA entgegengesetzt werden können, bleibt der EDSA zum gegenwärtigen Zeitpunkt schuldig.
Keine Übergangsfrist
Das Schrems II – Urteil des EuGH greift sofort. Eine Übergangsfrist gibt es nicht. Das bedeutet, dass der Datentransfer in die USA nicht auf den Privacy Shield-Mechanismus gestützt werden kann. Den hat der EuGH für unwirksam erklärt.
Verbindliche Interne Datenschutzvorschriften / Binding Corporate Rules (BCR)
Die Anforderungen an die Standarddatenschutzklauseln gelten nicht weniger für die Verbindlichen Internen Datenschutzvorschriften, die Konzerne regelmäßig vereinbarten, um die Übermittlung personenbezogener Daten aus der EU / dem EWR zu Konzernunternehmen in die USA zu legitimieren. Aus Sicht der US-Sicherheitsbehörden macht es für die Anwendung ihrer Befugnisse keinen Unterschied, ob sie EU/EWR-Daten abfängt, deren Versand durch Verbindliche Interne Datenschutzvorschriften oder durch Standarddatenschutzklauseln legitimiert sein soll. Auch für den BCR-Mechanismus gilt, dass er nur dann ausreicht, wenn im Anschluss an eine fundierte Bewertung der Rechtslage des Drittlands und aller relevanten Umstände für die Datenübermittlung ggf. zusätzliche geeignete Maßnahmen getroffen werden, damit zugunsten der Träger der personenbezogenen Daten geeignete Garantien im Sinne der DSGVO geschaffen werden.
Ausnahmeregelungen des Art.49 DSGVO
Die Ausnahmeregelungen des Art. 49 DSGVO greifen auch weiterhin. Sie sind allerdings nur auf wenige spezifische Sachverhalte anzuwenden (Einwilligung des Betroffenen, Datenübermittlung im Interesse des Betroffenen, Rechtsverfolgung, wichtige Gründe des öffentlichen Interesses, lebenswichtige Interessen).
Auftragsverarbeiter und Datenübermittlung in die USA
Der Auftragsverarbeitungsvertrag zwischen dem für den Datenschutz Verantwortlichen und seinem Auftragsverarbeiter hat bereits vorzusehen, ob der grenzüberschreitende Datenverkehr gestattet ist. Kann der Auftragsverarbeiter keine geeigneten Maßnahmen ergreifen, um sicherzustellen, dass die Verhältnisse in den USA (oder jedem anderen Drittland) das (durch Standarddatenschutzklauseln oder BCR) im Wesentlichen gleichwertige Schutzniveau nicht beeinträchtigen, muss der Verantwortliche den Auftragsverarbeitungsvertrag nachverhandeln. Er muss seinem Auftragsverarbeiter untersagen, die personenbezogenen Daten in die USA oder das andere Drittland zu übermitteln.
2. Datenschutzkonferenz (DSK)
Die Datenschutzkonferenz (DSK) hat am 28.Juli eine knappe Pressemitteilung herausgegeben und die Auffassung des EDSA bestätigt. Nach dem Urteil des EuGH reicht es nicht aus, die Standarddatenschutzklauseln zu vereinbaren, um personenbezogene Daten in die USA zu übermitteln.
3. Datenschutzaufsicht der Länder
Bislang haben die Landesdatenschutzaufsichten nur vereinzelt Stellung bezogen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit mussten sich in ihren frühen Stellungnahmen auf die Interpretation und die Herausstellung einiger wesentlicher Aspekte des Urteils beschränken.
Die Datenschutzbeauftragte Berlins, Maja Smoltczyk, forderte darüber hinaus alle Verantwortlichen auf, insbesondere bei der Nutzung von Cloud-Diensten zu Dienstleistern in der EU zu wechseln.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz ergänzte seine Stellungnahme zum EuGH-Urteil noch um FAQ (bei Abruf Stand vom 24.Juli 2020). Den goldenen Weg für die Übermittlung personenbezogener Daten in die USA kann angesichts der verfahrenen Rechtslage auch der rheinland-pfälzische Datenschutzbeauftragte nicht aufzeigen.
Die anderen Ämter sahen bisher von Stellungnahmen oder Hilfestellungen ab oder verwiesen auf das Papier der DSK bzw. des EDSA.
Datenschutzrecht