Aufsatz : Zum Rechtsrahmen für den transatlantischen Datenverkehr : aus der RDV 4/2021, Seite 194 bis 200
Im Juli 2020 erklärte der Europäische Gerichtshof den Angemessenheitsbeschluss (2016/1215) der EU-Kommission zum EU-US Privacy Shield (Rechtssache C-311/118 „Schrems II“) für unwirksam mit der Folge, dass zahlreichen Datenübermittlungen in die USA die Rechtsgrundlage entzogen wurde. Zwar bezogen nationale Aufsichtsbehörden zunächst nur zögerlich Stellung, sodann bekräftigten sie jedoch mit zunehmender Vehemenz, dass Datenübermittlungen in die USA in vielen Fällen nicht datenschutzkonform möglich seien. Rund einen Monat nach dem Urteil veröffentlichte die erste Landesdatenschutzbehörde Praxishinweise und eine Checkliste zur Gestaltung transnationaler Datenübertragungen.[1] Es folgten viele weitere. Jüngst kündigten sieben Landesdatenschutzbehörden eine gemeinsame, länderübergreifende Kontrolle von Unternehmen hinsichtlich der Umsetzung der Schrems II-Entscheidung an und veröffentlichten umfangreiche Fragekataloge.[2]
Anfänglich äußerte sich auch der Europäische Datenschutzausschuss („EDSA“) nur in Form von kurzen FAQ, bevor das Gremium Ende 2020 die Einrichtung ergänzender Maßnahmen empfahl, soweit dies zur Gewährleistung des unionsrechtlichen Schutzniveaus im Drittstaat erforderlich sei. Einfluss nahmen die Empfehlungen des EDSA auch auf die überarbeiteten Standardvertragsklauseln, die am 4. Juni 2021 von der Europäischen Kommission beschlossen wurden. In der Praxis stellt sich jedoch nunmehr die Frage, ob die Vereinbarung der neu gefassten Standardvertragsklauseln für sich genommen bereits zur Zulässigkeit der Datentransfers in die USA und weitere Drittstaaten führt.
Mit dieser Frage setzen sich die Autoren in diesem Beitrag auseinander.
Nachdem zunächst die Inhalte der Schrems II-Entscheidung kurz umrissen werden, wird die Anwendbarkeit der weiteren, in der DS-GVO für Datenübermittlungen in Drittstaaten vorgesehenen, Garantien erörtert. Die Autoren stellen die Neuerungen der Standardvertragsklauseln, insbesondere im Hinblick auf eine durchzuführende Einzelfallprüfung vor, gehen auf die Kritik und die Handlungsempfehlungen des EDSA ein und schließen mit den letztlich verbleibenden Herausforderungen für Datenexporteure und -Importeure ab.
I. Das Urteil Schrems II
In seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 („Schrems II“) setzte sich der EuGH mit den Rechtsgrundlagen der DS-GVO für Datenübertragungen in Drittstaaten auseinander. Dem liegt die Erwägung zu Grunde, dass eine Übermittlung personenbezogener Daten in ein Drittland nach dem fünften Kapitel der DS-GVO grundsätzlich nur erfolgen darf, wenn ein Angemessenheitsbeschluss der Europäischen Kommission, Art. 45 DS-GVO, geeignete Garantien zur Sicherstellung eines angemessen Datenschutzniveaus (insbesondere die Standardvertragsklauseln), Art. 46 DS-GVO oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Art. 47 DSGVO vorliegen. Daneben bestehen mit einer Einwilligung, Art. 49 Abs. 1 DS-GVO, einem überwiegenden berechtigten Interesse, Art. 49 Abs. 1 U Abs. 2 DS-GVO und zusätzlichen technischen Maßnahmen Ausnahmen, die aber nur im Einzelfall oder unter engen Voraussetzungen Anwendung finden.
