Auch in dieser Woche möchten wir Sie über die aktuellen Ereignisse rund um das Scheitern des EU-US Privacy Shield informieren. Nachdem es in der ersten Woche nach bekanntwerden des Urteils noch ruhig blieb, gibt es nun einige Antworten auf die zahlreichen Fragen. Das Heft hat hier unter anderem das EDPB (European Data Protection Board) in die Hand genommen.
Was ist das European Data Protection Board?
Das European Data Protection Board, (zu Deutsch: Der Europäische Datenschutzausschuss - EDSA) ist eine unabhängige europäische Einrichtung. Ziel des Ausschusses ist es, die einheitliche Anwendung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen und die Zusammenarbeit zwischen den Datenschutzbehörden der EU zu fördern.
Welche Aufgaben hat der Europäische Datenschutzausschuss?
Der EDPB ist unter anderem für die Herausgabe von Leitlinien, Empfehlungen und Ermittlung bewährter Praktiken im Zusammenhang mit der Auslegung der DSGVO verantwortlich. Zudem berät er die Europäische Kommission in Fragen des Schutzes personenbezogener Daten im Europäischen Wirtschaftsraum (EWR) und verabschiedet Stellungnahmen zur Gewährleistung einer kohärenten Anwendung der DSGVO durch die nationalen Aufsichtsbehörden. Das EDPB setzt sich aus den jeweiligen Vertretern der EU-Mitgliedsstaaten zusammen. Deutscher Vertreter ist Herr Prof. Ulrich Kelber (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit - BfDI).
In einem am 23. Juli 2020 veröffentlichten Dokument hat der EDPB zu zahlreichen Fragen Stellung bezogen.1 Herr Prof. Ulrich Kelber betonte in einer am 24. Juli 2020 veröffentlichten Stellungnahme, dass es sich um ein „lebendes Dokument“ handelt. Es ist also davon auszugehen, dass in den kommenden Tagen und Wochen weitere Stellungnahmen zu praxisbezogenen Fragestellungen veröffentlicht werden. Unsere Kunden halten wir selbstverständlich stets „Up-to-Date“.
1 siehe „Frequently Asked Questions on the judgment oft he Court of Justice oft he European Union in Case C-311/18 – Date protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems“
Welche Antworten liefert der EDPB?
Der EDPB hat zu zahlreichen Fragen Stellung bezogen, die der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz auf seiner Webseite2 veröffentlicht hat.
Was müssen Verantwortliche, die das EU-US Privacy Shield als Grundlage der Übermittlung in ein Drittstaat verwenden haben, nun tun?
Das EU-US Privacy Shield kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig. Verantwortliche müssen umgehend auf andere Transferinstrumente des Kapitel V DSGVO umstellen. Stehen keine anderen Transferinstrumente zur Verfügung und kann auch kein Ausnahmetatbestand des Art. 49 DSGVO herangezogen werden, muss der Verantwortliche die Datenübermittlung aussetzen. Darüber hinaus sind bereits übermittelte Daten zurückzufordern bzw. zu vernichten.
2 Siehe https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/ (zuletzt abgerufen am 27.07.2020)
Gibt es eine Übergangsfrist?
Nein, Datenübermittlungen auf Grundlage des EU-US Privacy Shield sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DSGVO vor.
Die Standardvertragsklauseln sind weiterhin gültig. Bleibt für die Verantwortlichen, die diese als Transferinstrument verwenden, alles beim Alten?
Ja und nein. Eine Anpassung der Standardvertragsklauseln durch die EU-Kommission ist nicht erforderlich. Sie sind als solche gültig. Der EuGH hat jedoch klargestellt, dass die Verantwortlichen, die die Standardvertragsklauseln verwenden, ihren daraus erwachsenden Pflichten nachkommen müssen. Wenn sich herausstellt, dass der Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, hat der datenexportierende Verantwortliche in der EU z.B. gemäß Klausel 5 des Standardvertrags für Datenübermittlungen von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (2010/87/EU) das vertraglich begründete Recht, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Um nicht gegen die Vorschriften der DSGVO zu verstoßen, muss der Verantwortliche in diesem Fall von diesem Recht Gebrauch machen.
