Schrems II

Mit seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) die Welt des internationalen Datentransfers wachgerüttelt (C-311/18, sog. Schrems II-Urteil). Er hat das Recht des Einzelnen auf informationelle Selbstbestimmung gestärkt und sich dabei auf die Charta der Grundrechte der Europäischen Union berufen. Das Urteil sorgt für mehr Klarheit in Bezug auf die Grundrechte, wirft jedoch zahlreiche Fragen in Bezug auf die Umsetzung in der Praxis auf.

Der EuGH hat in seinem Schrems II-Urteil den EU-U.S.-Datenschutzschild für ungültig erklärt, der bis dato vier Jahre lang als Grundlage für Datenübermittlungen in die Vereinigten Staaten von Amerika genutzt werden konnte. Eigentlicher Gegenstand des Verfahrens waren die Standardvertragsklauseln der EU-Kommission (2010/87/EU). Deren Gültigkeit wurde zwar bestätigt, so dass sie grundsätzlich weiterhin verwendet werden können. Der EuGH hebt in seinem Urteil jedoch bestimmte Pflichten der Verantwortlichen hervor, die sich aus der Verwendung der Klauseln ergeben. 

Insbesondere die zusätzlich zu den Standardvertragsklauseln ggf. zu treffenden ergänzenden Maßnahmen beschäftigen seit dem Urteil sowohl Verantwortliche, Auftragsbearbeiter als auch die Datenschutzaufsichtsbehörden. Am 12. November 2020 hat die EU-Kommission zudem Entwürfe neuer Sets von Standardvertragsklauseln veröffentlicht. 

Bereits eine Woche nach dem EuGH-Urteil hatte der Europäische Datenschutzausschuss (EDSA) in einem Dokument die häufig gestellten Fragen zum Urteil zusammengefasst und beantwortet. 

Der LfDI hatte noch am Tag des Urteilsspruchs eigene erste Fragen und Antworten zusammengestellt (siehe auf dieser Seite ganz unten). Diese basierten auf einer ersten Bewertung des EuGH-Urteils durch den LfDI. Er reagierte damit auf den großen Beratungsbedarf rheinland-pfälzischer Verantwortlicher, der sich bereits vor Erlass des Urteils angekündigt hatte. 

Inzwischen stehen weitere Dokumente zu diesem Themenkomplex zur Verfügung, die rechts in der grauen Box in chronologischer Reihenfolge aufgeführt sind. Der LfDI hat ein graphisch dargestelltes Prüfschema für alle Datenübermittlungen in Drittländer erstellt, mit dessen Hilfe sich Verantwortliche und Auftragsverarbeiter einem datenschutzkonformen Weg der Datenübermittlungen in Drittländer nähern können und führt in einer Podcastfolge den Zuhörer in die Thematik allgemein ein. 

Der EDSA hat Empfehlungen zur Umsetzung ergänzender Maßnahmen, die ein angemessenes Schutzniveau auch im Drittland schaffen sollen sowie eine Infographik zur Vorgehensweise veröffentlicht. Die Empfehlungen wurden mit der Möglichkeit zur Kommentierung durch jedermann bis zum 21. Dezember 2020 veröffentlicht. Anpassungen des Papiers im Nachgang sind daher möglich. In einem weiteren Empfehlungspapier will der EDSA die Verantwortlichen und Auftragsarbeiter bei der Schaffung geeigneter Garantien, insbesondere bei Überwachungsmaßnahmen im Drittland, unterstützen. 

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln veröffentlicht, ebenfalls mit Kommentierungsmöglichkeit, jedoch nur bis zum 10. Dezember 2020. Das Set von Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c DS-GVO stellt eine Art Baukasten dar, mit welchem man durch die Auswahl der entsprechenden Module Standardverträge für alle denkbaren Konstellationen erstellen kann (controller to controller, controller to processor, processor to processor, processor to controller). Auch bei den Standardvertragsklauseln sind Anpassungen durch die EU-Kommission nach der Konsultationsphase denkbar.

FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020

Der EuGH hat den EU-U.S.-Datenschutzschild für ungültig erklärt. Wen betrifft dieser Teil des Urteils?

