Spätestens seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) ist klar, dass die Hürden der Übermittlung von personenbezogenen Daten in Drittländer, für die es keinen Angemessenheitsbeschluss der Kommission gibt, dazu gehören insbesondere die USA, sehr hoch sind. Insbesondere steht nach Rechtsauffassung des EuGH sogar ausdrücklich fest, dass aufgrund der weitreichenden Befugnissen von Ermittlungsbehörden in den USA, es sich dabei sogar um ein Land handelt, bei dem die Übermittlung von personenbezogenen Daten nicht allein auf die Standardvertragsklauseln der Kommission gestützt werden kann. Insbesondere bedarf es hier weiterer Garantien, die der Datenexporteur (regelmäßig ein Unternehmen) mit den Datenimporteur (regelmäßig ein Dienstleister oder ein sonstiger Vertragspartner) zusätzlich vereinbaren muss.

Wie weitreichend hier die Erwartungen der Aufsichtsbehörden sind, kann in einer Orientierungshilfe des LfDI für Baden-Württemberg aus dem vergangenen Jahr entnommen werden. Diese ist abrufbar unter nachstehenden link:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf

Nach gut einem Jahr seit der Rechtsprechung des EuGH vom 16. Juli 2020 ist es nach Auffassung der Aufsichtsbehörden nunmehr an der Zeit, eine länderübergreifende, koordinierte Prüfung bei Unternehmen in Bezug auf deren internationalen Datentransfer durchzuführen. Hierzu hat der LfDI für verschiedene Fallkonstellationen am 2. Juni 2021 Fragenkataloge veröffentlicht, mit denen die Aufsichten nunmehr gezielt an Unternehmen herantreten werden.

Die Fragenkataloge sind abrufbar unter:

https://www.baden-wuerttemberg.datenschutz.de/koordinierte-pruefung-internationaler-datentransfers/
 

Wie aus den Erläuterungen zu den oben genannten Fragenkatalogen ersichtlich, sieht die Datenschutzaufsicht ihre Rolle immer noch in der Beratungsfunktion. Allerdings hat auch die Datenschutzaufsicht erkannt, dass die Unternehmen erst dann dem Datenschutz den gebührenden Stellenwert eingeräumt haben, nachdem die Praxis der Aufsichtsbehörden dazu übergegangen ist, von der Möglichkeit der Verhängung von Bußgeldern Gebrauch zu machen.

So jedenfalls hat sich der LfDI für Baden-Württemberg, Dr. Stefan Brink, in seinem regelmäßig erscheinenden Podcast geäußert, welcher unter nachstehendem Link nachzuhören ist:

https://www.baden-wuerttemberg.datenschutz.de/podcast-datenfreiheit-folge-14-drei-jahre-ds-gvo/

Bemerkenswert ist jedoch, dass ganze zwei (!) Tage nach der Veröffentlichung des Fragenkatalogs, ohne bisher weitere Stellungnahme des LfDI, die Europäische Kommission am 4. Juni 2021 neue Standardvertragsklauseln angenommen hat, die bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Ziel war es auch die neuen Anforderungen der Datenschutz-Grundverordnung sowie die Vorgaben aus dem Schrems-II-Urteil vom Juli 2020 zu berücksichtigen.

Siehe zum Ganzen auch:

https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en

Zu den beiden bisherigen Vertragskonstellationen der Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen, bzw. eines Verantwortlichen an einen Auftragnehmer, kamen zwei neue Module hinzu, welche eine internationale Datenübertragung von Auftragnehmer und Unterauftragsverarbeiter, sowie der Konstellation vorsehen, dass der Auftragsverarbeiter in der Europäischen Union Daten an den Controller in den USA zurückgibt.

Nach erster Durchsicht der neuen Module wird es in der Praxis für die Verantwortlichen und die jeweiligen Unternehmen nicht einfacher werden, legal personenbezogene Daten in „unsichere“ Drittländer zu übertragen.