Dies galt auch schon vorher. Mit seinem Urteil verdeutlicht der EuGH, dass sich datenexportierende Stellen dauerhaft mit der Gesetzeslage des Ziellandes auseinandersetzen müssen, um nicht von den Aufsichtsbehörden in der EU für Datenschutzverstöße durch die importierenden Stelle im Drittland belangt zu werden.
Können die Vertragsparteien die Standardvertragsklauseln selbst anpassen und so für ihre konkrete Vertragsbeziehung geeignete Garantien schaffen?
Der EuGH benennt die Möglichkeit der Ergänzung der Standardvertragsklauseln durch die Vertragsparteien, um in dieser konkreten Vertragsbeziehung dennoch geeignete Garantien dafür zu schaffen, dass das durch die DSGVO verbürgte Schutzniveau für natürliche Personen nicht beeinträchtigt wird (Rn. 132). Ziel ist hierbei, ein Schutzniveau zu erreichen, das dem in der Union durch die DSGVO im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist (Rn. 92, 94, 96, 105). Als Kriterien hierfür sind insbesondere die in Art. 45 Abs. 2 DSGVO genannten heranzuziehen (Rn. 104).
Offen ist, ob dies im Einzelfall tatsächlich möglich ist, insbesondere z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die Standardvertragsklauseln gebunden sind. Offen ist darüber hinaus auch, wie sich diese Möglichkeit zu Art. 46 Abs. 3 lit. a DSGVO verhält, also ab wann die o.g. Ergänzungen einer aufsichtsbehördlichen Genehmigungspflicht unterliegen.
Können die Standardvertragsklauseln generell nicht mehr für Datenübermittlungen in die USA verwendet werden?
Dies wird derzeit geprüft und hängt im Wesentlichen von der Auslegung der US-Sicherheitsgesetze ab. Die Sicherheitsgesetze in den USA, wie Sec. 702 FISA, der den US-Sicherheitsbehörden ohne richterlichen Beschluss erlaubt, in bestimmten Fällen Zugriff auf personenbezogene Daten zu nehmen, gelten vorrangig gegenüber Telekommunikationsunternehmen. Für Datenübermittlungen an solche Unternehmen können die Standardvertragsklauseln in der Regel nicht verwendet werden.
Darüber hinaus hat das Gesetz ggf. Auswirkungen auch auf andere Unternehmen, z.B. dann, wenn diese Unternehmen Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege doch Zugriff auf die Daten erhalten.
Denkbar ist zudem, dass allein aufgrund der Tatsache der elektronischen Datenübermittlung, also der Tatsache dass die Daten auf dem Weg zum Empfänger in den USA durch die Kabel US-amerikanischer Telekommunikationsanbietern fließen, Sec. 702 FISA auf alle auf diesem Weg übermittelten Daten Anwendung findet.
Darüber hinaus ist im Zusammenhang mit der Datenübermittlung in die USA zu bedenken, dass gemäß der US-amerikanischen Executive Order 12.333 auch eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen kann, wenn diese die transatlantischen Kabel durchqueren.
Allgemeiner gesprochen bedeutet dies:
In dem Fall, dass die US-Sicherheitsgesetze, die dem EU-Datenschutzrecht entgegenstehen, auf alle Datenübermittlungen von der EU in die USA anwendbar sind, kann das Schutzniveau in den USA insgesamt als nicht dem in der EU herrschenden Schutzniveau gleichwertig angesehen werden. In diesem Fall stellen die Standardvertragsklauseln, so wie sie formuliert sind, keine geeigneten Garantien für die Datenübermittlung in die USA dar.
In dem Fall, dass die US-Sicherheitsgesetze nur auf bestimmte Datenübermittlungen in die USA Anwendung finden, obliegt es dem Datenexporteuer in der EU, unter Einbeziehung des jeweiligen Datenimporteurs in den USA, zu prüfen, ob bzw. welchen Gesetzen seines Heimatlandes der Datenimporteur bzw. die jeweilige Datenübermittlung zu diesem unterliegt und zu bewerten, ob die Standardvertragsklauseln in diesem Fall geeignete Garantien darstellen.
Was müssen Verantwortliche, die die Standardvertragsklauseln verwenden, jetzt tun?
Die Verantwortlichen müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland, an den sie die Daten übermitteln möchten und ggf. dessen weitere Vertragspartner in dieser Geschäftsbeziehung, unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu genügen, sind diese Prüfungen sowie die Ergebnisse zu dokumentieren. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.
