Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner
Zahlreiche Unternehmen transferieren im Rahmen ihrer Tätigkeit personenbezogene Daten in die USA. Die Gründe hierfür sind vielfältig und keineswegs von einer „bösen Absicht“ getragen oder sonst verwerflich. Die Datenübertragung erfolgt meist im Rahmen etablierter und zum Teil langwieriger Praktiken. Dies kann bei international tätigen Konzernen den Datentransfer von Mitarbeiter- und Kundendaten betreffen. Andere arbeiten mit Dienstleistern in den USA zusammen, zu denen es zum Teil eine Alternative in der EU schlicht nicht gibt. Wieder andere bedienen sich sog. Cloud-Services, wobei die Server, die den Cloud-Service ermöglichen, regelmäßig in den USA stehen.
Eine Übertragung personenbezogener Daten in Drittstaaten, also in Staaten, die außerhalb der EU liegen, ist grundsätzlich nur unter den (strengen) Voraussetzungen der Art. 44 DS-GVO ff. zulässig. Zudem erweitern sich im Falle eines Datentransfers in Drittstaaten die einzuhaltenden Informationspflichten nach den Art. 13 und Art. 14 DS-GVO.
SEMINARTIPPS
5. Berliner Compliance-Tagung, 16.–17.11.2020, Berlin.
NEUE BAIT 2021, 17.–18.03.2021, Frankfurt/M.
Konkret ist nach Art. 45 DS-GVO ein Datentransfer in Drittstaaten nur zulässig, wenn ein sog. Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder der datenschutzrechtlich Verantwortliche bzw. der Auftragsverarbeiter geeignete/angemessene Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechtsbehelfe zur Verfügung stehen, um den Schutz der personenbezogenen Daten zu gewährleisten (Art. 46 DS-GVO). Darüber hinaus ist der Datentransfer nur begrenzt zulässig. Was die Informationspflichten nach Art. 13/14 DS-GVO anbelangt, so ist bei einem Drittstaatentransfer darüber zu informieren, ob der Verantwortliche beabsichtigt, personenbezogene Daten in Drittstaaten zu übertragen. Zudem ist darüber zu informieren, ob ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder nicht. Erfolgt der Datentransfer basierend auf geeigneten oder angemessenen Garantien, ist hierüber zu informieren sowie darauf hinzuweisen, wie und wo die geeigneten/angemessenen Garantien eingesehen werden können (vgl. Art. 13 Abs. 1 lit. f)/ Art. 14 Abs. 1 lit. f) DS-GVO).
Nachdem der EuGH mit Urteil vom 16.07.2020 (vgl. hierzu auch BTS 2020, 95) den EU-US-Privacy-Shield gekippt hat, steht fest, dass es zwischen der EU und den USA keinen Angemessenheitsbeschluss mehr gibt, der den Datentransfer zu rechtfertigen vermag.
Der EDSA (Europäischer Datenschutzausschuss) hat in einem von ihm herausgebrachten Papier vom 23.07.2020 klargestellt, dass es für Unternehmen, die bislang aufgrund des EU-US-Privacy-Shield ihre Daten in die USA transferiert haben, keine „Schonfrist“ geben wird, binnen welcher die Datenübertragung übergangsweise erfolgen kann, bis ein neuer Angemessenheitsbeschluss ausgehandelt ist. Die Unternehmen sind mithin verpflichtet zu prüfen, ob eine weitere Rechtsgrundlage nach der DS-GVO vorliegt, aufgrund welcher der Datentransfer erfolgen kann. Die nationalen Datenschutzbehörden haben sich – soweit ersichtlich – ausnahmslos dazu entschlossen, nicht von der Linie des EDSA abzuweichen und das Urteil des EuGH umzusetzen.