1. Ungültigkeit des Angemessenheitsbeschlusses
Unter Verweis auf Erwägungsgrund 104 zur DS-GVO kommt der EuGH zu dem Ergebnis, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen in tatsächlicher Hinsicht ein Schutzniveau gewährleisten müsse, dass dem in der Europäischen Union aufgrund der durch die DS-GVO und die Charta der Grundrechte der Europäischen Union gewährten Rechte gleichwertig ist. Dabei müsse das Niveau nicht identisch sein, gefordert sei aber die gleiche Schutzhöhe.[3]
Der EuGH verweist darauf, dass die Europäische Kommission zwar ein derartig angemessenes „Schutzschild“ in den Anhängen des Angemessenheitsbeschlusses zum Privacy Shield sah, die Maßnahmen erschöpften sich jedoch in einer Prüfung des amerikanischen Handelsministeriums sowie offiziellen Zusagen und Erklärungen. Dass eine generelle Ausnahme von den Grundsätzen für den Schutz personenbezogener Daten vorgesehen war, sofern „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, habe die Kommission nicht ausreichend berücksichtigt.[4]
Vielmehr sind hinreichende Garantien für den Schutz personenbezogener Daten nach dem Wortlaut des Anhangs zum Privacy Shield nicht getroffen worden. Derartige Zusagen für Nicht-US-Bürger sieht das amerikanische Recht auch nicht vor. Nach Auffassung des EuGHs müssen sich derartige Garantien jedoch aus der gesetzlichen Grundlage ergeben, um dem Grundsatz der Verhältnismäßigkeit zu genügen.[5] So kann Section 702 des FISA (Foreign Intelligence Surveillance Act) z.B. weder entnommen werden, dass für die dort enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen Einschränkungen vorgesehen sind, noch das rechtstaatliche Garantien für Nicht-Amerikaner bestehen.[6]
Die amerikanische Regierung räumte zudem ein, dass betroffenen Personen aus der Europäischen Union keine Rechte zustehen, die eine gerichtliche Rechtsdurchsetzung gegenüber den amerikanischen Behörden ermöglichen.
Der EuGH kommt daher zu dem folgerichtigen Ergebnis, dass den betroffenen Personen auf Grundlage des Privacy Shields keine wirksamen und durchsetzbaren Rechtsschutzmöglichkeiten, wie in Art. 45 Abs. 2 lit. a DS-GVO vorgesehen, eingeräumt werden.
2. Standardvertragsklauseln (SCC)
Hinsichtlich der Standardvertragsklauseln (2010/87 geändert durch Beschluss 2016/2297) für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern führt der EuGH aus, dass diese grundsätzlich mit der DS-GVO im Einklang stünden. Im Rahmen der Beurteilung des tatsächlichen Schutzniveaus im Drittstaat sind für den EuGH neben den vertraglichen Regelungen, jedoch auch die Zugriffsmöglichkeiten der Behörden eines Drittlandes von Relevanz.[7]
Soweit Datenübermittlungen in die USA betroffen sind, könnten die Standardvertragsklauseln insoweit nicht genügen, da diese aufgrund der Überwachungsmöglichkeiten der Behörden und des fehlenden gerichtlichen Rechtsschutzes kein gleichwertiges Schutzniveau bieten.[8] Es sei vielmehr die Pflicht der zuständigen Aufsichtsbehörde, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn anzunehmen ist, dass die Standardvertragsklauseln nicht eingehalten werden können bzw. die Daten nicht den erforderlichen Schutz erhielten.[9]
Ein entsprechendes Vorgehen kündigten die Landesbehörden in den Folgemonaten an. Zum Leidwesen vieler Datenexporteure führte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) Ulrich Kelber universal aus: „demzufolge sind nicht nur die Übermittlungen unter dem durch das Urteil für unwirksam erklärten Datenschutzschild („Privacy Shield“) betroffen, sondern auch alle anderen geeigneten Garantien aus Kapitel V der DS-GVO einschließlich der Verwendung von Standarddatenschutzklauseln und BCR.“[10]
II. Aktuelle Rechtsgrundlagen für den internationalen Datentransfer
1. Standardvertragsklauseln
a) Entwurf der Kommission
Im November 2020 veröffentlichte die Europäische Kommission den Entwurf neu gefasster Standardvertragsklauseln, die die Rechtsprechung des EuGHs in der Rechtssache Schrems II aufgreifen und in ihrer finalen Fassung die geltenden Standardvertragsklauseln (2001/497/EG) ablösen sollten.
Die weitergehenden Regelungen der überarbeiteten Klauseln betreffen insbesondere die Bestimmungen eines Drittlandes und bindende Ersuchen von Behörden auf Offenlegung von personenbezogenen Daten, die die vertraglichen Schutzmechanismen beeinträchtigen können. Ohne zusätzliche Maßnahmen sollen die Klauseln von den Vertragsparteien gleichwohl nur abgeschlossen werden können, wenn nach eingehender Prüfung der nationalen Rechtsordnung des Drittstaates feststeht, dass die vertraglichen Garantien in dem Drittland tatsächlich eingehalten werden können.[11]
Im Hinblick auf behördliche Anfragen sehen die neu gefassten Klauseln eine Abwehr- und Mitteilungspflicht des Datenimporteurs vor. Wird dieser zur Offenlegung von personenbezogenen Daten behördlich aufgefordert, verpflichtet er sich, dies dem Datenexporteur schnellstmöglich mitzuteilen.[12] Verstößt ein solches Vorgehen gegen ein (gesetzliches) Verbot, soll der Datenimporteur mit allen ihm zur Verfügung stehenden Mitteln dagegen vorgehen und alle gegen das Ersuchen der Behörde verfügbaren Rechtsmittel ausschöpfen.
