Das Schrems II Urteil des EuGHs vom 16. Juli 2020 (Az. C-311/18) hat die Übermittlung von personenbezogene Daten in die USA oder in andere Drittländer grundlegend geändert. Fast ein Jahr später haben mehrere Datenschutzbehörden nun angekündigt, mittels Fragebögen die Umsetzung der Schrems II Entscheidung zu überprüfen. Wir haben dies zum Anlass genommen ein kleines Update hinsichtlich der Drittstaatenübermittlung zu geben.
Schrems II: Was war das noch einmal?
Mit dem Schrems II Urteil hat der EuGH den Angemessenheitsbeschluss der EU-Kommission für die USA – das US-Privacy-Shield – aufgehoben. Mit einem Angemessenheitsbeschluss beschließt die EU-Kommission nach Art. 45 DSGVO, dass der jeweilige Drittstaat oder ein Sektor des Drittstaats ein angemessenes Schutzniveau bietet. Der Begriff „Drittland“ selbst ist in der DSGVO dabei nicht definiert, es handelt sich aber um alle Länder außerhalb der Union, in denen die DSGVO keine direkte oder indirekte Anwendung findet (Umkehrschluss aus Art. 3 Abs. 1, 3 DSGVO). Der Begriff „unsicherer Drittstaat“ bezeichnet dagegen ein Drittland, für das es keinen Angemessenheitsbeschluss gibt – wie nun etwa die USA. Der Begriff „unsicherer Drittstaat“ wird in der DSGVO nicht verwendet.
Grundsätzlich sind Übermittlungen in Drittländer nur zulässig, wenn die Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind, das heißt
- entweder muss für das jeweilige Land, oder für den Betroffenen Sektor in einem Land ein Angemessenheitsbeschluss vorliegen,
- der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien für die Sicherheit der Übermittlung nach Art. 46 DSGVO vorgesehen haben und der betroffenen Person durchsetzbare Rechte zustehen,
- oder die in Art. 49 DSGVO bezeichneten Ausnahmen für bestimmte Fälle greifen, wie etwa die ausdrückliche Einwilligung in die Übermittlung.
Geeignete Garantien nach Art. 46 DSGVO können etwa Standardvertragsklauseln sein (Standard Contractual Clauses) oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules).
Standardvertragsklauseln sind kein Allheilmittel
Reflexartig haben vor allem Auftragsverarbeiter nach Wegfalls des Privacy-Shields ihre Übermittlung an Server in die USA auf Standardvertragsklauseln gestützt. Richtigerweise hat der EuGH in seinem Urteil die Standardvertragsklauseln nicht für unwirksam erklärt, jedoch betont, dass der reine Abschluss nicht ausreichend ist. Vielmehr müssen Auftragsverarbeiter und Verantwortliche jeweils prüfen, welche Risiken die Daten in dem Drittland ausgesetzt sind und dementsprechend Schutzmaßnahmen bieten.
In den meisten Fällen ist es notwendig sogenannte erweiterte Standardvertragsklauseln abzuschließen. Die Höhe der Schutzstandards hängen dabei auch von der Qualität der übermittelten Daten ab. Bei der reinen Übermittlung von Pseudonymen hat die EDSA jedoch festgestellt, dass der reine Abschluss von Standardvertragsklauseln ausreichend ist. Findet jedoch keine Pseudonymisierung der Datensätze vor der Übermittlung statt, muss nachgebessert werden. Insbesondere Verschlüsselungstechniken (zB. Bring-Your-Own-Key) können geeignete Schutzstandards darstellen.
Erst kürzlich hat die EU-Kommission neue Standardvertragsklauseln erlassen. Aber auch hier reicht die bloße Vereinbarung nicht aus, sondern es muss im Einzelfall geprüft werden, welche Mittel herangezogen werden können. Mehr Informationen zu den neuen Standardvertragsklauseln finden Sie im Beitrag vom 9. Juni 2021.
Serverstandort in der EU
Immer wieder wird behauptet, dass keine Übermittlung in einen Drittstaat vorliegt, soweit die Daten entweder auf Servern innerhalb in der EU verarbeitet werden, oder durch eine Gesellschaft mit Sitz in der EU. Dadurch wird aber nicht unbedingt eine Drittstaatenübermittlung verhindert. So reicht es für eine Übermittlung schon aus, wenn Daten gegenüber Personen in Drittändern offengelegt werden. Insbesondere behält sich auch die US-Regierung vor über den Cloud Act auf Server außerhalb der USA zuzugreifen, solange diese durch eine Tochtergesellschaft von US-Konzernen gehalten werden. Auch in diesen Fällen ist eine Verarbeitung von Daten nur zulässig, wenn die zuvor beschriebenen Standards eingehalten werden.
Was prüfen die Behörden nun genau?
Die Behörden wollen nun anhand von Fragebögen wissen, wie einzelne Unternehmen die neuen Standards umgesetzt haben. Die Fragebögen fokussieren dabei mehrere Themenbereiche. Umfasst sind dabei
- Emailversand
- Hosting von Internetseiten
- Webtracking
- Verwaltung von Bewerberdaten
- Konzerninternen Austausch von Kundendaten
Auffällig ist dabei, dass der Einsatz von Videokonferenztools nicht Teil der Überprüfung ist, obwohl die Behörden sich auch hier kritisch gegenüber US-Amerikanischen Tools gezeigt haben. Auch die Nutzung von großen CRM-Anbietern oder Automation-Plattformen bzw. Cloud-Anbietern (ua. Salesforce, AWS, etc.) werden thematisch nicht gezielt abgefragt.
Die Behörden wollen mit dem Fragebogen insbesondere Wissen, auf welche Rechtsgrundlage die Übermittlung gestützt und durch welche Garantien die Übermittlung abgesichert wird. Soweit Standardvertragsklauseln genutzt werden, verlangen die Behörden Informationen darüber wie das Unternehmen zu dem jeweiligen Schluss gekommen ist, dass die Verpflichtungen aus den Standardvertragsklauseln tatsächlich eingehalten werden können. Konkret wird dabei darauf Bezug genommen, ob und wie eine Verschlüsselung erfolgt und wie die jeweiligen Risiken in dem Drittland beobachtet werden.
Wie sollte man auf die Anfragen reagieren?
Soweit Sie von den Behörden kontaktiert wurden, sollten Sie zunächst einmal Ruhe bewahre. Generell sollte bei Informationsverlangen bei der jeweiligen Behörde Akteneinsicht verlangt werden. Dadurch kann überprüft werden, welchen Wissensstand die Behörden schon haben und worauf sich die jeweiligen Fragen konkret beziehen.
Bei Unklarheiten bezüglich des Umfangs des jeweiligen Informationsverlangen kann es helfen bei der Behörde eine Konkretisierung der jeweiligen Punkte anzufragen. Im Hinterkopf sollte dabei behalten werden, dass nur ein Verwaltungsakt vorliegt, wenn das Informationsverlangen eine Rechtsbehelfsbelehrung enthält. Soweit dies nicht der Fall ist, ist die Beantwortung freiwillig, aber stets ratsam. Soweit die Rechtmäßigkeit der Anfragen überprüft werden soll, kann um Erlass eines Verwaltungsakts gebeten werden, um diesen dann vor dem jeweiligen Verwaltungsgericht überprüfen zu lassen. Da die Rechtslage noch immer unübersichtlich bzw. die Auslegung der DSGVO und möglichen Lösungswege in der praktischen Anwendung offen sind, ist eine gerichtliche Klärung mitunter auch im Interesse der Aufsichtsbehörde.