| Am 08.10.2020 versandte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Informationsschreiben an die öffentlichen Stellen des Bundes und Unternehmen unter seiner Aufsicht, um diese über die Auswirkungen des Schrems-II-Urteils zu informieren. Doch erfüllt sich damit die Hoffnung auf pragmatische Hilfestellung seitens der zuständigen Behörden? Klare Handlungsanweisungen fehlen Nach wie vor herrscht enorme Unsicherheit darüber, wie es nach dem aufsehenerregenden Urteil des EuGH in der Rechtssache C-311/18 („Schrems II“) in Sachen internationaler Datenverkehr nun weitergehen soll. Händeringend erwarten Verantwortliche schon seit Urteilsverkündung hilfreiche Stellungnahmen oder Handlungsanweisungen der zuständigen Aufsichtsbehörden. Bislang waren entsprechende Stellungnahmen rar gesät, nur wenige Leitfäden und Hinweise wurden bislang veröffentlicht. Dies führte dazu, dass über konkrete Vorgehensweisen maximal gemutmaßt werden kann und selbst die zur Kontrolle berufenen Behörden auf Anfrage schlicht äußern, man habe Arbeitsgruppen eingerichtet. Klar scheint im allgemeinen Verständnis wohl aber eins: Internationaler Datenverkehr ist wohl "too big to fail", nur über das "Wie" kann man sich gar trefflich streiten. Weniger Umfang als erhofft In der nun veröffentlichten und an verschiedene Behörden und Unternehmen versandten Stellungnahme äußert sich nach dem LfDI Baden-Württemberg und dem europäischen Datenschutzausschuss auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber zu dem Themenkomplex „internationaler Datentransfer“. Doch die lediglich fünf Seiten des Informationsschreibens geben weniger praktische Hilfestellung als erhofft. So werden zunächst allgemeine Informationen zur Herstellung eines angemessenen Datenschutzniveaus nach Kapitel V der DSGVO gegeben, ausdrücklich erwähnt werden sowohl Standarddatenschutzklauseln, als auch Binding Corporate Rules (BCR) als geeignete Instrumente. Prof. Kelber betont, dass nach der Kernaussage des Schrems-II-Urteils im Zielland einer Datenübermittlung ein „im Wesentlichen gleichwertiger Schutz“ wie unter der DSGVO vorliegen müsse. Kaum Spielraum bei US-Datentransfer Ausdrücklich äußert sich das Schreiben des BfDI dahingehend, dass der EuGH für die USA ein „im Wesentlichen gleichwertiges Schutzniveau verneint“ hat. Dies beträfe – soweit auch der bisherige Konsens in der Datenschutzgemeinde – sowohl den nun unwirksamen EU-US Privacy-Shield als auch „alle anderen geeigneten Garantien aus Kapitel V der DSGVO“. Klar ist nach Prof. Kelber, dass nunmehr wohl weder Standarddatenschutzklauseln noch BCR für sich genommen geeignet sein werden, um ein gleichwertiges Schutzniveau bei Datenübermittlungen in die USA zu erzeugen. Dies sollte zumindest als Hinweis an diejenigen Unternehmen aufgenommen werden, die sich bislang auf bestehende BCR zurückgezogen haben. Auch diese dürften nunmehr unter denselben Schwierigkeiten leiden, wie es andere Instrumente des Kapitel V tun. „Zusätzliche Maßnahmen“ nach wie vor unklar Das Schreiben erwähnt gebetsmühlenartig, dass bei Verarbeitung in einem Drittland, in dem kein im Wesentlich gleichwertiges Schutzniveau gegeben ist, „zusätzliche Maßnahmen“ zu ergreifen wären, um ein angemessenes Datenschutzniveau im konkreten Einzelfall zu gewährleisten. Dieser Umstand war bereits hinlänglich bekannt, doch auch der BfDI versäumt es, klare und verwertbare Aussagen darüber zu