Aktuelles

Handlungsempfehlungen: EuGH EU-US Privacy Shield und EU-Standardvertragsklauseln

 
Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten weiterhin rechtskonform in Drittländer übermittelt werden können. Die GDD möchte diesbezüglich Handlungsempfehlungen geben, um Verantwortliche und deren Datenschutzbeauftragte bei der Umsetzung zu unterstützen.

EuGH zu EU-US Privacy Shield und EU-Standardvertragsklauseln: Handlungsempfehlungen der GDD für Unternehmen

 

GDDEmpfehlungenPrivacyshield

22.07.2020

Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten weiterhin rechtskonform in Drittländer übermittelt werden können. Die GDD möchte diesbezüglich Handlungsempfehlungen geben, um Verantwortliche und deren Datenschutzbeauftragte bei der Umsetzung zu unterstützen.

 

1. EU-US Privacy Shield

Tatsache ist, dass nach dem o.g. EuGH Urteil personenbezogene Daten aus der Europäischen Union nicht mehr auf Basis des EU-US Privacy Shield Abkommens in die Vereinigten Staaten übermittelt werden können. Da der Abschluss einer Nachfolgeregelung zum EU-US Privacy Shield nicht absehbar ist, muss unverzüglich auf einen anderen Mechanismus zur Legitimation personenbezogener Datenübermittlungen an Datenverarbeiter mit Sitz in den USA gem. Kapitel V der DS-GVO umgestellt werden.

 

2. EU-Standardvertragsklauseln

Laut Aussage der EuGH-Richter können die sog. EU-Standardvertragsklauseln[1] weiterhin unter bestimmten Voraussetzungen für die Übermittlung personenbezogener Daten in ein Drittland verwendet werden. Allerdings besteht eine Prüfpflicht auf Seiten des Verantwortlichen (Datenexporteur) sowie des Datenimporteurs. Diese Prüfpflicht bezieht sich darauf, ob die Standardvertragsklauseln für die Übermittlung bereits hinreichende Garantien bieten oder ob zusätzliche Garantien geschaffen bzw. vereinbart werden müssen. Dies erfordert in der Praxis eine Neubewertung bereits im Einsatz befindlicher internationaler Datenflüsse.

 

a) Bestandsaufnahme

Anhand der vorhandenen Verfahrensverzeichnisse sind die Datenübermittlungen in Länder außerhalb des Europäischen Wirtschaftsraums zu identifizieren und anhand der verwendeten Garantien zu kategorisieren. Die bestehende Prüfpflicht des Datenexporteurs hinsichtlich der Vereinbarkeit der Gesetze im Land des Datenimporteurs mit den Vorgaben der Standardvertragsklauseln und die Mitwirkungspflichten des Importeurs gelten allgemein bei Datenübermittlungen unter Verwendung der Standardvertragsklauseln der Kommission.

 

b) Art, Umfang, Zweck und Empfänger der Datenübermittlung

Nach der Bestandsaufnahme sollten die Umstände der Datenübermittlung hinsichtlich Art, Umfang, Zweck (z.B. im Rahmen einer Vertragserfüllung oder zur Wahrung organisatorischer Interessen) sowie des Empfängers der verarbeiteten Daten erneut untersucht werden. Besagte Einordnung kann zum einen die Grundlage für die Prüfung der Angemessenheit des Datenexports in das Rechtssystem im Empfängerland bilden. Zum anderen kann der Verantwortliche prüfen, inwieweit die übermittelten Daten überhaupt dem landesspezifischen Risiko bspw. eines Zugriffs durch Sicherheitsbehörden ohne adäquate Rechtsschutzmöglichkeit ausgesetzt werden sollen.

Empfehlung: Neu-Analyse der in das Drittland übermittelten personenbezogenen Daten hinsichtlich ihrer Art, des Umfangs, dem Zweck der Verarbeitung sowie der vorgesehenen Empfänger.

 

c) Technisch-organisatorische Maßnahmen

Soweit möglich, sollte ein rechtswidriger Zugriff auf übermittelte personenbezogene Daten durch angemessene technisch-organisatorische Maßnahmen (Art. 32 DS-GVO) ausgeschlossen sein. Daher sollte seitens des Verantwortlichen insbesondere geprüft werden, ob auf technischer Ebene durch Einsatz einer (Ende-zu-Ende-)Verschlüsselung nach dem Stand der Technik[2] unter Verwendung eines starken Kryptoalgorithmus ein solcher Schutz möglich ist. Hierbei ist auch zu berücksichtigen, inwieweit die Schlüsselverwaltung durch den Verantwortlichen beherrscht werden kann und ob Daten nur beim Transport (data in transit) verschlüsselt sind oder auch auf datenverarbeitenden Servern (data at rest). Maximale Sicherheit bietet hier allein die Ende-zu-Ende-Verschlüsselung (E2EE).