Sowohl betreffend sogenannte Standardvertragsklauseln, als auch betreffend sogenannte Binding Corporate Rules obliegt es nach (wohl zutreffender) Ansicht des EuGH sowie des EDSA dem datenschutzrechtlich Verantwortlichen, nun zu prüfen, ob der Datentransfer zulässig ist bzw. eine geeignete Rechtsgrundlage für den Datentransfer zu schaffen. Dabei betont der EDSA in seinem Papier vom 23.07.2020, dass es vom Ergebnis der eigenen Einschätzung des datenschutzrechtlich Verantwortlichen abhängt, ob der Datentransfer zulässig ist bzw. es „zusätzlicher Maßnahmen“ bedarf, um die Datensicherheit zu gewährleisten. Ohne diese „zusätzlichen Maßnahmen“ zu konkretisieren, weist der EDSA darauf hin, dass im Rahmen einer Einzelfallanalyse geprüft und infolge der Prüfung sichergestellt werden müsse, dass das US-Recht (bzw. das Recht eines anderen Drittstaates) ein dem in der EU vergleichbares und angemessenes Schutzniveau gewährleistet. Ob dies nach den Ausführungen des EuGH zum fehlenden angemessenen Datenschutzniveau in den USA überhaupt bejaht werden kann, ist mehr als fraglich und darf bezweifelt werden. Hervorzuheben ist daher, dass der EDSA davon ausgeht, der datenschutzrechtlich Verantwortliche müsse die für ihn zuständige Aufsichtsbehörde darüber informieren, wenn er weiterhin Daten in „unsichere“ Drittstaaten transferiert und trotz zusätzlicher Maßnahmen kein angemessenes Datenschutzniveau vorliegt. Dem liegt die (nicht ganz fernliegende) Rechtsauffassung zugrunde, dass der datenschutzrechtlich Verantwortliche die Rechtmäßigkeit der Datenverarbeitung nachweisen muss. Es stellt sich dabei natürlich auch die rein praktische Frage, wie die Datenschutzbehörden darauf reagieren würden, wenn sie von den Verantwortlichen tatsächlich für jeden Einzelfall und nicht nur generell mit (gleichlautenden) Meldungen überflutet werden, dass ein Drittstaatentransfer erfolgt und wie hiermit umzugehen ist.
PRAXISTIPP
Datentransfer aufgrund von Binding Corporate Rules und Standardvertragsklauseln
Datenschutzrechtlich Verantwortliche, die personenbezogene Daten selbst oder mittels eines Auftragsverarbeiters in die USA oder andere Drittstaaten transferieren, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, sollten zunächst prüfen, ob ein Rechtfertigungsgrund nach den Art. 44 DS-GVO ff. für den Datentransfer vorliegt bzw. geschaffen werden kann (oder muss). Für die Wirtschaft dürften hier insbesondere Binding Corporate Rules bzw. Standardvertragsklauseln in Betracht kommen. Bei beiden Instrumenten handelt es sich um geeignete Garantien i. S. d. Art. 46 Abs. 1 und 2 DS-GVO, welche einen Datentransfer in Drittstaaten rechtfertigen können. Zu beachten ist aber, dass ergänzend zu der „geeigneten Garantie“ gewährleistet sein muss, dass den Betroffenen, deren personenbezogene Daten verarbeitet werden, „durchsetzbare und wirksame“ Rechtsbehelfe zur Verfügung stehen (was für die USA wiederrum fraglich ist). Hierauf weist auch der EuGH in seinem Urteil vom 16.07.2020 hin. Dort führt er zwar aus, dass die von der Europäischen Kommission beschlossenen Standardvertragsklauseln aus dem Jahr 2010 weiterhin Gültigkeit besitzen. Der EuGH stellt aber weiter klar, dass ein angemessenes (Daten-)Schutzniveau gewährleistet sein muss, das dem der EU entspricht. Damit stellt der EuGH klar, dass gerade nicht nur die Rechtsbeziehung zwischen dem Exporteur und dem Importeur der Daten maßgeblich ist. Es sind auch die Zugriffsmöglichkeiten durch Behörden des Drittstaats auf die personenbezogenen Daten sowie der Schutz des Betroffenen vor Eingriffen der Behörden durch das Rechtssystem des Drittstaats zu berücksichtigen. Naturgemäß liegt es auf der Hand, dass weder Binding Corporate Rules noch Standardvertragsklauseln staatliche Stellen binden können. Wird der Datentransfer auf Standardvertragsklauseln bzw. Binding Corporate Rules gestützt, sollte geprüft werden, ob ein der EU vergleichbares Datenschutzniveau tatsächlich im Drittstaat gewährleistet wird.
Von Behördenseite wird in diesem Zusammenhang darauf verwiesen, dass man durchaus ein geeignetes Schutzniveau annehmen kann, wenn die Daten derart verschlüsselt werden, dass die Daten durch staatliche Stellen nicht eingesehen werden können. Der in der EU sitzende datenschutzrechtlich Verantwortliche sollte somit mit dem in einem potentiell unsicheren Drittstaat sitzenden Empfänger in Kontakt treten und sich von diesem nachweisbar versichern lassen, dass die zu übertragenden Daten vor dem Zugriff staatlicher Stellen geschützt sind. Ist dies nicht (valide) möglich, sollte jedenfalls geprüft werden, ob es eine Alternative zu dem Datentransfer in den unsicheren Drittstaat gibt (bspw. alternative Cloud-Anbieter mit Sitz in der EU). Dieser Prüfprozess sowie das Ergebnis sollte umfassend dokumentiert werden.
Informationspflichten
Schließlich sollte neben der Beachtung vorbeschriebener Vorgänge nicht vergessen werden, die Datenschutzhinweise zu überprüfen, um sicherzustellen, dass die Informationen nach Art. 13 Abs. 1 lit. f) bzw. Art. 14 Abs. 1 lit. f) DS-GVO korrekt erteilt werden.
Beitragsnummer: 10732