Auswirkungen hat die Feststellung der Ungültigkeit des EU-U.S.-Datenschutzschilds auf Datenübermittlungen in die USA, die Verantwortliche in der EU konkret auf der Grundlage des EU-U.S.-Datenschutzschild vornehmen oder vorgenommen haben. Dieser Teil des Urteils betrifft also nicht grundsätzlich alle Datenübermittlungen in die USA

Was müssen Verantwortliche, die den EU-U.S.-Datenschutzschild als Transferinstrument im Sinne des Kapitel V DS-GVO für Datenübermittlungen in die USA verwenden, jetzt veranlassen?

Der EU-U.S.-Datenschutzschild kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig. Verantwortliche müssen umgehend auf andere Transferinstrumente des Kapitel V DS-GVO umstellen. Stehen keine anderen Transferinstrumente zur Verfügung und kann auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, muss der Verantwortliche die Datenübermittlung aussetzen. Darüber hinaus sind bereits übermittelte Daten zurückzufordern bzw. zu vernichten.

Gibt es eine Übergangsfrist?

Nein, Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO  vor.

Die Standardvertragsklauseln sind weiterhin gültig. Bleibt für die Verantwortlichen, die diese als Transferinstrument verwenden, alles beim Alten?

Ja und nein. Eine Anpassung der Standardvertragsklauseln durch die EU-Kommission ist nicht erforderlich. Sie sind als solche gültig. Der EuGH hat jedoch klargestellt, dass die Verantwortlichen, die die Standardvertragsklauseln verwenden, ihren daraus erwachsenden Pflichten nachkommen müssen. Wenn sich herausstellt, dass der Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, hat der datenexportierende Verantwortliche in der EU z.B. gemäß Klausel 5 des Standardvertrags für Datenübermittlungen von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (2010/87/EU) das vertraglich begründete Recht, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Um nicht gegen die Vorschriften der DS-GVO zu verstoßen, muss der Verantwortliche in diesem Fall von diesem Recht Gebrauch machen.  

Dies galt auch schon vorher. Mit seinem Urteil verdeutlicht der EuGH, dass sich datenexportierende Stellen dauerhaft mit der Gesetzeslage des Ziellandes auseinandersetzen müssen, um nicht von den Aufsichtsbehörden in der EU für Datenschutzverstöße durch die importierenden Stelle im Drittland belangt zu werden. 

Können die Vertragsparteien die Standardvertragsklauseln selbst anpassen und so für ihre konkrete Vertragsbeziehung geeignete Garantien schaffen?

Der EuGH benennt die Möglichkeit der Ergänzung der Standardvertragsklauseln durch die Vertragsparteien, um in dieser konkreten Vertragsbeziehung dennoch geeignete Garantien dafür zu schaffen, dass das durch die DS-GVO verbürgte Schutzniveau für natürliche Personen nicht beeinträchtigt wird (Rn. 132). Ziel ist hierbei, ein Schutzniveau zu erreichen, das dem in der Union durch die DS-GVO im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist (Rn. 92, 94, 96, 105). Als Kriterien hierfür sind insbesondere die in Art. 45 Abs. 2 DS-GVO genannten heranzuziehen (Rn. 104). 

Offen ist, ob dies im Einzelfall tatsächlich möglich ist, insbesondere z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die Standardvertragsklauseln gebunden sind. Offen ist darüber hinaus auch, wie sich diese Möglichkeit zu Art. 46 Abs. 3 lit. a DS-GVO verhält, also ab wann die o.g. Ergänzungen einer aufsichtsbehördlichen Genehmigungspflicht unterliegen.

Können die Standardvertragsklauseln generell nicht mehr für Datenübermittlungen in die USA verwendet werden?

Dies wird derzeit geprüft und hängt im Wesentlichen von der Auslegung der US-Sicherheitsgesetze ab. Die Sicherheitsgesetze in den USA, wie Sec. 702 FISA, der den US-Sicherheitsbehörden ohne richterlichen Beschluss erlaubt, in bestimmten Fällen Zugriff auf personenbezogene Daten zu nehmen, gelten vorrangig gegenüber Telekommunikationsunternehmen. Für Datenübermittlungen an solche Unternehmen können die Standardvertragsklauseln in der Regel nicht verwendet werden. 