 

d) Angemessenheit des Schutzniveaus beim Empfänger des Datenexports

Wie der EuGH im Tenor des Urteils (Randziffer 202 Nr. 2) ausführt, hat sich der verantwortliche Datenexporteur mit Hinweisen zu befassen, ob dem Datenimporteur die Einhaltung der Standardvertragsklauseln möglich ist, insbesondere ob unverhältnismäßige Eingriffsmöglichkeiten für Behörden hinsichtlich der übermittelten personenbezogenen Daten bestehen. Die Prüfung der Angemessenheit eines Schutzniveaus kann noch weitere Kriterien beinhalten. Art. 45 Abs. 2 DS-GVO bietet Hinweise, anhand welcher Kriterien sich eine Überprüfung des Datenexporteurs noch vollziehen kann.

Empfehlung: Regelmäßige Überprüfung des Datenimporteurs der EU-Standardvertragsklauseln durch den Datenexporteur auf Hinweise für bestehende, den Standardvertragsklauseln entgegenstehende Gesetze. Hierbei sind insbesondere behördliche Zugriffsmöglichkeiten auf personenbezogene Daten des Datenexporteurs und deren Verhältnismäßigkeit mit Blick auf die gesetzlichen Vorgaben in der EU bzw. im Land des Datenexporteurs zu evaluieren.

In die Prüfung des Schutzniveaus können auch Hinweise und Zusicherungen des Datenimporteurs grundsätzlich einbezogen werden (bspw. dass der Datenexporteur unverhältnismäßige und der DS-GVO widersprechende Anordnungen ggf. anfechten wird). Bezüglich der Ungültigkeit des EU-US Privacy Shields gibt es bereits Hinweise von Dienstleistern, wie auf die aktuelle Rechtslage reagiert wurde und eine Rechtskonformität ermöglicht werden kann.[3]

 

e) Vertragliche Maßnahmen

Die EU-Standardvertragsklauseln enthalten die Möglichkeit, über geschäftsbezogene Klauseln weitere Garantien für Rechte und Freiheiten von Betroffenen zu vereinbaren. Bei bereits abgeschlossenen Standardverträgen bietet sich zunächst das Einholen einer aktualisierten Bestätigung des Datenimporteurs an, dass nach seinem Kenntnisstand keine den Standardvertragsklauseln entgegenstehende Gesetze in seinem Land bestehen.

Empfehlung: Bei bereits bestehenden Verträgen: Einholen der Bestätigung des Datenimporteurs, dass im Empfängerland nach seinem Kenntnisstand keine Gesetze bestehen, die einer vertragsgemäßen Verarbeitung personenbezogenen Daten entgegenstehen. Je nach Einflussmöglichkeit auf die Vertragsgestaltung mit dem Datenimporteur kann eine Konkretisierung der Zulässigkeit behördlicher Datenzugriffe über eine geschäftsbezogene Klausel aufgenommen werden.
Empfehlung (optional): Aufnahme einer Vertragsklauseln, die die Übermittlung der auftragsbezogenen personenbezogenen Daten an eine Behörde im Drittland hinsichtlich ihrer Vereinbarkeit mit der DS-GVO zur Bedingung macht. Um als Datenexporteur die Datenübermittlung an Behörden im Einzelfall beurteilen zu können, kann alternativ über eine Vertragsklausel eine Genehmigungspflicht des Datenexporteurs für behördliche Datenzugriffe vereinbart werden. Dadurch erlangt der Datenexport Kenntnis von der behördlichen Anfrage und kann diese auf Zulässigkeit prüfen.
Empfehlung (optional): Aufnahme einer Vertragsklausel, die einen behördlichen Datenzugriff beim Datenimporteur von einer vorherigen transparenten Information und nachfolgender Genehmigung des Datenexporteurs abhängig macht.

 

f) Stimmungsbild der Aufsichtsbehörden

Die Möglichkeit des Exports personenbezogener Daten auf Basis der EU-Standardvertragsklauseln wird unter den deutschen Aufsichtsbehörden insbesondere bezüglich der Vereinigten Staaten momentan unterschiedlich beurteilt.

