Datenübermittlung in die USA erneut auf dem Prüfstand

Das Europäische Parlament hat am 5. Juli mit 303 zu 223 Stimmen eine Resolution verabschiedet, in der es die Europäische Kommission auffordert, den EU-US-Privacy Shield-Mechanismus zum 1. September 2018 solange auszusetzen, bis die USA mit Blick auf dessen Anforderungen nachgebessert haben. Zwar ist die Resolution für die Kommission rechtlich nicht bindend. Dennoch geht von ihr eine deutliche (wohlmöglich nicht ausschließlich politische) Signalwirkung aus. Fest steht bereits jetzt: Die Kommission wird die von den Volksvertretern der Europäischen Union bemängelten Aspekte bei der im Herbst diesen Jahres anstehenden regelmäßigen Überprüfung der Angemessenheit des durch das EU-US Privacy Shield gebotenen Schutzniveaus nur schwerlich ignorieren können. Dies gilt umso mehr, als dass auch der Rechtsstreit zwischen Max Schrems und Facebook mit Vorlagebeschluss des irischen High Courts vom 12.04.2018 unionsrechtlich in die nächste Runde gegangen ist und neben den EU-Standardvertragsklauseln unter anderem auch der Privacy Shield-Mechanismus nun vor dem EuGH auf dem Prüfstand steht.

Es stellt sich daher (erneut) die Frage, was Unternehmen, die personenbezogene Daten in Drittstaaten – wie die USA – übermitteln, oder eine solche Übermittlung planen, mit Blick auf die seit dem 25. Mai in allen Mitgliedstaaten der EU unmittelbar anwendbare Datenschutz-Grundverordnung (DSGVO) grundsätzlich und für den Fall, dass der Privacy Shield-Mechanismus tatsächlich fallen sollte, zu beachten haben.

DSGVO-Grundsätze der Datenübermittlung in Drittstaaten

Wie bereits die Datenschutzrichtlinie unterscheidet auch die nunmehr in allen Mitgliedstaaten unmittelbar anwendbare DSGVO hinsichtlich der Anforderungen an die Rechtmäßigkeit von grenzüberschreitenden Datenübermittlungen zwischen solchen in „sichere Staaten“ und solchen in „unsichere (Dritt-)Staaten“. Als „unsicher“ in diesem Sinne gelten zunächst all diejenigen Staaten, in denen die DSGVO nicht anwendbar ist. Wenn Unternehmen personenbezogener Daten in einen Drittstaat übermitteln wollen, bedarf es vorab stets einer zweistufigen Prüfung, bei der zu fragen ist:

  1. ob die Datenverarbeitung (sprich Übermittlung) grundsätzlich zulässig ist. Hier ergeben sich keine Unterschiede einer Übermittlung an einen Datenverarbeiter innerhalb oder außerhalb des EWR; und
  2. unter welchen Voraussetzungen eine Übermittlung in einen Drittstaat gerechtfertigt werden kann. Die dabei zu beachtenden Vorgaben ergeben sich aus Kapitel V, Artt. 44ff. DSGVO.

Mit Blick auf die Prüfung zu 2. lässt sich zusammenfassend festhalten, dass eine Übermittlung in einen Drittstaat stets nur dann zulässig ist, wenn nachweislich sichergestellt ist, dass die Verarbeitung personenbezogener Daten den von der DSGVO aufgestellten Standards entspricht.

Der Hintergrund hierfür ist das erklärte Ziel der DSGVO ein hohes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Dieses Niveau soll nicht dadurch untergraben werden können, dass personenbezogene Daten in Staaten mit geringeren datenschutzrechtlichen Schutzstandards übermittelt werden.  

Zur Erbringung des – grundsätzlich vom Verantwortlichen geschuldeten – Angemessenheits-Nachweises sind in Artt. 45ff. DSGVO verschiedene rechtliche Instrumentarien aufgeführt, die entweder die Kommission oder den datenschutzrechtlich Verantwortlichen selbst adressieren.  

Instrumentarien zur Rechtfertigung einer Datenübermittlung in Drittstaaten

Zur Herstellung eines angemessenen Datenschutzniveaus in einen Drittsaat stehen verschiedene rechtliche Instrumentarien zur Verfügung. So darf eine Übermittlung grundsätzlich nur erfolgen, wenn