Kommt der Datenimporteur sodann in eine Lage, in der er die Vorgaben der vereinbarten Klauseln nicht mehr einhalten kann, hat er den Datenexporteur entsprechend zu informieren. Dieser muss dann entscheiden, ob die Datenübertragung beendet wird oder ob zusätzliche Maßnahmen ergriffen werden können, die geeignet sind, ein angemessenes Schutzniveau zu gewährleisten. Kommt es zu fortgesetzten Verstößen und kann die Einhaltung der Klauseln nicht spätestens innerhalb eines Monats wiederhergestellt werden, ist der Datenexporteur zur Meldung an die Aufsichtsbehörde verpflichtet.[13]
Von beiderseitigem Interesse dürfte auch sein, dass den Parteien ein Widerrufsrecht zur kurzfristigen Lösung von den Standardvertragsklauseln zusteht, sofern die Europäische Kommission einen Angemessenheitsbeschluss für das betreffende Drittland erlässt.[14]
Neu ist auch, dass die geänderten Standardvertragsklauseln nicht nur zwischen Verantwortlichen und Auftragsverarbeitern vereinbart werden können. Vielmehr wird die Komplexität moderner Verarbeitungsketten berücksichtigt, indem unterschiedliche Module bereitgestellt werden, die verschiedene Datenübermittlungsszenarien erfassen.[15] Künftig können somit mehr als zwei Parteien die Standardvertragsklauseln vereinbaren, ungeachtet ihrer Eigenschaft als Verantwortlicher oder Auftragsverarbeiter. Ein nachträglicher Beitritt ist mit Zustimmung der anderen Parteien ebenfalls möglich.
b) Kritik des EDSA und EDSB an dem Entwurf
Der Entwurf der Standardvertragsklauseln wurde überwiegend positiv aufgenommen. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte („EDSB“) veröffentlichten am 14. Januar 2021 ein gemeinsames Statement zu dem Entwurf der neu gefassten Standardvertragsklauseln.[16] Darin zeigten sich EDSA und EDSB erfreut, dass einige Maßnahmen, die in den Empfehlungen 01/2020 des EDSA zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten enthalten waren, in den Entwurf der Standardvertragsklauseln Widerhall fanden.[17] Gleichwohl unterstrich das Gremium, dass seine Empfehlungen auch unter Geltung der Standardvertragsklauseln weiter von Relevanz seien und Anwendbarkeit beanspruchten.
Inhaltlich begrüßten EDSA und EDSB, dass die Standardvertragsklauseln klarstellende Ergänzungen zu den nationalen Rechtsvorschriften von Drittländern und Behördenanfragen mit dem Ziel des Zugriffs auf personenbezogene Daten enthalten, die zu vertragswidrigem Verhalten führen können. Zudem begrüßte der EDSA die Einrichtung eines ad-hoc Rechtsschutzmechanismus.[18]
In einigen Punkten sah der gemeinsame Ausschuss gleichwohl noch Korrekturbedarf. Hinsichtlich des Geltungsbereichs der Klauseln wurde die Klarstellung gefordert, dass der Geltungsbereich der Standardvertragsklauseln nicht gleichbedeutend mit dem Begriff der Übertragung sei.[19] Entsprechende Anpassungen wurden jedoch nicht in die Standardvertragsklauseln, die mit Durchführungsbeschluss vom 4. Juni 2021 beschlossen wurden, aufgenommen. Ziffer 1 a) der neu gefassten Standardvertragsklauseln sieht weiterhin vor, dass die Anforderungen der DS-GVO lediglich „bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden“. Richtigerweise hätte der Anwendungsbereich der Standardvertragsklauseln jedoch auch auf die Verarbeitung personenbezogener Daten im Drittland erweitert werden müssen, da die Klauseln dem Datenimporteuer entsprechende Pflichten auferlegen (zu nennen ist etwa die Pflicht des Datenimporteurs zur Löschung oder Berichtigung unrichtiger Daten gemäß Ziffer 8 lit. a) der Standardvertragsklauseln).