Darüber hinaus hat das Gesetz ggf. Auswirkungen auch auf andere Unternehmen, z.B. dann, wenn diese Unternehmen Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege doch Zugriff auf die Daten erhalten. 

Denkbar ist zudem, dass allein aufgrund der Tatsache der elektronischen Datenübermittlung, also der Tatsache dass die Daten auf dem Weg zum Empfänger in den USA durch die Kabel US-amerikanischer Telekommunikationsanbietern fließen, Sec. 702 FISA auf alle auf diesem Weg übermittelten Daten Anwendung findet. 

Darüber hinaus ist im Zusammenhang mit der Datenübermittlung in die USA zu bedenken, dass gemäß der US-amerikanischen Executive Order 12.333 auch eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen kann, wenn diese die transatlantischen Kabel durchqueren.

Allgemeiner gesprochen bedeutet dies: 

In dem Fall, dass die US-Sicherheitsgesetze, die dem EU-Datenschutzrecht entgegenstehen, auf alle Datenübermittlungen von der EU in die USA anwendbar sind, kann das Schutzniveau in den USA insgesamt als nicht dem in der EU herrschenden Schutzniveau gleichwertig angesehen werden. In diesem Fall stellen die Standardvertragsklauseln, so wie sie formuliert sind, keine geeigneten Garantien für die Datenübermittlung in die USA dar.

In dem Fall, dass die US-Sicherheitsgesetze nur auf bestimmte Datenübermittlungen in die USA Anwendung finden, obliegt es dem Datenexporteuer in der EU, unter Einbeziehung des jeweiligen Datenimporteurs in den USA, zu prüfen, ob bzw. welchen Gesetzen seines Heimatlandes der Datenimporteur bzw. die jeweilige Datenübermittlung zu diesem unterliegt und zu bewerten, ob die Standardvertragsklauseln in diesem Fall geeignete Garantien darstellen.

Zur Frage der Anpassung der Standardvertragsklauseln durch die Vertragsparteien siehe die vorangegangene Frage.

Was müssen Verantwortliche, die die Standardvertragsklauseln verwenden, jetzt tun?

Die Verantwortlichen müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland, an den sie die Daten übermitteln möchten und ggf. dessen weitere Vertragspartner in dieser Geschäftsbeziehung, unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu genügen, sind diese Prüfungen sowie die Ergebnisse zu dokumentieren. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.

Sollten sich Beeinträchtigungen offenbaren, besteht die – zumindest theoretische – Möglichkeit, diese durch Ergänzungen der Standardvertragsklauseln zu beheben (Rn. 132). Ob ein Beheben tatsächlich möglich ist, insbesondere im Falle der Kollision der Gesetze des Drittlandes mit dem europäischen Datenschutzrecht, ist fraglich und wird sich in der praktischen Anwendung zeigen. Hier ist der Einzelfall zu prüfen. Auch, ab wann die Grenze zu Ad hoc-Verträgen (Art. 46 Abs. 3 lit. a DS-GVO) überschritten ist, es sich also um genehmigungspflichtige Vereinbarungen handelt, ist eine noch ungeklärte Frage.

Die Prüfung kann ggf. in den Fällen umgangen werden, in denen andere Transferinstrumente des Kapitel V DS-GVO oder ein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden können. Letzteres kommt z.B. häufig bei Reisebuchungen in Betracht, dürfte aber für typische Outsourcing-Szenarien, also Dienstleistungen, die auch in der EU / dem EWR erbracht werden könnten, aber in einem Drittland leichter, billiger oder besser erbracht werden, kaum in Betracht kommen. Beim Wechsel zu anderen Transferinstrumenten ist zu berücksichtigen, dass das EuGH-Urteil auch auf diese Auswirkungen haben könnte (siehe unten).