Sollten sich Beeinträchtigungen offenbaren, besteht die – zumindest theoretische – Möglichkeit, diese durch Ergänzungen der Standardvertragsklauseln zu beheben (Rn. 132). Ob ein Beheben tatsächlich möglich ist, insbesondere im Falle der Kollision der Gesetze des Drittlandes mit dem europäischen Datenschutzrecht, ist fraglich und wird sich in der praktischen Anwendung zeigen. Hier ist der Einzelfall zu prüfen. Auch, ab wann die Grenze zu Ad hoc-Verträgen (Art. 46 Abs. 3 lit. a DSGVO) überschritten ist, es sich also um genehmigungspflichtige Vereinbarungen handelt, ist eine noch ungeklärte Frage.
Die Prüfung kann ggf. in den Fällen umgangen werden, in denen andere Transferinstrumente des Kapitel V DSGVO oder ein Ausnahmetatbestand des Art. 49 DSGVO herangezogen werden können. Letzteres kommt z.B. häufig bei Reisebuchungen in Betracht, dürfte aber für typische Outsourcing-Szenarien, also Dienstleistungen, die auch in der EU / dem EWR erbracht werden könnten, aber in einem Drittland leichter, billiger oder besser erbracht werden, kaum in Betracht kommen. Beim Wechsel zu anderen Transferinstrumenten ist zu berücksichtigen, dass das EuGH-Urteil auch auf diese Auswirkungen haben könnte (siehe unten).
Was müssen Verantwortliche, die die Standardvertragsklauseln verwenden, veranlassen, wenn die empfangene Stelle im Drittland einem nationalen Gesetz unterliegt, das gegen die Grundsätze der DSGVO bzw. der Art. 7 und 8 EU-Grundrechtecharta verstößt?
Wenn die mit den Standardvertragsklauseln benannten datenschutzrechtlichen Garantien durch den Datenimporteur aufgrund der Gesetzeslage in seinem Heimatland nicht eingehalten werden können, muss der Datenexporteur, also der Verantwortliche in der EU, Datenübermittlungen dorthin aussetzen, weil er ansonsten selbst gegen das Datenschutzrecht verstößt. Bereits in das Drittland übermittelte Daten sind sämtlich vom Datenimporteur zurückzuschicken oder zu zerstören (Rn. 143). Die Vertragsparteien können versuchen, durch Ergänzungen der Standardvertragsklauseln geeignete Garantien zu schaffen (siehe oben).
Auf welcher Grundlage kann der Verantwortliche weiterhin Datenübermittlungen an die betreffende Stelle im Drittland vornehmen, wenn er die Standardvertragsklauseln nicht nutzen kann?
Der Verantwortliche muss prüfen, welches andere Transferinstrument des Kapitel V DSGVO für die Datenübermittlungen in Betracht kommt oder ob ggf. ein Ausnahmetatbestand des Art. 49 DSGVO greift.
Was ist, wenn keine andere Grundlage gefunden werden kann?
Wenn es keine Grundlage gibt, die den Datentransfer legitimiert, muss dieser – ggf. dauerhaft – ausgesetzt werden, da ansonsten ein Verstoß gegen Art. 44 DSGVO vorliegt. Ggf. haben Verantwortliche die Möglichkeit, auf Anbieter der gleichen Dienstleistungen in der EU bzw. dem EWR auszuweichen.
Welche Fragen müssen sich Verantwortliche in der EU im Zusammenhang mit den Standardvertragsklauseln nun stellen?
- Übermittele ich personenbezogene Daten in ein Land außerhalb der EU bzw. dem EWR?
- Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DSGVO Standardvertragsklauseln der EU-Kommission?
- Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DSGVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen oder gibt es andere Anhaltspunkte dafür, dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können?
- Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Können die Standardvertragsklauseln mithilfe weiterer Vereinbarungen zwischen den Vertragsparteien so ergänzt werden, dass das so geschaffene Schutzniveau dem in der Union garantieren Schutzniveau der Sache nach gleichwertig ist?
- Wenn ja, ist die Prüfung hier zu Ende. Wenn nein: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DSGVO oder auf einen Ausnahmetatbestand des Art. 49 DSGVO gestützt werden?
- Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DSGVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DSGVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Setzen Sie den Datentransfer umgehend aus und fordern Sie die bereits übermittelten Daten vom Datenimporteur zurück bzw. fordern Sie diesen auf, die Daten zu vernichten. Nehmen Sie Kontakt mit künftigen Vertragspartnern in Ländern auf, in denen die Daten besser geschützt sind.
Hat das Urteil des EuGH Auswirkungen auf andere Transferinstrumente des Kapitel V DSGVO, wie etwa Binding Corporate Rules?
Der EuGH hat die generelle Aussage getroffen, dass die geeigneten Garantien so beschaffen sein müssen, dass sie ein Schutzniveau gewährleisten, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist (Rn. 96). Dies legt nahe, dass alle Transferinstrumente des Art. 46 DSGVO am Maßstab dieser Gleichwertigkeit zu messen sind. Verantwortliche und Auftragsverarbeiter sollten daher auch bei der Verwendung anderer Transferinstrumente als den Standardvertragsklauseln prüfen, ob diese den Anforderungen genügen.
Was sollte vom Verantwortlichen getan werden?
Die Beurteilung des EDPB kommen nicht überraschend und decken sich mit unserer Beurteilung. Daher hat sich unsere Einschätzung geändert. Zunächst gilt: Ruhe bewahren!
Verantwortliche Stellen sollten weiterhin eingebundene US-Dienstleister identifizieren und die Rechtsgrundlage für den Datenexport prüfen. Wie in den FAQ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz ersichtlich, müssen die nationalen Sicherheitsgesetze der USA nun behördlich geprüft werden. Hierbei können sich dementsprechend zwei Szenarien ergeben:
- Die nationalen Sicherheitsgesetze der USA sind nur auf Telekommunikationsanbieter anzuwenden – allgemeine IT-Dienstleister und Cloud-Anbieter wären nicht betroffen und ein geeignetes Schutzniveau kann ggf. bestätigt werden
- Die nationalen Sicherheitsgesetze der USA treffen auch auf die allgemeinen IT-Dienstleister und Coud-Anbieter zu, da zumindest die Datenübertragung durch das Telekommunikationsnetz der USA geleitet werden muss. In diesem Fall könnte wohl kein geeignetes Schutzniveau bescheinigt werden. Der Datenexport sowie die Verarbeitung bei US-Dienstleistern wären zu beenden.
Ob ein geeignetes Schutzniveau existiert, kann wohl nur durch eine individuelle Analyse eines jeden Dienstleisters entschieden werden (Case By Case-Analyse). Hierzu sollten Verantwortliche auch die Stellungnahmen der Dienstleister in einem Drittland einholen. Für den Verantwortlichen wird es schwierig sein zu identifizieren, ob in einem Drittland Gesetze existieren, die das geforderte Schutzniveau unterwandern.
Was ist noch wichtig?
Das Urteil hat nicht nur Bedeutung für die direkte Vertragsbeziehung mit einem Auftragsverarbeiter. Verantwortliche Stellen müssen ebenfalls prüfen, ob vom Auftragsverarbeiter (mit Sitz in der EU) weitere Dienstleister in die Verarbeitung der personenbezogenen Daten eingebunden werden, die ihren Sitz in einem Drittland haben. In diesen Fall bleibt das verantwortliche Unternehmen weiter „verantwortlich“ und muss auch diesen Datenexport im Zweifel rechtfertigen können.