EDSA und EDSB begrüßen die Möglichkeit des nachträglichen Beitritts weiterer Parteien bei Zustimmung aller Beteiligten, forderten aber zusätzlichen Regelungsbedarf hinsichtlich der diesbezüglichen Rahmenbedingungen (z.B. Frist, Form, Informationspflicht). Denn in der Praxis dürften sich die Fragen stellen, wie und wann die Zustimmung von den Ursprungsparteien erteilt werden muss und welche Angaben zum Zeitpunkt der Zustimmung bereits gegeben sein müssen.[20]
Von besonderer praktischer Bedeutung ist auch die vorzunehmende Beurteilung des Daten exportierenden Unternehmens. EDSA und EDSB betonen, dass bei der Prüfung allein objektive Faktoren zu berücksichtigen seien und die subjektive Wahrscheinlichkeit eines (etwa behördlichen) Zugriffs auf personenbezogenen Daten bei der Beurteilung nicht herangezogen werden könne.[21] Vor diesem Hintergrund wurde gefordert, die der Auslegung zugängliche Klausel, dass der Datenexport erfolgen könne, soweit der Datenexporteur bislang keinen Antrag auf Offenlegung der Daten erhalten habe, umzuformulieren.[22] In Teilen ist dies geschehen. In den nun beschlossenen Klauseln spielen der Inhalt und die Dauer des Vertrages, der Umfang und die Regelmäßigkeit der Datenübertragung sowie einschlägige praktische Erfahrungen mit früheren Fällen und das Fehlen beim Datenimporteur eingegangener Auskunftsersuchen von Behörden keine ausdrückliche Erwähnung und mithin keine Rolle mehr bei der Beurteilung der Gepflogenheiten und Bestimmungen im Drittland.
Konkrete Anhaltspunkte für die Auswahl und Wirksamkeit ergänzender Maßnahmen können den beschlossenen Standardvertragsklauseln nicht entnommen werden. Der EDSA führt hingegen aus, dass die Kombination vertraglicher, technischer und organisatorischer Art den Datenschutzstandard verbessern und auf diesem Wege möglicherweise eine Angleichung an den EU-Standard erreicht werden könne. Dabei sollen vertragliche und organisatorische Maßnahmen allein zwar nicht geeignet sein, den Zugriff staatlicher Stellen des Drittlands zu vereiteln.[23] In Anhang 2 der Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten nennt der EDSA jedoch einige Beispiele für zusätzliche Maßnahmen, die der Datenexporteur treffen kann.
2. Ergänzende Schutzmaßnahmen
Zusätzliche Schutzmaßnahmen sollten nach Auffassung des EDSA sowie nach Ziffer 14 lit. b) iii) der neu beschlossenen Standardvertragsklauseln grundsätzlich so eingerichtet werden, dass sie nicht von den Behörden des Drittstaats überwunden werden können. So ist, etwa eine Anonymisierung oder Pseudonymisierung der personenbezogenen Daten denkbar, sofern nur der Datenexporteur die Zuordnung vornehmen kann.[24]
Der Europäische Datenschutzausschuss veröffentlichte am 10. November 2020 Empfehlungen für entsprechende, ergänzende Maßnahmen. Das Gremium betont die Verantwortung jedes Datenexporteurs zur Überprüfung von Übermittlungen in Drittländer und die Pflicht sicherzustellen, dass ein vergleichbares Schutzniveau für die personenbezogenen Daten, gewährleistet ist.[25] Zur konkreten Umsetzung schlägt der EDSA folgendes sechsstufiges Verfahren vor.
Stufe 1: Dokumentation
Auf erster Stufe sollen alle Übermittlungen personenbezogener Daten in ein Drittland, wenn vorhanden, im Verarbeitungsverzeichnis, dokumentiert werden („Know your Transfers“). Als Datenübermittlung versteht der EDSA dabei jede Zugriffsmöglichkeit aus einem Drittland, auch zu Wartungszwecken. Auch Weiterübermittlungen an Subunternehmer in Drittländern werden umfasst. Die Ermittlung sämtlicher Datentransfers in Drittländer soll dem Datenexporteur dazu verhelfen, die nachfolgenden weiteren Maßnahmen zu bestimmen.
Stufe 2 und Stufe 3: Auswahl eines Transferinstruments und Prüfung der Rechtslage im Drittland
Sodann soll der Datenexporteur das Übermittlungsinstrument nach Kapitel V der DS-GVO festlegen. Hierfür hat er die Rechtslage im Drittland zu beurteilen und die Effektivität der dort vorgesehen Garantien zu überprüfen. Liegt ein Angemessenheitsbeschluss für das Drittland vor, kommt es auf die Garantien hingegen nicht mehr an. Nach Auswahl des Übermittlungsinstruments muss der Datenexporteur prüfen, ob dieses auch tatsächlich effektiv ist.[26] Die Rechtsprechung des EuGH in Schrems II aufgreifend, verlangt der EDSA in dem Drittland ein mit dem in der Europäischen Union gleichwertiges Schutzniveau, das nicht durch das Recht oder die Praxis des Drittlandes beeinträchtigt wird.[27] Eine entsprechende Formulierung findet sich nun auch in den neu beschlossenen Standardvertragsklauseln wieder.