Empfehlung: In Abhängigkeit der Zuständigkeit der jeweiligen Aufsichtsbehörde sollten Stellungnahmen der Behörden zur Zulässigkeit der Datenübermittlung in ein Drittland regelmäßig durch den Datenexporteur geprüft werden.[4] Der Europäische Datenschutzausschuss hat jedoch angekündigt, dass es in Reaktion auf das EuGH-Urteil zu Schrems II konsolidierte Handlungsempfehlungen für Datenverarbeiter in der Europäischen Union geben wird.

 

3. Angemessenheitsbeschlüsse der Kommission

Angemessenheitsbeschlüsse der Kommission beinhalten die rechtsverbindliche Aussage darüber, ob das jeweilige Drittland ein mit Blick auf den Schutz personenbezogener Daten in der Europäischen Union überwiegend gleichwertiges Datenschutzniveau bietet. Da sich die Entscheidung des EuGH lediglich auf das EU-US Privacy Shield im Bereich der Angemessenheitsbeschlüsse bezogen hat, sind die sonstigen Beschlüsse der EU-Kommission weiterhin gültig:

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Besondere Prüfpflichten bestehen für Datenexporteure mit Blick auf die Rechtslage im betroffenen Drittland nicht. Dies ist Sache der Kommission, die ihre Beschlüsse regelmäßig zu evaluieren hat (vgl. Art. 45 Abs. 3 S. 2 DS-GVO). Unbeschadet einer Kommissionsentscheidung ist es den Aufsichtsbehörden jedoch unbenommen, Datenexporte in Drittländer unter Geltung eines Angemessenheitsbeschlusses zu untersagen.

 

4. Andere Garantien (Art. 46 DS-GVO) oder Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)

Da sich die Feststellungen des EuGH auf das EU-US Privacy Shield und die EU-Standardvertragsklauseln beschränkten, sind die übrigen Garantien des Art. 46 DS-GVO sowie die Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO) grundsätzlich weiter dazu geeignet, personenbezogene Daten in ein Drittland zu exportieren.

Hinsichtlich des Wunsches nach einer kurzfristigen Umstellung der bisher verwendeten Garantien, so insbesondere mit Blick auf das EU-US Privacy Shield Abkommen, sind die praktischen Besonderheiten zu beachten. Die übrigen in der DS-GVO zur Verfügung stehenden Garantien für den Drittlandtransfer sind in ihrer Implementierung entweder zeit- und kostenintensiv (z.B. die Entwicklung und Implementierung von Binding Corporate Rules gem. Art. 46 Abs. 2 lit. b DS-GVO) oder bedürfen der Genehmigung der zuständigen Aufsichtsbehörde (z.B. die Ad-Hoc-Vertragsklauseln gem. Art. 46 Abs. 3 lit. a DS-GVO). Alternative Garantien gem. Art. 46 DS-GVO sind zur kurzfristigen Legitimierung eines Datentransfers, z.B. in die USA, daher grundsätzlich ungeeignet.

Die “Ausnahmen für bestimmte Fälle” gem. Art. 49 DS-GVO sind bereits ihrer gesetzlichen Überschrift nach lediglich für Ausnahmefälle gedacht und teilweise auf gelegentliche Übermittlungen begrenzt, bspw. im Rahmen der Einwilligung des Betroffenen, der Vertragserfüllung oder der Verfolgung oder Verteidigung von Rechtsansprüchen (vgl. ErwG 111 S. 1 DS-GVO). Die Ausnahmen für bestimmte Fälle gem. Art. 49 DS-GVO sind für die Legitimierung ausgelagerter Geschäftsprozesse grundsätzlich ebenso ungeeignet.

 

Weitere Informationen zur EU-US-Privacy-Shield-Entscheidung und zu EU-Standardvertragsklauseln finden Sie hier

 

[1] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

[2] Z.B. https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

[3] Die GDD hat bereits mit einer ersten Zusammenstellung begonnen: https://www.gdd.de/eu-us-privacy-shield-schrems-ii-urteil/Ansichten-Softwarehersteller-AV-eu-us-privacy-shield

[4] Die GDD aktualisiert regelmäßig Stellungnahmen der Aufsichtsbehörden in Reaktion auf das Urteil des EuGH in Sachen Schrems: https://www.gdd.de/eu-us-privacy-shield-schrems-ii-urteil/ansichten-der-aufsichtsbehoerden-eu-us-privacy-shield.