treffen, welche Maßnahmen denn nun tatsächlich helfen könnten. Einerseits enttäuschend, doch gleichwohl kaum überraschend, stellt sich der Umstand dar, dass die deutschen Aufsichtsbehörden nach wie vor keine Aussagen treffen, was denn nun konkret von Unternehmen und Behörden verlangt wird. Viele Stellen, die bereits begonnen haben, interne Datenflüsse zu inventarisieren und zu prüfen kommen nun an den Punkt, an dem konkrete Maßnahmen getroffen werden sollten, um einzelne Übermittlungen rechtssicher zu gestalten. Doch ohne Kenntnis der behördlichen und gesetzlichen Erwartungen fällt dies wenig überraschend schwer. BfDI: Unsichere Datenübermittlung führt zur Meldepflicht Das Schreiben enthält zudem einen interessanten Hinweis: "Sofern die Prüfung ergibt, dass für die übermittelten Daten im Drittland kein im Wesentlichen gleichwertiger Schutz sicherzustellen ist und der damit unzulässige Datentransfer dennoch nicht ausgesetzt oder beendet wird, besteht eine Pflicht zur Meldung an mein Haus. Diese Verpflichtung gilt für Verantwortliche und Auftragsverarbeiter gleichermaßen." Dies führt zu der Situation, dass Verantwortliche einerseits die offen formulierte Anforderung erfüllen müssen, „zusätzliche Maßnahmen“ zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus zu ergreifen, gleichzeitig aber für den Fall, dass dies nicht gelingt eine Meldepflicht besteht. Mit Blick auf den Umstand, dass bereits nicht klar ist, welche zusätzlichen Maßnahmen im jeweiligen Einzelfall überhaupt als ausreichend erachtet werden, wird eine angenommene Meldepflicht somit zum sanktionsrechtlichen Topfschlagen. Auch verwundert die Aussage, dass sowohl Verantwortliche als auch Auftragsverarbeiter zur Meldung verpflichtet seien, die Prüfung des angemessenen Schutzniveaus und der im Einzelfall zu ergreifenden Maßnahmen aber im Regelfall nur dem Verantwortlichen möglich sein wird. Internationaler Datentransfer wird behördlicher Schwerpunkt Der BfDI stellt zuletzt fest, dass nunmehr gezielte Befragungen und Kontrollen der unter seiner Zuständigkeit befindlichen Unternehmen und Behörden erfolgen solle. Man möchte auf dieses Themengebiet den Schwerpunkt der regelmäßigen Beratungs- und Kontrollbesuche legen. Welchen Hintergrund diese Erwähnung hat, bleibt offen für Spekulation. Naheliegend scheint die Vermutung des Kollegen Stephan Hessel, dass dieses Schreiben vornehmlich als mahnender Hinweis an Bundesbehörden gewertet werden kann. Behördlicher Aktionismus und die liebe Praxis Nach wie vor zeigt sich, dass sich die Aufsichtsbehörden in einem Zwiespalt befinden. Einerseits fordert die Befolgung der europäischen Rechtsprechung ein Tätigwerden, welches andererseits aber schnell an den tatsächlichen Gegebenheiten des modernen Arbeits- und Wirtschaftslebens zerschellt. Die leicht naive Vorstellung, dass wirtschaftlich agierende Unternehmen kurz- bis mittelfristig auf US-Dienste verzichten können oder schlicht über die Mittel und Möglichkeiten verfügen, staatliche Sicherheitsbehörden an einem Zugriff zu hindern, stellt sich oftmals als Wunschvorstellung heraus. Offen bleibt demnach weiterhin die Frage, welche Vollzugspraxis die Aufsichtsbehörden auch zukünftig an den Tag legen werden. Bis dahin sei einem Verantwortlichen zu raten, nicht die Hände in den Schoß zu legen, sondern zumindest intensive Überlegungen anzustellen und diese gleichwohl zu dokumentieren. Beitrag hier kommentieren | 