Die transatlantischen Datenwellen einen Monat nach „Schrems II“

Datentransfer nach Schrems II Urteil

Sie nennen das Ziel. Wir kennen den Weg.

Seit einem Monat wogen die durch das Urteil des EuGH (EuGH, Urt. v. 16.07.2020 – C‑311/18) in Sachen Schrems II hervorgerufenen transatlantischen Wellen. Dies gibt den Anlass für den einen oder anderen Gedanken über eine zumindest vorläufig sichere Passage durch die turbulente See bis zur Entscheidung der Datenschutz-Aufsichtsbehörden und/oder der Politik.

Die Entscheidung:

Der EuGH betrachtet verschiedene Facetten des Transfers personenbezogener Daten („Daten“) aus der EU in Nicht-EU bzw. Nicht-EWR-Staaten, soweit für diese Drittstaaten kein Angemessenheitsbeschluss“ der EU-Kommission vorhanden ist („Drittstaaten“). Die Entscheidung ist daher nicht relevant für alle Datentransfers nach Andorra, Argentinien, Kanada, Faröer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay.

Zunächst erklärt der EuGH das „EU US Privacy Shield“ für ungültig; eine Übergangsfrist gibt es nicht. Es ist somit seit dem 16.07.2020 nicht mehr zulässig, basierend auf dem EU/US-Privacy Shield personenbezogene Daten aus der EU in die USA zu übermitteln.

Gleichzeitig stellte der EuGH fest, dass die sogenannten Standarddatenschutzklauseln wirksam bleiben. Allerdings müssen EU-Datenexporteure nunmehr neben einer bloßen Vereinbarung der Standarddatenschutzklauseln zusätzlich prüfen, ob die Datenimporteure im Drittstaat die Pflichten aus den Standarddatenschutzklauseln einhalten können. Daten-Exporteure aus der EU müssen demnach mit den Daten-Importeuren im Drittstaat insbesondere klären, ob diese die Daten ausschließlich nach den Weisungen des Daten-Exporteurs verarbeiten. Eine Verarbeitung dieser Daten zu anderen Zwecken ist nur in engen Grenzen zulässig. Sie darf nur erfolgen, soweit diese Verarbeitung in einer demokratischen Gesellschaft zur Gewährleistung der Sicherheit des Importstaates, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses des Importstaates sowie des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich ist. Der EuGH nennt hierfür u.a. international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche. Darüber hinaus muss der EU-Daten-Exporteur prüfen, ob den EU-Betroffenen nach dem auf den Daten-Importeur anwendbarem Recht durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen. Erforderlich ist demnach immer eine Einzelfallprüfung beider Fragen. Dies gilt übrigens nicht nur bei Verwendung der Standarddatenschutzklauseln, sondern ebenso bei Einbeziehung sog. Binding-Corporate-Rules.

Für die USA hält der EuGH fest, dass – basierend auf der im EU/US-Privacy-Shield dokumentierten Rechtslage – keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe nach US-amerikanischem Recht bestehen. Es ist somit seit dem 16.07.2020 auch nicht mehr zulässig, basierend auf den Standarddatenschutzklauseln Daten aus der EU in die USA zu übermitteln.

Müssen Sie handeln?

Sie übermitteln personenbezogene Daten z.B. Ihrer Mitarbeiter oder Ihrer Kunden elektronisch an einen in einem Nicht-EU/EWR-Staat ansässigen Vertragspartner, Dienstleister wie z.B. Microsoft, Google, Facebook, Mailchimp oder ein Konzernunternehmen oder planen eine solche Übermittlung und es besteht kein Angemessenheitsbeschluss der Kommission für den Importstaat? Sie speichern die Daten zwar in der EU, aber können einen Zugriff auf die Daten aus einem Drittstaat, für den kein Angemessenheitsbeschluss besteht, nicht mit an Sicherheit grenzender Wahrscheinlichkeit ausschließen? Wenn ja, dann betrifft es Sie!

Handlungsempfehlung:

  1. Ausnahmetatbestand?

Sie prüfen zunächst, ob eine der Ausnahmetatbestände des Art. 49 DSGVO greift. Ist dies der Fall, müssen Sie allenfalls Ihre datenschutzrechtlichen Pflichtinformationen sowie Ihr Verarbeitungsverzeichnis anpassen. Beabsichtigen Sie, den Datentransfer auf eine noch nicht vorliegende Einwilligung der Betroffenen zu stützen, müssen Sie die Einwilligungen letztlich vor der Datenübermittlung in den Drittstaat einholen.

  1. Datenimporteur in den USA:

Greift kein Ausnahmetatbestand des Art. 49 DSGVO, ist eine Übermittlung personenbezogener Daten in die USA basierend auf den Standarddatenschutzklauseln oder Binding Corporate Rules aktuell nicht zulässig. Jedenfalls zu unterbleiben hat damit ein tatsächlicher Transfer personenbezogener Daten in die USA. Erfolgt die Speicherung der personenbezogenen Daten ausschließlich in der EU, muss durch weitere Maßnahmen sichergestellt werden, dass der US-amerikanische Datenimporteur keinerlei Kontrolle über die personenbezogenen Daten innehat. Kann nicht ausgeschlossen werden, dass der US-amerikanische Datenimporteur z.B. im Rahmen des technischen Supports Kenntnis der in der EU gespeicherten personenbezogenen Daten erhält, muss gemeinsam mit dem Datenimporteur geklärt werden, ob dieser gegenüber den US-amerikanischen staatlichen Einrichtungen gfls. zur Auskunft über die so zur Kenntnis genommenen Daten verpflichtet ist. Nur soweit dies mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen werden kann, ist die Einschaltung eines US-amerikanischen Datenimporteurs grundsätzlich denkbar.

  1. Datenimporteur in einem sonstigen (unsicheren) Drittland:

Bei einer Datenübermittlung in ein sonstiges, unsicheres Drittland (insbesondere auch United Kingdom ab dem 01.01.2021) basierend auf den Standarddatenschutzklauseln oder Binding Corporate Rules ist zu prüfen, ob der Datenimporteur die Daten über die rein weisungsgebundene Datenverarbeitung hinaus nur innerhalb der durch den EuGH als zulässig anerkannten Grenzen verarbeitet und ob nach dem auf den Datenimporteur anwendbarem Recht den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen. Dies ist zu dokumentieren. Ist eine der beiden Anforderungen nicht eingehalten, könnten wohl die Standarddatenschutzklauseln nach Auffassung des EuGH ergänzt werden. Nach derzeitigem Stand der Diskussion ist dieser Ansatz jedoch mit erheblichen Risiken behaftet, da keine weiteren Anhaltspunkte erkennbar sind, bei deren Vorliegen von einer hinreichenden Ergänzung der Standarddatenschutzklauseln ausgegangen werden kann.

Für weitergehende Fragen zu den Folgen des EuGH Urteils speziell für Ihr Unternehmen oder zu sonstigen datenschutzrechtlichen Fragestellungen steht Ihnen unsere Praxisgruppe Datenschutzrecht gerne zur Verfügung. Sie erreichen uns telefonisch unter 069 – 65300060 oder per Mail an frankfurt@melchers-law.com.