Sehr geehrte Damen und Herren,
nachfolgend erhalten Sie im Rahmen Ihres Abonnements vom Praxisratgeber Datenschutz und Datensicherheit
weitere Informationen zum Thema Privacy Shield.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der
Länder (DSK) hat am 28. Juli 2020 zum Urteil des Europäischen Gerichtshofs zur Übermittlung
personenbezogener Daten in Drittländer („Schrems II“) eine Pressemitteilung herausgegeben. Darin
führt sie aus:
[...] Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach
einer ersten Einschätzung der DSK folgende Auswirkungen:
- Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist
unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig
erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im
Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die
nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
- Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die
bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt
werden. [...] Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA
Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
- Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie
verbindliche interne Datenschutzvorschriften („binding corporate rules“ - BCR), auf deren Grundlage
eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen
auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden,
sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in
der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen
gleichwertiges Datenschutzniveau wie in der EU garantieren können.
- Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach
Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall
erfüllt sind.
- Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln
möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der
EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.
Das Urteil betrifft damit jede Beauftragung von US-Dienstleistern oder Dienstleistern, die sich zur
Erbringung ihrer Dienste US-Unterauftragnehmern bedienen, wobei eine Speicherung in den USA stattfindet,
und auch Webseiten, wenn personenbezogene Daten des Besuchers an Stellen in die USA übermittelt werden,
z. B.
- Google Analytics
- Social Media bei Facebook, Twitter und Instagram
- Videokonferenzsysteme US-amerikanischer Anbieter (z. B. Zoom, MS Teams)
- Hosting von Services in US-amerikanischer Infrastruktur (z. B. AWS, MS Azure, Cloudflare)
Das Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei
Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die
Auflagen des Vertragswerks einhalten kann.
Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der
Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht
die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den
Verantwortlichen als auch bei den Aufsichtsbehörden.
Die Berliner Datenschutzbeauftragte vertritt die konsequenteste Position und fordert, umgehend
Drittlandübermittlungen einzustellen und zu Nicht-US-Anbietern, bevorzugt zu europäischen Anbietern zu
wechseln bzw. in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Eine Verlagerung
des Hostings von personenbezogenen Daten von den USA in einen Mitgliedsstaat der Europäischen Union löst
aber das Problem nicht, weil nach den Vorschriften des sogenannten CLOUD-Act (Clarifying Lawful Overseas
Use of Data Act) vom März 2018 auch die Daten dem Zugriff von US-Stellen unterliegen, die von
US-Unternehmen außerhalb der Vereinigten Staaten gespeichert werden. Es spielt deshalb nur eine
untergeordnete Rolle, ob z. B. Microsoft die Daten seiner europäischen Kunden in den USA oder in
Frankfurt in einem Datacenter speichert. Die US-Geheimdienste dürfen so oder so auf die Daten zugreifen.
Zur Prüfpflicht siehe:
https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/konsequenzen-des-lfdi-rheinland-pfalz-aus-dem-eugh-urteil-c-31118-schrems-ii/
https://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schrems
https://www.tlfdi.de/mam/tlfdi/presse/200716_pressemitteilung.pdf
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf
Was kann bzw. muss nun unternommen werden?
Schritt 1:
Die Aufsichtsbehörden empfehlen, anhand des Verzeichnisses von Verarbeitungstätigkeiten die
Verarbeitungen, bei denen Daten auf Basis des Privacy-Shield oder dem EU-Standardvertrag in einen
Drittstaat (Staaten außerhalb des europäischen Wirtschaftsraum EWR sowie Norwegen, Liechtenstein und
Island) übermittelt werden, zu identifizieren und die Datenschutzvereinbarungen mit Dienstleistern zu
überprüfen.
Finden Übermittlungen in Drittstaaten statt, für die ein Angemessenheitsbeschluss vorliegt, sind keine
weiteren Maßnahmen nötig. Aktuell gibt es für folgende Staaten einen Angemessenheitsbeschluss seitens
der EU: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland,
Schweiz, Uruguay.
Nachdem nach wie vor nicht geklärt und nicht absehbar ist, mit welchem Status Großbritannien zum 01.
Januar 2021 aus der Europäischen Union ausscheiden wird, sollten sicherheitshalber auch Übermittlungen
nach UK identifiziert werden.
Problematisch und von dem Urteil betroffen sind also Übermittlungen zu US-, und ggf. UK-Dienstleistern,
sofern bis zum 01. Januar 2021 kein Angemessenheitsbeschluss für UK existieren sollte.
Geprüft werden müssen auch die Subdienstleister von Dienstleistern. Wenn Subunternehmen beauftragt sind,
die auf der Basis des Privacy-Shield oder dem EU-Standardvertrag Daten in die USA transferieren, sind
diese ggf. ebenfalls zu berücksichtigen.
Schritt 2:
Je nach Branche unterliegen die Datenimporteure in den USA unterschiedlichen staatlichen
Überwachungsgesetzen. Die Datenimporteure sollen deshalb gezielt gefragt werden, ob sie FISA 702 und EO
12333 unterliegen und ob sie die Klauseln einhalten können. Die Prüfung, ob der Datenimporteur unter
FISA 702 fällt, ist auch für die Konzernmutter in den USA erforderlich. Max Schrems bzw. die
Organisation NOYB hat deshalb auf der Webseite https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs eine FAQ-Liste für
Unternehmen und zwei Fragebögen für die Ermittlung der staatlichen Überwachungsgesetze (für den
Datenimporteur und den Unterauftragnehmer) bereitgestellt, denen der jeweilige Datenimporteur bzw.
Unterauftragnehmer konkret unterliegt. Anhand dieser Fragebögen soll überprüft werden, ob der
Datenimporteur bzw. der Unterauftragnehmer des Auftragsverarbeiters vor dem Hintergrund dieser
Überwachungsgesetze überhaupt in der Lage ist, die Verpflichtungen aus dem EU-Standardvertrag zum Schutz
der Rechte der Betroffenen einzuhalten. Es empfiehlt sich, diese Fragebögen an die Datenimporteure und
eventuelle Unterauftragnehmer zu versenden. So kann ggf. bei einer Anfrage durch die Datenschutzaufsicht
zumindest vorerst belegt werden, dass der Verantwortliche sich der aktuellen Gesetzeslage bewusst ist
und um Abhilfe bemüht ist. Illegitime Transfers werden dadurch zwar noch nicht sanktionsbefreit, die
Maßnahme könnte dennoch eine sanktionsmildernde Wirkung haben.
Das Dokument EU-US_fform_v3docx dient dazu, US-Datenimporteure zu befragen, die aktuell mit den
EU-Standardvertragsklauseln (SCC – Standard Contractual Clauses) arbeiten. Das Dokument
EU-EU_form_v3.docx enthält den Musterantrag an Anbieter, die Daten in der EU/dem EWR verarbeiten, aber
US-Beziehungen haben („Einzelfallanalyse“).
Wenn sich bei dieser Überprüfung zeigt, dass der Datenimporteur bzw. der Unterauftragnehmer so
weitgehenden und strengen staatlichen Überwachungsgesetzen unterliegt, die in einem unverhältnismäßigen
Umfang in die Rechte von EU-Bürgern eingreifen, sodass die Rechte der Betroffenen nicht in einem
ausreichenden Maß gewahrt werden können, kann der Datentransfer auch nicht mehr auf die
Standardvertragsklauseln gestützt werden.
Freundliche Grüße
Redaktion Praxisratgeber Datenschutz und Datensicherheit