Was müssen Verantwortliche, die die Standardvertragsklauseln verwenden, veranlassen, wenn die empfangende Stelle im Drittland einem nationalen Gesetz unterliegt, das gegen die Grundsätze der DS-GVO bzw. der Art. 7 und Art. 8 EU-Grundrechtecharta verstößt?

Wenn die mit den Standardvertragsklauseln benannten datenschutzrechtlichen Garantien durch den Datenimporteur aufgrund der Gesetzeslage in seinem Heimatland nicht eingehalten werden können, muss der Datenexporteur, also der Verantwortliche in der EU, Datenübermittlungen dorthin aussetzen, weil er ansonsten selbst gegen das Datenschutzrecht verstößt. Bereits in das Drittland übermittelte Daten sind sämtlich vom Datenimporteur zurückzuschicken oder zu zerstören (Rn. 143). Die Vertragsparteien können versuchen, durch Ergänzungen der Standardvertragsklauseln geeignete Garantien zu schaffen (siehe oben).

Auf welcher Grundlage kann der Verantwortliche weiterhin Datenübermittlungen an die betreffende Stelle im Drittland vornehmen, wenn er die Standardvertragsklauseln nicht nutzen kann?

Der Verantwortliche muss prüfen, welches andere Transferinstrument des Kapitel V DS-GVO für die Datenübermittlungen in Betracht kommt oder ob ggf. ein Ausnahmetatbestand des Art. 49 DS-GVO greift.

Was ist, wenn keine andere Grundlage gefunden werden kann?

Wenn es keine Grundlage gibt, die den Datentransfer legitimiert, muss dieser – ggf. dauerhaft – ausgesetzt werden, da ansonsten ein Verstoß gegen Art. 44 DS-GVO vorliegt. Ggf. haben Verantwortliche die Möglichkeit, auf Anbieter der gleichen Dienstleistungen in der EU bzw. dem EWR auszuweichen.

Welche Fragen müssen sich Verantwortliche in der EU im Zusammenhang mit den Standardvertragsklauseln nun stellen?

a) Übermittele ich personenbezogene Daten in ein Land außerhalb der EU bzw. dem EWR?

b) Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DS-GVO Standardvertragsklauseln der EU-Kommission?

c) Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DS-GVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen oder gibt es andere Anhaltspunkte dafür, dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können? 

d) Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Können die Standardvertragsklauseln mithilfe weiterer Vereinbarungen zwischen den Vertragsparteien so ergänzt werden, dass das so geschaffene Schutzniveau dem in der Union garantieren Schutzniveau der Sache nach gleichwertig ist?

e) Wenn ja, ist die Prüfung hier zu Ende. Wenn nein: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DS-GVO oder auf einen Ausnahmetatbestand des Art. 49 DS-GVO gestützt werden? 

f) Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DS-GVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DS-GVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Setzen Sie den Datentransfer umgehend aus und fordern Sie die bereits übermittelten Daten vom Datenimporteur zurück bzw. fordern Sie diesen auf, die Daten zu vernichten. Nehmen Sie Kontakt mit künftigen Vertragspartnern in Ländern auf, in denen die Daten besser geschützt sind.

Hat das Urteil des EuGH Auswirkungen auf andere Transferinstrumente des Kapitel V DS-GVO, wie etwas Binding Corporate Rules?

Der EuGH hat die generelle Aussage getroffen, dass die geeigneten Garantien so beschaffen sein müssen, dass sie ein Schutzniveau gewährleisten, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist (Rn. 96). Dies legt nahe, dass alle Transferinstrumente des Art. 46 DS-GVO am Maßstab dieser Gleichwertigkeit zu messen sind. Verantwortliche und Auftragsverarbeiter sollten daher auch bei der Verwendung anderer Transferinstrumente als den Standardvertragsklauseln prüfen, ob diese den Anforderungen genügen. 

Kann ich als Bürger oder Verbraucher weiterhin meine Daten in die USA übermitteln?

Ja, für Personen, die ihre eigenen personenbezogenen Daten in ein Drittland übermitteln, ändert sich nichts. Sie sind von diesem Urteil nicht betroffen.