Datenschutzwissen

Pressemitteilung zum Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 28. Juli 2020 zum Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) eine Pressemitteilung herausgegeben.

Darin führt sie aus:

[...] Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
  2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. [...] Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
  3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ - BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
  4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind.
  5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Das Urteil betrifft damit jede Beauftragung von US-Dienstleistern oder Dienstleistern, die sich zur Erbringung ihrer Dienste US-Unterauftragnehmern bedienen, wobei eine Speicherung in den USA stattfindet, und auch Webseiten, wenn personenbezogene Daten des Besuchers an Stellen in die USA übermittelt werden, z. B.

  • Google Analytics
  • Social Media bei Facebook, Twitter und Instagram
  • Videokonferenzsysteme US-amerikanischer Anbieter (z. B. Zoom, MS Teams)
  • Hosting von Services in US-amerikanischer Infrastruktur (z. B. AWS, MS Azure, Cloudflare)

Das Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die Auflagen des Vertragswerks einhalten kann.

Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.

Die Berliner Datenschutzbeauftragte vertritt die konsequenteste Position und fordert, umgehend Drittlandübermittlungen einzustellen und zu Nicht-US-Anbietern, bevorzugt zu europäischen Anbietern zu wechseln bzw. in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Eine Verlagerung des Hostings von personenbezogenen Daten von den USA in einen Mitgliedsstaat der Europäischen Union löst aber das Problem nicht, weil nach den Vorschriften des sogenannten CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) vom März 2018 auch die Daten dem Zugriff von US-Stellen unterliegen, die von US-Unternehmen außerhalb der Vereinigten Staaten gespeichert werden. Es spielt deshalb nur eine untergeordnete Rolle, ob z. B. Microsoft die Daten seiner europäischen Kunden in den USA oder in Frankfurt in einem Datacenter speichert. Die US-Geheimdienste dürfen so oder so auf die Daten zugreifen.

Zur Prüfpflicht siehe:

Was kann bzw. muss nun unternommen werden?

Schritt 1:

Die Aufsichtsbehörden empfehlen, anhand des Verzeichnisses von Verarbeitungstätigkeiten die Verarbeitungen, bei denen Daten auf Basis des Privacy-Shield oder dem EU-Standardvertrag in einen Drittstaat (Staaten außerhalb des europäischen Wirtschaftsraum EWR sowie Norwegen, Liechtenstein und Island) übermittelt werden, zu identifizieren und die Datenschutzvereinbarungen mit Dienstleistern zu überprüfen.

Finden Übermittlungen in Drittstaaten statt, für die ein Angemessenheitsbeschluss vorliegt, sind keine weiteren Maßnahmen nötig. Aktuell gibt es für folgende Staaten einen Angemessenheitsbeschluss seitens der EU: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay.

Nachdem nach wie vor nicht geklärt und nicht absehbar ist, mit welchem Status Großbritannien zum 01. Januar 2021 aus der Europäischen Union ausscheiden wird, sollten sicherheitshalber auch Übermittlungen nach UK identifiziert werden.

Problematisch und von dem Urteil betroffen sind also Übermittlungen zu US-, und ggf. UK-Dienstleistern, sofern bis zum 01. Januar 2021 kein Angemessenheitsbeschluss für UK existieren sollte.

Geprüft werden müssen auch die Subdienstleister von Dienstleistern. Wenn Subunternehmen beauftragt sind, die auf der Basis des Privacy-Shield oder dem EU-Standardvertrag Daten in die USA transferieren, sind diese ggf. ebenfalls zu berücksichtigen.

Schritt 2:

Je nach Branche unterliegen die Datenimporteure in den USA unterschiedlichen staatlichen Überwachungsgesetzen. Die Datenimporteure sollen deshalb gezielt gefragt werden, ob sie FISA 702 und EO 12333 unterliegen und ob sie die Klauseln einhalten können. Die Prüfung, ob der Datenimporteur unter FISA 702 fällt, ist auch für die Konzernmutter in den USA erforderlich. Max Schrems bzw. die Organisation NOYB hat deshalb auf der Webseite https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs eine FAQ-Liste für Unternehmen und zwei Fragebögen für die Ermittlung der staatlichen Überwachungsgesetze (für den Datenimporteur und den Unterauftragnehmer) bereitgestellt, denen der jeweilige Datenimporteur bzw. Unterauftragnehmer konkret unterliegt. Anhand dieser Fragebögen soll überprüft werden, ob der Datenimporteur bzw. der Unterauftragnehmer des Auftragsverarbeiters vor dem Hintergrund dieser Überwachungsgesetze überhaupt in der Lage ist, die Verpflichtungen aus dem EU-Standardvertrag zum Schutz der Rechte der Betroffenen einzuhalten. Es empfiehlt sich, diese Fragebögen an die Datenimporteure und eventuelle Unterauftragnehmer zu versenden. So kann ggf. bei einer Anfrage durch die Datenschutzaufsicht zumindest vorerst belegt werden, dass der Verantwortliche sich der aktuellen Gesetzeslage bewusst ist und um Abhilfe bemüht ist. Illegitime Transfers werden dadurch zwar noch nicht sanktionsbefreit, die Maßnahme könnte dennoch eine sanktionsmildernde Wirkung haben.

Das Dokument EU-US_fform_v3docx dient dazu, US-Datenimporteure zu befragen, die aktuell mit den EU-Standardvertragsklauseln (SCC – Standard Contractual Clauses) arbeiten. Das Dokument EU-EU_form_v3.docx enthält den Musterantrag an Anbieter, die Daten in der EU/dem EWR verarbeiten, aber US-Beziehungen haben („Einzelfallanalyse“).

Wenn sich bei dieser Überprüfung zeigt, dass der Datenimporteur bzw. der Unterauftragnehmer so weitgehenden und strengen staatlichen Überwachungsgesetzen unterliegt, die in einem unverhältnismäßigen Umfang in die Rechte von EU-Bürgern eingreifen, sodass die Rechte der Betroffenen nicht in einem ausreichenden Maß gewahrt werden können, kann der Datentransfer auch nicht mehr auf die Standardvertragsklauseln gestützt werden.

Freundliche Grüße
Redaktion Praxisratgeber Datenschutz und Datensicherheit

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.

Datenschutz & Datensicherheit Das Fachinformationsportal

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Übersichtliche Prozessdarstellungen
  • Sofort einsetzbare Schulungen

Jetzt 4 Wochen testen