Gekippter Privacy-Shield II: FAQ EDSA

Folgen für Übertragung von Daten in die USA und andere Drittländer

Gekippter Privacy-Shield II

Die Entscheidung des EuGH C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, mit der der sogenannte „Privacy Shield“ (Der EU-US Privacy Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts) quasi für ungültig erklärt wurde bringt weitere Unsicherheit in das schon unsichere Feld des Datenschutzes. Man könnte es so formulieren: Damit wurde das so ziemlich letzte Feigenblatt des Anscheins von Datenschutz im Transfer von Daten in die USA vernichtet.

Der Europäische Datenschutzausschuss (EDSA) hat ein FAQ-Dokument zum Datentransfer in Drittländer herausgegeben.

Link

Ich fasse die wichtigsten Aussagen stichwortartig zusammen:

Es gibt keine Übergangsfrist zur Umsetzung des Urteils.

Folge: Unternehmen sind dazu aufgefordert, vor diesem Hintergrund ihre Drittlandübermittlungen zu überprüfen.

Grundsätzlich bleiben die Standarddatenschutzklauseln (SCC) weiterhin gültig. Möglicherweise reicht dies nicht für einen Transfer personenbezogener Daten in die USA aus. Das vom EuGH bewertete US-Recht (d.h. Abschnitt 702 FISA und EO 12333) kann nicht durch vertragliche Vereinbarung ausgeschlossen werden. Ein rechtmäßiger Datentransfer an diejenigen US-Unternehmen, welche dem Anwendungsbereich des Abschnitt 702 FISA und EO 1233 unterliegen, ist allein aufgrund der SCC daher nur noch in Ausnahmefällen zulässig.

Auch der Transfer personenbezogener Daten auf Grundlage von Binding Corporate Rules (BCR) in Drittländer ist grundsätzlich möglich. Hier gilt jedoch dasselbe wie bei SCC: Der Transfer personenbezogener Daten ist einzustellen, wenn ein angemessenes Schutzniveau nicht gewährleistet werden kann, weil z.B. Schutzmaßnahmen durch im Drittland geltendes Recht unterminiert werden.

Folge: Sollten zusätzliche Schutzmaßnahmen nicht möglich sein oder ist trotz dessen ein angemessenes Schutzniveau nicht zu gewährleisten, ist der Transfer einzustellen.

Nach Ansicht des EDSA müssen Unternehmen die zuständige Aufsichtsbehörde benachrichtigen, sofern sie beabsichtigen, Datentransfers in die USA (oder ein anderes unsicheres Drittland) aufrechtzuerhalten, obwohl ein geeigneter Schutz nicht gewährleistet werden kann.

Was genau die Pflicht zur Information der zuständigen Aufsichtsbehörde konkret bedeutet, ist wohl noch nicht abschließend geklärt.

Und: Dies gilt nicht nur für Datentransfers in die USA; das vom EuGH beschriebene Mindestmaß an Schutz muss in jedem Drittland gewährleistet sein, in das sie personenbezogene Daten transferieren wollen.

Hinsichtlich dessen, worauf es ankommt, also z.B. konkrete Handlungsempfehlungen abzugeben hält sich der EDSA – wie schon kaum anders zu erwarten - mehr als zurück: Fehlanzeige.

Insbesondere gibt es keine Empfehlungen zu zusätzlichen Schutzmaßnahmen. Deutlich wird jedoch: Für Datenübertragungen in die USA helfen auch zusätzliche Schutzmaßnahmen eher nicht. Bei Übertragungen in andere Drittländer kommt es darauf an, ob das dortige Recht ein mit dem Schutzniveau der EU vergleichbaren Schutz zulässt oder nicht.

Der EDSA rät jedenfalls dazu, bestehende Auftragsverarbeitungsverträge darauf zu überprüfen, ob der Vertragspartner selbst oder seine Subunternehmer Daten in den USA (oder anderen Drittländern) verarbeiten dürfen oder Dienstleistern aus den USA (oder anderen Drittländern) Zugriff auf personenbezogene Daten in der EU gewährt wird.

In diesen Fällen muss mit dem Vertragspartner eine Änderungs- oder Ergänzungsklausel ausgehandelt werden.

Was ist zu tun:

Aussitzen geht wohl nicht.

Unternehmen müssen zunächst jeden Transfer personenbezogener Daten in ein Drittland, insbesondere in die USA, überprüfen.

Es ist zu prüfen, auf welcher Rechtsgrundlage die Daten übertragen werden.

Stufe 1, Variante 1: Erfolgt der Transfer auf der Grundlage des Privacy Shield, ist zu prüfen, ob der Transfer nunmehr auf Standarddatenschutzklauseln, Binding Corporate Rules oder ein anders Transferinstrument aus Art. 46 DSGVO gestützt werden kann oder ob ein Ausnahmetatbestand des Art. 49 DSGVO greift.

Stufe 1, Variante 2: Erfolgt der Transfer auf Grundlage der Standarddatenschutzklauseln oder von BCR ist zu prüfen, ob hierdurch ein Schutz personenbezogener Daten gewährleistet ist, der im Wesentlichen denen des EU-Rechts entspricht.

Stufe 2: Ist dies nicht der Fall, ist zu prüfen, ob ein angemessenes Schutzniveau evtl. durch zusätzliche Schutzmaßnahmen erreicht werden kann, wie z.B. zusätzliche Verschlüsselung oder eine Vertragsergänzung.

Ist ein angemessenes Schutzniveau nicht zu gewährleisten, weil es dem Datenimporteur aufgrund von Rechtsvorschiften des Drittlands nicht möglich ist, die SCC zu erfüllen und die zusätzlichen Schutzmaßnahmen einzuhalten, ist zu prüfen, ob eine der Ausnahmen des Art. 49 DSGVO greifen. Ist auch dies nicht der Fall, ist der Datentransfer auszusetzen.

Soll der Datentransfer trotz der Feststellung, dass ein angemessenes Schutzniveau nicht gewährleistet werden kann, fortgesetzt werden, hat das die Daten exportierende Unternehmen die zuständige Aufsichtsbehörde hierüber zu informieren.