Stimmen zum EuGH-Urteil
Tankred Schipanski, digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion
„Die Ungültigerklärung des EU-US Privacy Shields durch den Europäischen Gerichtshof ist ein Rückschlag für den rechtssicheren transatlantischen Datenaustausch. Der Grundrechtsschutz europäischer Bürgerinnen und Bürger muss gewahrt sein. EU-Bürger müssen sich auf ein hohes Maß an Datenschutz im Umgang mit ihren Daten verlassen können. Aber es gilt auch: Ein einheitlicher Rechtsrahmen für den transatlantischen Datenaustausch ist notwendig, um Rechtssicherheit - besonders für Startups und den Mittelstand der europäischen Digitalindustrie - zu garantieren. So entsteht Wachstum – auf beiden Seiten des Atlantiks. Daher ist es nun erforderlich, den Versuch zu unternehmen, mit den USA ein neues Instrument zu finden, mit dem der Datenschutz für Europäische Bürgerinnen und Bürger - auf Grundlage unserer Wertegemeinschaft - verbessert wird und das transatlantischen Datenaustausch rechtssicher möglich macht. Auch wenn die Nutzung von Standardvertragsklauseln für die Übermittlung personenbezogener Daten möglich bleibt, ist die Europäische Kommission daher dringend aufgerufen, schnell konkrete Vorschläge zu unterbreiten, um auf Augenhöhe eine neue Grundlage für den rechtssicheren Datenaustausch zwischen der EU und den USA zu schaffen.“ (vgl. https://www.cducsu.de/presse/pressestatement/eu-kommission-muss-schnell-wieder-rechtssicherheit-fuer-eu-us-datentransfer-schaffen, abgerufen am 27.07.2020)
Dr. Lutz Hasse, Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Thüringens Datenschutzbeauftragter Dr. Lutz Hasse begrüßt zum einen die ausdrückliche Feststellung im EuGH-Urteil, dass der Einsatz von US-Programmen zur Überwachung des Datenverkehrs nicht auf das zwingend erforderliche Maß beschränkt sei. „Daraus leitet der EuGH zutreffend die fehlende Verhältnismäßigkeit ab, die mit dem Datenschutzrecht der EU nicht vereinbar ist“, so der Thüringer Datenschutzbeauftragte. Für Dr. Hasse ist es zum anderen auch kein Wunder, dass der EuGH das PrivacyShield-Abkommen für ungültig erklärt hat: „Gerade der so genannte Ombudsmechanismus, also das Verfahren, wie sich eine betroffene Person an die Ombudsperson (eine Art Datenschutzbeauftragter in den USA) wenden kann, um überprüfen zu lassen, ob ihre Daten rechtmäßig verarbeitet wurden, war immer wieder Gegenstand der Kritik von Datenschützern. Ich bin dem EuGH für seine klare Feststellung dankbar, dass dieser Ombudsmechanismus nicht die EU-Rechtsschutzgarantien erfüllt“, so der Thüringer Datenschützer. Der EuGH hat in seinem Urteil sowohl die fehlende Unabhängigkeit als auch die unzureichenden Kontrollbefugnisse der Ombudsperson bemängelt. Fraglich bleibt für Dr. Hasse aber, wie die weiterhin anwendbaren Standardvertragsklauseln der EU künftig mit „Leben erfüllt“ werden sollen. Diese Klauseln sollen die Garantien dafür bieten, dass es bei der Daten-Übermittlung aus der EU ins Ausland angemessenen Schutz für die personenbezogenen Daten von EU-Bürgern gibt. „Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHs nun auch die europäischen Datenschutzaufsichtsbehörden verstärkt in der Pflicht“, so der Thüringer Datenschutzbeauftragte. (vgl. https://www.tlfdi.de/mam/tlfdi/presse/200716_pressemitteilung.pdf, zuletzt abgerufen am 27.07.2020)
Die Beauftragten für den Datenschutz in der EKD
Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung „Schrems II“ vom 16.07.2020 den Beschluss 2016/1250 der EU-Kommission über die Angemessenheit des vom EU-US-Privacy Shield gebotenen Schutzes für ungültig erklärt. Der EuGH hat seine Entscheidung damit begründet, dass die amerikanischen Behörden nach dem Recht der USA auf solche Daten, die aus der EU in das Drittland USA übermittelt werden, zugreifen und sie verwenden dürfen. Zudem gebe es keinen wirksamen Rechtsschutz. Die Übermittlung von personenbezogenen Daten in die USA oder andere Drittländer sei nur möglich, wenn das betreffende Land für diese Daten ein angemessenes Schutzniveau gewährleiste und es eine effiziente Möglichkeit gebe, seine Rechte geltend zu machen. Gleichzeitig hat der EuGH festgestellt, dass der Datentransfer unter diesen Bedingungen aber weiterhin auf Standardvertragsklauseln gestützt werden könne. Voraussetzung dafür sei allerdings, dass die Verantwortlichen den ihnen nach den Klauseln obliegenden Verpflichtungen nachkommen. Das bedeutet, dass sich die datenexportierenden kirchlichen und diakonischen Stellen nun dauerhaft mit der Gesetzeslage im Zielland auseinandersetzen müssen. In der Konsequenz ist eine Datenübermittlung in die USA unter dem EU-US-Privacy Shield rechtswidrig. Auch bei der Datenübermittlung in die USA nach Standardvertragsklauseln besteht ein erhebliches rechtliches Risiko. Der EuGH hat festgestellt, dass zur Zeit das Datenschutzniveau in den USA nicht dem in der EU entspreche und dass es dort keinen effektiven Rechtsschutz für EU-Bürger gebe. Datenübermittlungen in die USA tragen daher ein erhebliches Haftungsrisiko in sich. Als Konsequenz der Entscheidung des EuGH müssen sich die Datenschutzaufsichtsbehörden untereinander nun dazu abstimmen, um eine einheitliche Rechtsanwendung zu erreichen. Die Entscheidung des EuGH wirft bei kirchlichen und diakonischen Stellen, den betroffenen Personen und den Aufsichtsbehörden Fragen auf. Ziel unserer weiteren Bemühungen ist es, zu einer einheitlichen Vorgehensweise mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen. (vgl. https://datenschutz.ekd.de/wp-content/uploads/2020/07/EuGH_Urteil_Stellungnahme.pdf, abgerufen am 27.07.2020)
Der Diözesandatenschutzbeauftragte des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O.
