Der Europäische Datenschutzausschuss (EDSA) hat ein FAQ-Dokument zu den gerade drängenden Fragen in Sachen Datentransfer in Drittländer herausgegeben. In diesem Beitrag finden Sie die wichtigsten Aussagen des EDSA-Papiers zusammengefasst.
Überblick über den Status Quo
Die Entscheidung des EuGH C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, schlägt weiter hohe Wellen. Von der umgehenden Einstellung aller Übermittlungen personenbezogener Daten in die USA bis hin zu „Stützen Sie sich vorerst weiter auf das Privacy Shield“ schwirren gerade die unterschiedlichsten Handlungsempfehlungen durch die Datenschutzwelt.
Den aktuellen Stand beschreibt der EDSA sehr eindeutig:
Gibt es eine Karenzzeit oder Übergangsfrist zur Umsetzung des Urteils?
Nein. Der EuGH ist zu dem Schluss gekommen, dass das US-Recht (insbesondere Section 702 FISA und EO 12333) keinen im Wesentlichen dem Recht der EU gleichwertigen Schutz für Betroffene bietet. Diese Einschätzung müsse umgehend und bei jeder Datenübertragung in die USA beachtet werden. Unternehmen sind dazu aufgefordert, ihre Drittlandübermittlungen vor diesem Hintergrund zu überprüfen.
Sind die Standarddatenschutzklauseln weiterhin gültig und ausreichende Grundlage für den Datentransfer in die USA?
Grundsätzlich sind die Standarddatenschutzklauseln (SCC) weiterhin gültig. Ob sie als Basis für den Transfer personenbezogener Daten in die USA taugen, ist vom Einzelfall abhängig. In die Beurteilung sind die Umstände der Übertragung und ggf. weitere mögliche Schutzmaßnahmen mit einzubeziehen. Die zusätzlichen Schutzmaßnahmen müssen ein den Umständen angemessenes Schutzniveau garantieren und dürfen durch das US-Recht nicht unterminiert werden.
Für die USA dürfte dies in der Praxis schwierig aussehen, da das vom EuGH betrachtete US-Recht (d.h. Abschnitt 702 FISA und EO 12333) nicht durch vertragliche Vereinbarung ausgeschlossen werden kann. Ein rechtmäßiger Datentransfer an diejenigen US-Unternehmen, welche dem Anwendungsbereich des Abschnitt 702 FISA und EO 1233 unterliegen, ist allein aufgrund der SCC daher nur noch in Ausnahmefällen zulässig.
Was gilt bei Nutzung von Binding Corporate Rules?
Auch der Transfer personenbezogener Daten auf Grundlage von Binding Corporate Rules (BCR) in Drittländer ist grundsätzlich möglich. Hier gilt jedoch dasselbe wie bei SCC: Kann ein angemessenes Schutzniveau nicht gewährleistet werden (z.B. weil Schutzmaßnahmen durch im Drittland geltendes Recht unterminiert werden), ist der Transfer einzustellen.
Was müssen Unternehmen nun tun?
Auch hinsichtlich der notwendigen Maßnahmen, sollte ein dem der EU vergleichbares Schutzniveau nicht herstellbar sein, findet der EDSA deutliche Worte:
Was, wenn festgestellt ist, dass ein angemessener Schutz bei Datentransfers nicht gewährleistet werden kann?
Sollten zusätzliche Schutzmaßnahmen nicht möglich sein oder ist trotz dessen ein angemessenes Schutzniveau nicht zu gewährleisten, ist der Transfer einzustellen.
Hier erklärt der EDSA:
"If you come to the conclusion that, taking into account the circumstances of the transfer and possible supplementary measures, appropriate safeguards would not be ensured, you are required to suspend or end the transfer of personal data. However, if you are intending to keep transferring data despite this conclusion, you must notify your competent SA."
Nach Ansicht des EDSA müssen Unternehmen also die zuständige Aufsichtsbehörde benachrichtigen, sofern sie beabsichtigen Datentransfers in die USA (oder ein anderes unsicheres Drittland) aufrechtzuerhalten, obwohl ein geeigneter Schutz nicht gewährleistet werden kann.
Gibt es nun eine „Meldepflicht“ für Datentransfers in die USA?
Unternehmen, die festgestellt haben, dass trotz Standarddatenschutzklauseln oder Binding Corporate Rules und ggf. weiterer Schutzmaßnahmen ein angemessenes Datenschutzniveau nicht garantiert werden kann, aber dennoch personenbezogene Daten in die USA übermitteln wollen, sind verpflichtet, die zuständige Aufsichtsbehörde hierüber zu informieren.
Der EDSA bezieht sich bei seiner Aussage auf Rn. 145 des EuGH-Urteils. Dort heißt es:
"Lastly, under Clause 4(g) in that annex, the controller established in the European Union is required, when the recipient of personal data notifies him or her, pursuant to Clause 5(b), in the event of a change in the relevant legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the standard data protection clauses, to forward any notification to the competent supervisory authority if the controller established in the European Union decides, notwithstanding that notification, to continue the transfer or to lift the suspension. The forwarding of such a notification to that supervisory authority and its right to conduct an audit of the recipient of personal data pursuant to Clause 8(2) in that annex enable that supervisory authority to ascertain whether the proposed transfer should be suspended or prohibited in order to ensure an adequate level of protection."