  • für dieses Land durch eine Entscheidung der Europäischen Kommission ein angemessenes Datenschutzniveau festgestellt wurde, also ein sog. Angemessenheitsbeschluss (derzeit bestehende (partielle) Angemessenheitsbeschlüsse: für in den USA und Kanada unter dem Privacy Shield akkreditierte Unternehmen bzw. Unternehmen, die unter den Personal Information Protection and Electronic Documents Act fallen; daneben bestehen Angemessenheitsbeschlüsse für Andorra, Argentinien, die Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, die Schweiz, und Uruguay); oder
  • geeignete Garantien, z.B. in Form von verbindlichen internen Datenschutzvorschriften, sogenannter Binding Corporate Rules oder EU Standarddatenschutzklauseln, oder genehmigten Verhaltensregeln oder genehmigten Zertifizierungsmechanismen; oder
  • sonstige Maßnahmen (z.B. eine den Anforderungen der DSGVO entsprechende Einwilligung der betroffenen Person)

vorliegen. Die bereits zuvor anwendbaren Regelungen des BDSG-alt sind in die DSGVO übernommen worden. Neu sind hingegen insbesondere die Möglichkeiten, die Verarbeitung auf

  • genehmigte Verhaltensregeln (Codes of Conduct); oder
  • erteilte Zertifizierungen

zu stützen. Diese beiden neuen Rechtsgrundlagen dürften –insbesondere bei weltweit tätigen – Unternehmen zukünftig als Basis für die Übermittlung in einen Drittstaat eine wesentliche Rolle spielen.

Was wäre wenn?

Derzeit können Datenübermittlungen an Auftragsverarbeiter und (gemeinsam) Verantwortliche mit Sitz in den USA regelmäßig auf die Zertifizierung des jeweiligen Unternehmens beim EU-US Privacy Shield-Programms des US Handelsministeriums gestützt werden, da sich fast alle großen US Player zur Beachtung des EU-US Privacy Shield verpflichtet haben. Dann genügt es gemäß Art. 13 Abs. 1 lit. f bzw. 14 Abs. 1 lit. f DSGVO, die betroffene Person hierüber entsprechend zu informieren.

Nicht nur ob der drastischen Erhöhung zu erwartender Bußgelder im Falle unrechtmäßiger Drittstaatenübermittlungen, die als (Kardinal-)Verstöße geahndet werden können, sondern auch wegen damit ggf. verbundener Imageschäden sollten Unternehmen die Diskussion zum Privacy Shield sorgfältig im Auge behalten. Zwar besteht derzeit noch kaum Anlass sofort auf rein europäische Anbieter umzuschwenken, dennoch sollten sich Unternehmen ggf. bereits jetzt Gedanken über einen Plan B machen.

Folgende Handlungsempfehlungen sind bei Drittstaatentransfers grundsätzlich und insb. mit Blick auf Übermittlungen in die USA im Falle der Aussetzung des Privacy Shields auszumachen:

1. Jede bestehende oder geplante Übermittlung personenbezogener Daten ist kritisch anhand des oben aufgezeigten zweistufigen Verfahrens auf ihre Rechtmäßigkeit hin zu überprüfen.

2. Stets zulässig sind

  • Übermittlungen, die aufgrund bestehender Angemessenheitsbeschlüsse der EU-Kommission erfolgen,
  • Übermittlungen aufgrund von bestehenden Genehmigungen oder Feststellungen, insbesondere Übermittlungen auf Basis bereits genehmigter Standarddatenschutzklauseln

3. Da mit Wirksamwerden der DSGVO strengere Vorgaben für die Überprüfung und Überwachung von Entscheidungen, Genehmigungen und Feststellungen gelten, sind nicht nur die hier angesprochenen aktuellen Entwicklungen zukünftig aufmerksam zu verfolgen, um rechtzeitig auf Änderungen reagieren zu können.

4. Basiert eine Übermittlung in ein Drittland auf einer Alt-Einwilligung der betroffenen Person, ist zu prüfen, ob diese den Grundsätzen der wirksamen Einwilligung der DSGVO entspricht (insbesondere sollte diese nachweisbar informiert erfolgt sein, was im Falle der Nichtigkeitserklärung mit Blick auf US-Unternehmen kritisch zu hinterfragen ist)

5. Bestehende „Auftragsverarbeitungsvereinbarungen“ mit Drittstaatenbezug sind kritisch auf das nachweisbare Vorliegen einer zulässigen Drittstaatenübermittlung hin zu überprüfen. Ggf. ist der Abschluss von EU-Standardvertragsklauseln oder eine Einwilligung der betroffenen Person erforderlich.

6. Datenschutzerklärungen sind daraufhin zu überprüfen, ob sie die Transparenzanforderungen aus Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO erfüllen, und sind ggf. entsprechend anzupassen. Dabei ist insbesondere zu beachten, dass im Falle des Rückgriffs auf geeignete Garantien weitere Informationspflichten darüber, wo die betroffene Person eine Kopie von diesen erhalten kann, ausgelöst werden.

 

Einen weiteren interessanten Beitrag zu diesem Thema  von meinem Kollegen Michael Neuber finden Sie unter diesem Link. 

2. August 2018