In dem am Donnerstag, 16. Juli 2020, verkündeten Urteil des EuGH („Schrems II“) erklärt der Gerichtshof den „Privacy Shield“ für ungültig. Zur Urteilsbegründung führt der Gerichtshof aus, dass das Datenschutzniveau der EU und damit der durch die DS-GVO festgelegte und geforderte Schutz für personenbezogene Daten bei einer Übermittlung in die USA durch das Datenschutzabkommen („Privacy Shield“) nicht gewährt werden kann.
In den Fällen, in denen Verantwortliche die Datenübermittlungen in die USA auf das nun nicht mehr gültige Datenschutzabkommen zwischen der EU und den USA gestützt haben, müssen diese nun handeln, da sie andernfalls personenbezogene Daten ohne Rechtsgrundlage in ein Drittland transferieren. Nicht für generell ungültig erklärt wurden die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c) und d) DS-GVO.
Bei der Verwendung von Standarddatenschutzklauseln müssen die Einrichtungen jedoch künftig bei der Übermittlung personenbezogener Daten in ein Drittland überprüfen, ob dort - evtl. auch durch zusätzliche vertragliche Vereinbarungen - ein angemessenes Datenschutzniveau hergestellt werden kann und diese Vereinbarungen eingehalten werden können. Nur in diesem Fall können die Standarddatenschutzklauseln eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland darstellen. Daher obliegt den Verantwortlichen in den kirchlichen Einrichtungen eine Rechtsprüfung, inwiefern das Datenschutzniveau im jeweiligen Drittland dem der DS-GVO entspricht bzw. dort von den Vertragspartnern eingehalten werden kann.
Das Urteil betrifft für die Anwendung der Standarddatenschutzklauseln alle Datenübertragungen in Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DS-GVO unterfallen. Durch den Wegfall des „Privacy Shield“ fehlt ein solcher Beschluss jetzt auch für die USA. Nach den Ausführungen des EuGH (insbesondere Rn. 185/197) ist für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich.
Der EuGH hat auch die Erwartung geäußert, dass die europäischen Datenschutzaufsichten eine einheitliche Auslegung unter den Aufsichtsbehörden herbeiführen.
Die Datenschutzaufsichten arbeiten derzeit noch intensiv an dieser einheitlichen Auslegung und stimmen sich ab. Sofern bisher vorgenommene Übermittlungen personenbezogener Daten in die USA nun nicht mehr auf eine gültige Rechtsgrundlage gestützt werden können, werden die Diözesandatenschutzbeauftragten die Vorgaben des Urteils umsetzen; das erfordert aber intensive Untersuchungen zu der Frage, wie - ohne Gefährdung des laufenden Betriebs - ein Ausstieg möglich ist. Das mag in einigen Bereichen schneller gehen und in anderen länger dauern. (vgl. https://www.datenschutz-kirche.de/20200723, zuletzt abgerufen am 27.07.2020)
Andrea Jelinek, European Data Protection Board
While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.
If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of. (vgl. https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_de, abgerufen am 27.07.2020)