Stufe 4: Ergänzende Maßnahmen
Kommt der Datenexporteur zu dem Ergebnis, dass das Schutzniveau in dem Drittland nicht gleichwertig zu dem in der Europäischen Union gewährleisteten Schutzniveau ist, hat er zusätzliche Maßnahmen, zu den Maßnahmen nach Art. 46 DS-GVO, auszuwählen und zu ergreifen. Welche Maßnahmen konkret in Frage kommen, hat der Datenexporteur anhand seiner bereits in den Schritten 1 bis 3 getroffenen Feststellungen zu ermitteln. In Betracht kommen neben technischen Maßnahmen auch solche vertraglicher oder organisatorischer Art. Als Beispiele für zusätzliche technische Maßnahmen nennt der EDSA im Anhang seiner Empfehlung die Datenverschlüsselung oder Pseudonymisierung vor Übermittlung in das Drittland, die Datenübermittlung an einen nach dem Recht des Drittlandes geschützten Empfänger und eine Verarbeitung durch mehrere Beteiligte, bei der die einzelnen Datenstücke ohne zusätzliche Informationen nicht mehr einer betroffenen Person zugeordnet werden können. Vertraglich sind Verpflichtungen zur Verwendung spezifischer technischer Maßnahmen und zur Einhaltung bestimmter Verfahren, Transparenzregelungen und Zustimmungserfordernisse denkbar. Der Datenexporteur kann zudem organisatorische Vorgaben in Form von internen Grundsätzen betreffend den Regelungsrahmen für Übermittlungen aufstellen, Maßnahmen in Bezug auf Transparenz und Rechenschaftspflicht vorsehen sowie solche, die auf eine Datenminimierung abzielen. Dabei kommt es wohlgemerkt auf den spezifischen Einzelfall an, weshalb eine bestimmte Maßnahme nicht stets gleich effektiv sein dürfte.[28]
Stufe 5: Verfahrenseinleitung
Die sodann erforderlichen Schritte richten sich nach dem ausgewählten Übertragungsinstrument. Wird die Datenübermittlung auf die Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) und d) DS-GVO gestützt und sollen zusätzliche Maßnahmen getroffen werden, die diese ergänzen, ist keine Genehmigung der Aufsichtsbehörde erforderlich. Dies gilt jedenfalls soweit die zusätzlichen Maßnahmen die Standardvertragsklauseln nicht konterkarieren und das gewährleistete Datenschutzniveau nicht beeinträchtigen.[29]
Stufe 6: Regelmäßige Neubewertung
Der Datenexporteur ist verpflichtet, das Datenschutzniveau in dem Drittland, in das er personenbezogene Daten übermittelt, sowie die von ihm getroffenen Maßnahmen regelmäßig auf ihre Angemessenheit zu überprüfen. Zudem muss er Vorkehrungen treffen, die sicherstellen, dass Datenübertragungen umgehend ausgesetzt oder beendet werden, wenn der Datenimporteuer die ihm auferlegten Pflichten verletzt oder die zusätzlich eingerichteten Maßnahmen in dem Drittland nicht mehr sicher sind.
3. Einwilligung, Art. 49 Abs. 1 lit. a) DS-GVO
Fehlt nach allem weiterhin eine Rechtsgrundlage für den Datentransfer in ein Drittland, kann eine Übermittlung personenbezogener Daten möglicherweise auf der Grundlage einer Einwilligung der betroffenen Person in die Datenübermittlung erfolgen. Es handelt sich bei Art. 49 Abs. 1 lit. a) DS-GVO jedoch um eine Ausnahmevorschrift, die eine qualifizierte Information der betroffenen Person vor Einwilligungserklärung vorsieht.