Was die Pflicht zur Information der zuständigen Aufsichtsbehörde konkret bedeutet, ist nicht abschließend geklärt.
Gilt dies nur für Datentransfers in die USA?
Nein. Das vom EuGH beschriebene Mindestmaß an Schutz muss in jedem Drittland gewährleistet sein, in das sie personenbezogene Daten transferieren wollen.
Hat das Urteil des EuGH auch Auswirkungen auf andere Übertragungsinstrumente als das Privacy Shield?
Die Ausführungen des EuGH bezüglich der Sicherstellung eines angemessenen Datenschutzniveaus in Drittländern gilt für alle geeigneten Schutzmaßnahmen nach Artikel 46 DSGVO, die für die Übertragung von Daten aus dem EWR in ein Drittland verwendet werden. Der EDSA weist ausdrücklich darauf hin, dass das vom EuGH betrachtete US-Recht (d.h. Abschnitt 702 FISA und EO 12333) für jede Übertragung in die USA auf elektronischem Wege im Geltungsbereich dieser Gesetze gilt, unabhängig von dem für die Übertragung verwendeten Übertragungsinstrument.
Welche Handlungsmöglichkeiten haben Unternehmen?
Was konkrete Handlungsempfehlungen angeht, hält sich der EDSA mit Aussagen eher zurück und verweist auf derzeit stattfindende Prüfungen.
Was ist mit den Ausnahmetatbeständen des Art. 49 DSGVO? Sind sie eine Alternative?
Es ist möglich, personenbezogene Daten auf Grundlage der Ausnahmetatbestände des Art. 49 DSGVO in die USA zu übermitteln, sofern die Voraussetzungen des jeweiligen Tatbestandes vorliegen. Auch hier ist eine Einzelfallbetrachtung erforderlich.
Was ist mit zusätzlichen Schutzmaßnahmen gemeint und helfen sie immer?
Konkrete Empfehlungen zu zusätzlichen Schutzmaßnahmen gibt der EDSA vorerst nicht. Deutlich wird jedoch: Für Datenübertragungen in die USA helfen auch zusätzliche Schutzmaßnahmen eher nicht. Bei Übertragungen in andere Drittländer kommt es darauf an, ob das dortige Recht ein mit dem Schutzniveau der EU vergleichbaren Schutz zulässt oder – wie im Fall der USA – eben nicht.
Theoretisch sind sowohl rechtliche als auch technische oder organisatorische Maßnahmen möglich. Denkbar sind Vertragsänderungen oder -ergänzungen, zusätzliche Verschlüsselungen, ggf. Änderungen im Schlüsselmanagement.
Was ist mit Auftragsverarbeitern in Drittländern?
Der EDSA rät dazu, die Auftragsverarbeitungsverträge darauf zu überprüfen, ob ihr Vertragspartner selbst oder seine Subunternehmer Daten in den USA (oder anderen Drittländern) verarbeiten dürfen oder Dienstleistern aus den USA (oder anderen Drittländern) Zugriff auf personenbezogene Daten in der EU gewährt wird.
Ist dies der Fall, sollte der Vertragspartner kontaktiert werden, um eine Änderungs- oder Ergänzungsklausel zu Ihrem Vertrag auszuhandeln.
Was bedeutet dies alles für Unternehmen in der Praxis?
Unternehmen müssen jeden Transfer personenbezogener Daten in ein Drittland, insbesondere in die USA, überprüfen.
• Ermitteln Sie alle Ihre Datentransfers in Drittländer.
• Stellen Sie fest, auf welcher Rechtsgrundlage die Daten übertragen werden.
• Erfolgt der Transfer auf der Grundlage des Privacy Shield, ist zu prüfen, ob der Transfer nunmehr auf Standarddatenschutzklauseln, Binding Corporate Rules oder ein anders Transferinstrument aus Art. 46 DSGVO gestützt werden kann oder ob ein Ausnahmetatbestand des Art. 49 DSGVO greift.
• Erfolgt der Transfer auf Grundlage der Standarddatenschutzklauseln oder von BCR ist zu prüfen, ob hierdurch ein Schutz personenbezogener Daten gewährleistet ist, der im Wesentlichen denen des EU-Rechts entspricht.
• Ist dies nicht der Fall, ist zu prüfen, ob ein angemessenes Schutzniveau evtl. durch zusätzliche Schutzmaßnahmen erreicht werden kann. Die Umstände der Übermittlung sind dabei zu berücksichtigen. Zusätzliche Schutzmaßnahmen können ggf. zusätzliche Verschlüsselung oder eine Vertragsergänzung sein.
• Ist ein angemessenes Schutzniveau nicht zu gewährleisten, weil es dem Datenimporteur aufgrund von Rechtsvorschiften des Drittlands nicht möglich ist, die SCC zu erfüllen und die zusätzlichen Schutzmaßnahmen einzuhalten, ist zu prüfen, ob eine der Ausnahmen des Art. 49 DSGVO greifen. Ist auch dies nicht der Fall, ist der Datentransfer auszusetzen.
• Soll der Datentransfer trotz der Feststellung, dass ein angemessenes Schutzniveau nicht gewährleistet werden kann, fortgesetzt werden, hat das die Daten exportierende Unternehmen die zuständige Aufsichtsbehörde hierüber zu informieren.
Hier finden Sie das vollständige FAQ-Dokument des EDSA.
Beitrag hier kommentieren
