Schrems II, EU-US Privacy-Shield gekippt

Behördliche Mahnungen und Warnungen ohne Ende, aber keine Lösung

Schrems II

Natürlich kippt nicht gleich die gesamte Weltkugel. Wir berichteten bereits über das Schrems II – Urteil des EuGH, mit dem das sog. Privacy Shield gekippt wurde. Dieses, ein Angemessenheitsbeschluss der Kommission, mit dem diese 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau für die Daten natürlicher Personen bieten und so die Übermittlung von Daten in die USA allgemein ermöglicht hatte, ist ab sofort ungültig.

Verschiedene Behörden haben sich inzwischen zu Wort gemeldet, weisen auf die seither in den meisten Fällen bestehende Rechtswidrigkeit einer Datenübertragung in die USA hin.

Der BfDI hat ein Informationsschreiben zur Auswirkung des Urteils an die öffentlichen Stellen des Bundes und Unternehmen unter seiner Aufsicht versandt. Er stellt fest: „Die Übermittlung von personenbezogenen Daten in die USA unter dem Datenschutzschild ist rechtlich nicht mehr zulässig. Nach dem Urteil des EuGH steht fest, dass in den USA kein im Wesentlichen gleichwertiges Schutzniveau gegeben ist. Eine Übermittlung auf der Grundlage von geeigneten Garantien nach Art. 46 DSGVO, auch z.B. Standarddatenschutzklauseln oder BCR, bleibt allerdings grundsätzlich möglich. Es müssen dann aber zusätzliche Maßnahmen getroffen werden, die die übermittelten Daten im konkreten Einzelfall angemessen vor dem unbeschränkten Zugriff der US-Sicherheitsbehörden schützen.“ Stellt sich die Frage, welche.

Er rät: „Unternehmen und Behörden müssen als Reaktion auf die Vorgaben aus dem Urteil des EuGH in der Rechtssache C-311/18 „Schrems II“ als Verantwortliche ihre Datentransfers in Drittländer prüfen. Je nach bisher gewählter Grundlage für die Datenübermittlung muss diese – z.B. im Falle des EU-US Datenschutzschildes – durch eine neue Grundlage ersetzt werden. Zudem müssen alle Verantwortlichen bei der Verwendung von geeigneten Garantien nach Art. 46 DSGVO prüfen, ob und ggf. welche zusätzlichen Maßnahmen ergriffen werden müssen, um die übermittelten Daten im Drittland angemessen zu schützen. Das Ergebnis dieser Prüfung und die getroffenen Maßnahmen sind nachvollziehbar zu dokumentieren.“

Liege ich daneben, wenn das, was nun folgt von mir als Keulenschwingen betrachtet wird, zunächst ein Hinweis auf eine – angeblich bestehende Meldepflicht: „ Sofern die Prüfung ergibt, dass für die übermittelten Daten im Drittland kein im Wesentlichen gleichwertiger Schutz sicherzustellen ist (Anm: des Verf.: was mehr als wahrscheinlich ist) und der damit unzulässige Datentransfer dennoch nicht ausgesetzt oder beendet wird, besteht eine Pflicht zur Meldung an mein Haus. Diese Verpflichtung gilt für Verantwortliche und Auftragsverarbeiter gleichermaßen.“

Hier stellt sich die fachliche Frage: wieso auch der Auftragsverarbeiter, heißt doch der „Verantwortliche“ genauso, weil er eben die Verantwortung für die Verarbeitung trägt.

Und dann: „Nach Auswertung der Reaktionen auf dieses Informationsschreiben werde ich die meiner Aufsicht unterstehenden Unternehmen und Behörden gezielt zu direkten, also intendierten Datentransfers in spezifischen Bereichen befragen. Zudem wird der internationale Datentransfer unter Berücksichtigung der Aussagen des EuGH-Urteils in der Rechtssache C-311/18 „Schrems II“ einen zukünftigen Schwerpunkt meiner regelmäßigen Beratungs- und Kontrollbesuche bilden.“

Ich finde, dass das, was dann noch folgt auch als – unverhohlene - Drohung gedeutet werden: „Abschließend weise ich darauf hin, dass anlassbezogen jederzeit Kontrollen durch meine Behörde möglich sind.“

Wirkliche Lösungen werden leider – wie so oft - nicht angeboten. Dies gilt auch für die „Orientierungshilfe“ des LfDI BW zum gleichen Thema.

Betroffen sind z.B. (Fallbeispiele):

  • Unternehmen stehen in Handelsbeziehung mit Unternehmen, die einen Sitz in den USA haben und tauschen mit diesen personenbezogene Daten über Kunden (Lieferadressen, Beschwerden, Bestellungen etc.) oder Ihre Beschäftigten (Verträge, Netzwerke, etc.) aus.

  • Unternehmen speichern Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird.

  • Unternehmen nutzen ein Videokonferenzsystem eines US-amerikanischen Anbieters, der Daten der Teilnehmenden erhebt und in die USA übermittelt.

Immerhin gibt’s eine Checkliste, man soll (oder muss) „unverzüglich“:   

eine Bestandsaufnahme machen, in welchen Fällen Ihr Unternehmen/Ihre Behörde personenbezogene Daten in Drittländer exportiert;  darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich.

sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung setzen und ihn über die Entscheidung des EuGH und deren Konsequenzen informieren

sich über die Rechtslage im Drittland informieren (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. DatenschutzAusschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können) 

überprüfen, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt.  Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, siehe eine ausführliche Liste hier: Link;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen 

überprüfen, ob Sie die von der Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art.46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087

Dies ist zu verneinen, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt. 

Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. und sogleich) möglich. 

überprüfen, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können.   Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können  (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird). Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über folgende Änderung der Bestimmungen der Standardvertragsklauseln verständigen: ……………. (Spätestens ab hier wenden Sie sich bitte vertrauensvoll an uns!).

Und hier wird eine andere – nicht minder grobe – Keule geschwungen: „Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.“

Das Ganze endet mit dem Versuch von Verbindlichkeit: „Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.“

Fazit: Der Transfer personenbezogener Daten in Drittländer bleibt kritisch, bußgeld-risikobehaftet, insbesondere derjenige in die USA, weil die Übertragung von Daten dorthin momentan besonders im Fokus der Behörden stehen dürfte.

Sollten sich wirklich praktikable Lösungen abzeichnen, werden wir unverzüglich berichten.