a) Ausnahmecharakter und Verzicht
Da die Daten nach ihrer Übertragung in das Drittland auf Grundlage von Art. 49 DS-GVO keinen der DS-GVO vergleichbaren Schutz genießen, stellen die dort genannten Maßnahmen Ausnahmetatbestände dar.[30] Dies gilt nach Erwägungsgrund 111 zur DS-GVO jedenfalls für die Tatbestände der Art. 49 Abs. 1 lit. b), c) und e) DS-GVO, da in diesen Fällen nur gelegentliche Übermittlungen legitimiert werden.[31] Liegt eine Einwilligung vor, geht zwar grundsätzlich der autonome Wille der betroffenen Person vor.[32] Nach den Datenschutzaufsichtsbehörden könnte die Grenze der Wirksamkeit aber da erreicht sein, wo geeignete Garantien für den Schutz der personenbezogenen Daten im Drittland nicht (mehr) bestehen.[33] Diese dürfte nach der Rechtsauffassung des EuGHs jedenfalls dann überschritten sein, wenn kein gleichwertiges Schutzniveau im Drittland besteht. Für den Ausnahmecharakter der Vorschrift sprechen überdies auch die Überschrift von Art. 49 DS-GVO, die „Ausnahmen für bestimmte Fälle“ vorsieht und die noch strengere Regelung des Art. 49 Abs. 1 UAbs. 2 DS-GVO.[34]
Die Beschränkung der Einwilligungsfähigkeit des Betroffenen steht jedoch im Spannungsverhältnis mit dem Recht auf datenschutzrechtliche Selbstbestimmung, für das die Einwilligung in widersprüchlicher Weise das zentrale Mittel darstellt. Es stellt sich daher die Frage, ob die DS-GVO und die in ihr gewährleisteten Rechte disponibel sind und von der einzelnen betroffenen Person (mittels Einwilligung) abbedungen werden können. Gerichtlich wurde die Frage bislang nicht abschließend geklärt. Der BfDI äußerte 2019, dass er einen solchen Verzicht jedenfalls im Bereich der öffentlichen Verwaltung datenschutzrechtlich nicht für vertretbar erachtet.[35]
b) Ausdrückliche informierte Einwilligung
Eine Datenübermittlung auf Grundlage einer Einwilligung ist des Weiteren auch im Einzelfall nur zulässig, wenn die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich einwilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Damit werden die Anforderungen des Art. 4 Nr. 11 DS-GVO in Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO konkretisiert.
Daher ist bei einem Datenexport in Drittstaaten darüber zu informieren, in welche Länder die Daten (ggf.) übertragen werden, da das Zielland Einfluss auf die Entscheidung des Betroffenen nehmen kann, ob er eine Datenübertragung gestattet oder nicht.[36] Der Datenexporteur hat dabei nicht nur darzulegen, dass in dem betreffenden Drittland kein gleichwertiges Schutzniveau für personenbezogene Daten besteht. Vielmehr hat er über die konkret bestehenden Risiken in dem Drittstaat zu informieren. Es reicht jedoch auf, die Risiken zu umreißen; Einzelheiten über die Rechtslage im Drittstaat sind nicht mitzuteilen.[37]
Das Erfordernis der „Ausdrücklichkeit“ der Einwilligung in Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO geht über die Anforderungen an eine Einwilligung in Art. 4 Nr. 11 DS-GVO hinaus. Nach den Aufsichtsbehörden reicht für eine qualifizierte Einwilligung in die Datenübermittlung in Dritttaaten insoweit nicht aus, dass die betroffene Person eine „sonstige eindeutige bestätigende Handlung“ vornimmt.[38] Vor diesem Hintergrund ist somit ebenfalls zweifelhaft, ob die pauschale Annahme von Allgemeinen Geschäftsbedingungen, insbesondere in Form von Datenschutzerklärungen, eine ausdrückliche Einwilligung im Sinne des Art. 49 DS-GVO darstellt.
4. Datenübermittlung im berechtigten Interesse
Auch wenn einer der Erlaubnistatbestände des Art. 49 Abs. 1 U Abs. 1 DS-GVO nicht vorliegt, kann eine Datenübermittlung in ein Drittland gestattet sein, Art. 49 Abs. 1 UAbs. 2 DS-GVO. Dies erfordert allerdings das Vorliegen mehrerer kumulativer Voraussetzungen: die Übermittlung erfolgt nicht wiederholt, sie betrifft nur eine begrenzte Zahl von betroffenen Personen, ist für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich, die Interessen oder Rechte und Freiheiten der betroffenen Person überwiegen nicht, und der Verantwortliche hat alle Umstände der Datenübermittlung beurteilt und auf der Grundlage seiner Beurteilung geeignete Garantien für den Schutz personenbezogener Daten vorgesehen.[39]
Aufgrund der hohen Anforderungen an die Datenübermittlung, stellt die Ermächtigungsgrundlage des berechtigten Interesses jedoch keinen Ersatz für die Garantien nach Art. 45 ff. DS-GVO dar. Ob ein überwiegendes berechtigtes Interesse zu bejahen ist, ist stets im Einzelfall anhand der Art der personenbezogenen Daten, des Zwecks, der Verarbeitungsdauer und der Situation im Ausgangsland sowie im Zielstaat festzustellen. Erwägungsgrund 113 zur DS-GVO Satz 4 nennt beispielsweise wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke, bei denen auch die gesellschaftlichen Erwartungen an einem Wissenszuwachs zu berücksichtigen sind.
III. Fazit
Datenexporteuren stehen aufgrund der Schrems II-Entscheidung des EuGH auch nach der Neufassung der Standardvertragsklauseln weiterhin nur im geprüften Einzelfall Mittel zur Verfügung, die eine datenschutzkonformeÜbermittlung personenbezogener Daten in einen Drittstaat ermöglichen.
Betroffene Personen können daneben zwar gemäß Art. 49 Abs. 1 Satz 1 lit. a) in die Übertragung ihrer personenbezogenen Daten in ein Drittland einwilligen. Es verbleibt jedoch insbesondere für wiederholte Datenübertragungen eine gewisse Rechtsunsicherheit, da aufgrund der systematischen Stellung der Vorschrift eine Einwilligung nur in bestimmten Ausnahmefällen Legitimationswirkung zukommen dürfte. Zudem würde eine Einwilligung in die Übermittlung personenbezogener Daten in ein Drittland, das kein der Europäischen Union gleichwertiges Datenschutzniveau bietet, den Verzicht auf die hierzulande garantierten Rechte erfordern. Zwar ist die Frage, ob die DS-GVO dispositives Recht enthält, von der Rechtsprechung bislang noch nicht beantwortet worden. Da die DS-GVO selbst jedoch nur bedingte Öffnungsklauseln vorsieht und der EuGH festgestellt hat, dass die in der DSGVO festgelegte Schutzhöhe auch auf der Grundlage der Standardvertragsklauseln gewährleistet bleiben muss, bestehen erhebliche Bedenken, dass die Einwilligung einer betroffenen Person eine andere Bewertung rechtfertigen würde. Dafür spricht letztlich auch die eingeschränkte Öffnungsklausel des Art. 23 DS-GVO.
Die neu beschlossenen Standardvertragsklauseln enthalten einige Klarstellungen und tragen insofern zu einer ersten Steigerung der Rechtssicherheit bei. Zu begrüßen ist insbesondere, dass sich die überarbeiteten Standardvertragsklauseln an dem Prüfungsmaßstab des Art. 23 DS-GVO orientieren und damit an normativen Vorgaben. Unter Berücksichtigung der Rechtsprechung des EuGHs zu Schrems II enthalten die Klauseln ferner dokumentierte und qualifizierte Pflichten für Datenexporteure und -importeure. Neben Prüfpflichten in Bezug auf die Angemessenheit des Datenschutzniveaus ist nunmehr auch eine unmittelbare Mitteilungspflicht des Datenexporteurs an die Aufsichtsbehörde vorgesehen, sobald das Schutzniveau unterschritten wird, so dass die Kontrollmechanismen der Behörden erweitert wurden.
Die Verpflichtung des Datenimporteurs gegen Anfragen und etwaige Maßnahmen nationaler Behörden vorzugehen, belastet hingegen den Datenimporteur im Fall einer Auskunftsanfrage. Die Frage der Kostenverteilung entsprechender Prüf- und Abwehrmaßnahmen bleibt indes offen. Daher dürften anfangs vor allem kleine und mittelständische Unternehmen auf beiden Seiten zögern, die neuen Standardvertragsklauseln abzuschließen.
Kleinere und mittelständische Unternehmen dürften auch zögerlich agieren, soweit der EDSA bei Unterschreitung des in der Union gewährleisteten Datenschutzniveaus die Einrichtung zusätzlicher Maßnahmen empfiehlt. In diesem Fall soll nämlich der Datenexporteur die Rechtsordnung des Ziellandes kennen bzw. sich Kenntnis verschaffen und auf ein gleichwertiges Datenschutzniveau überprüfen. Ohne jegliche Vorgaben des Gesetzgebers oder der zuständigen Behörden geht diese Pflicht allerdings sehr weit und dürfte viele betroffene Unternehmen überfordern. Es wäre daher zu befürworten, dass offizielle Stellen eine allgemein gültige Liste über kritische datenschutzrechtliche Aspekte in Rechtsordnung und Verwaltungspraxis von Drittländern bereitstellen, die den Datenexporteuren als Grundlage der Bewertung dienen.
Bis dahin dürfte im Hinblick auf die durchzuführende Prüfung und etwaige ergänzende Schutzmaßnahmen – mangels konkreter Angaben in den Standardvertragsklauseln – nur der Rückgriff auf die Handlungsempfehlungen des EDSA bleiben. Dabei darf aber nicht außer Acht gelassen werden, dass es sich bei den Empfehlungen des EDSA um unverbindliche Vorgaben handelt, die lediglich als Auslegungshilfe herangezogen werden können. Solange den Verantwortlichen und Auftragsverarbeitern indes von legislativer oder judikativer Seite keine geeigneten Prüfmechanismen an die Hand gegeben werden, sorgen die Empfehlungen des EDSA neben den neu beschlossenen Standardvertragsklauseln noch für eine erste Rechtsklarheit. Es bleibt jedoch zu hoffen, dass diesen ersten Schritten zur Rechtssicherheit weitere folgen.
Nadine Eichmann
ist als Rechtsanwältin bei nbs partners in Hamburg tätig. Spezialisiert auf die Bereiche IT- und Datenschutzrecht berät sie zu allen juristischen Fragenstellungen, die im Wege der Digitalisierung von Unternehmensprozessen aufkommen. Zu ihrer Tätigkeit gehört neben der rechtlichen Begleitung von Systemumstellungen auch die Durchführung datenschutzrechtlicher Analysen und die Gestaltung von IT-Verträgen. Durch ihre Fokussierung auf den digitalen Bereich ist Nadine Eichmann gefragte Ansprechpartnerin für IT-Projekte und Datenschutz in Telemedien und E-Commerce.
Jaroslaw Norbert Nowak
ist als Rechtsanwalt bei nbs partners in Hamburg tätig. Aufgrund seiner langjährigen Berufserfahrung ist er ein erfahrener und qualifizierter Ansprechpartner im Handels- und Gesellschaftsrecht sowie Insolvenzrecht. Hierbei berät er auch in den Bereichen des Datenschutzes und der Compliance. Ferner liegt sein weiterer Schwerpunkt im Energierecht, wo er die Interessen von Energieversorgern und Industriekunden vertritt. Er unterstützt u.a. bei der Implementierung eines funktionierenden Managementsystems, der Durchführung von Gefährdungsanalysen und der Umsetzung von datenschutzrechtlichen Maßnahmen.
[1] Landesbeauftragter für Datenschutz und Informationsfreiheit BadenWürttemberg, Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer, Stand: 25.08.2020.
[2]Https://datenschutz-hamburg.de/pressemitteilungen/2021/06/2021-06-01-fragebogen-datentransfer
[3] EuGH vom 16.07.2020 – C-311/18 Rn. 94
[4] Abschnitt 1.5 des Anhangs II Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes.
[5] EuGH vom 16.07.2020 – C-311/18 Rn. 180
[6] EuGH vom 16.07.2020 – C-311/18 Rn. 180.
[7] EuGH vom 16.07.2020 – C-311/18 Rn. 104.
[8] Siehe Ziffer II. 2. a. aa.
[9] EuGH vom 16.07.2020 – C-311/18 Rn. 113.
[10] BfDI, Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“) vom 08.10.2020.
[11] Erwägungsgrund 21 (EU) 2021/914 der Kommission vom 04.06.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
[12] Ziffer 15 (EU) 2021/914 der Kommission vom 04.06.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
[13] Ziffer 16 c) (EU) 2021/914 der Kommission vom 04.06.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
[14] Ziffer 16 e) (EU) 2021/914 der Kommission vom 04.06.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
[15] Erwägungsgrund 10 (EU) 2021/914 der Kommission vom 04.06.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
[16] EDPB-EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries
[17] EDPB-EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries, Rn. 20
[18] Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Rn. 19
[19] Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Rn. 28
[20] Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Rn. 46.
[21] Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Rn. 86.
[22] Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Rn. 87
[23] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10.11.2020, Rn. 48.
[24] Landesbeauftragter für Datenschutz und Informationsfreiheit Baden Württemberg in Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? Stand 25.08.2020, S. 5.
[25] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10.11.2020.
[26] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10.11.2020, Rn. 28.
[27] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10.11.2020, Rn. 29 f.
[28] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10.11.2020, Rn. 47 f.
[29] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10.11.2020, Rn. 56.
[30] BeckOK DatenschutzR/Lange/Filip, 33. Ed. 01.08.2020, DS-GVO Art. 49 Rn. 1
[31] BeckOK DatenschutzR/Lange/Filip, 33. Ed. 01.08.2020, DS-GVO Art. 49 Rn. 2
[32] BeckOK DatenschutzR/Lange/Filip, 33. Ed. 01.08.2020, DS-GVO Art. 49 Rn. 2.
[33] EDSA-Leitlinien 2/2018, S.5.
[34] So auch Landesbeauftragter für Datenschutz und Informationsfreiheit Baden Württemberg in Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?, Stand 25.08.2020, S. 5.
[35] BfDI, Pressemitteilung vom 16.11.2019 BfDI fordert datenschutzgerechte Kommunikation mit der Krankenkasse.
[36] BeckOK DatenschutzR/Lange/Filip, 34. Ed. 01.08.2020, DS-GVO Art. 49 Rn. 7.
[37] BeckOK DatenschutzR/Lange/Filip, 34. Ed. 01.08.2020, DS-GVO Art. 49 Rn. 8.
[38] EDSA-Leitlinien 2/2018, 22
[39] Paal/Pauly/Pauly, 2. Aufl. 2018, DS-GVO Art. 49 Rn. 28.