Die neuen Standardvertragsklauseln mögen sicherlich in zahlreichen Punkten den Anforderungen der Rechtsprechung des EuGH für die sichere Übermittlung von personenbezogenen Daten in Drittländer gerecht werden. Aber wir haben große Bedenken, dass der Datenschutz dadurch in der Praxis gewahrt werden kann, dass die Parteien Verträge nach den neuen Mustern abschließen, welche noch weitreichendere wechselseitige Verpflichtungen zur Wahrung des Datenschutzes vorsehen.

Beispielhaft möchten wir dies an einem fiktiven – gleichwohl in der Praxis häufigen – Fall verdeutlichen.

Soweit z.B. ein mittelständisches Unternehmen IT-Dienstleistungen im Zusammenhang mit einem Rechenzentrum in Anspruch nimmt, so hat das mittelständische Unternehmen als datenschutzrechtlich “Verantwortlicher“ zu prüfen, wo und durch wen die Verarbeitung der personenbezogenen Daten bei Inanspruchnahme der Dienstleistungen des Rechenzentrumsvertrages stattfindet. Häufig werden jedoch diese Dienstleistungen, insbesondere die Speicherung oder der Support, nicht direkt durch den persönlich bekannten Dienstleister, sondern von einem seiner hinzugezogenen Subunternehmer erbracht. Befindet sich nun der Serverstandort oder der Standort des Subunternehmens, welches den Support erbringt, in einem Drittland, so hat das mittelständische Unternehmen als Datenexporteur – vor Übermittlung – eine Transferfolgenabschätzung unter Berücksichtigung der Besonderheiten der datenschutzrechtlichen Situation in diesem Drittland durchzuführen.

Insbesondere ist der Datenexporteur verpflichtet, die von ihm durchgeführte Transferfolgenabschätzung zu dokumentieren und diese der zuständigen Kontrollstelle (Aufsicht) auf Anfrage zur Verfügung zu stellen.

Die neuen Klauseln legen die Faktoren fest, die der Datenexporteur bei einer Transferfolgenabschätzung berücksichtigen muss.

Neben der Berücksichtigung des Rechts und der Praxis im Drittland (die dem jeweiligen Unternehmen in der Regel gar nicht bekannt sein können) enthalten die Klauseln auch Hinweise u.a. auf die Vertragsdauer, den Umfang und die Regelmäßigkeit der Übermittlungen, die Länge der Verarbeitungskette und den verwendeten Übermittlungskanal, die Art des Empfängers, den Zweck der Übermittlung und die Art der übermittelten Daten.

Hat ein Datenexporteur Grund zu der Annahme, dass ein Datenimporteur seinen Verpflichtungen aus den Klauseln nicht nachkommen kann (Problematik bei Übertragung in die USA aufgrund der weitreichenden Handhabe der dortigen Ermittlungsbehörden und den sehr eingeschränkten Möglichkeiten des effektiven Rechtsschutzes des Betroffenen), sei es, weil der Importeur dies mitgeteilt hat, sei es, weil er selbst zu dieser Schlussfolgerung gelangt ist, so darf der Datenexporteur die Übermittlung personenbezogener Daten nur dann fortsetzen, wenn er zusätzliche Sicherheitsvorkehrungen trifft. Wenn ein Datenexporteur diesen Ansatz wählt, muss er dies der Kontrollbehörde mitteilen und die zur Überprüfung durch die Kontrollbehörde angenommenen Sicherheitsvorkehrungen im Einzelnen darlegen, insbesondere:

• gegenüber Versuchen von Behörden im Drittland, Zugang zu personenbezogenen Daten aus der EU zu erhalten;
• muss der Datenimporteur - soweit möglich - sowohl den Datenexporteur als auch die betroffene Person darüber informieren, dass er einen Antrag einer öffentlichen Behörde auf Zugang zu diesen Daten erhalten hat;
• muss er die Rechtmäßigkeit einer solchen Anordnung unter Bezugnahme auf das im Drittland geltende Recht beurteilen, und wenn er der Ansicht ist, dass er Gründe hat, die Anordnung anzufechten, muss er dies tun;
• muss er - soweit möglich - eine vorläufige Maßnahme zur Aussetzung der Verpflichtung zur Offenlegung von Daten beantragen, solange die Anfechtung noch anhängig ist;
• muss er auch die Mindestmenge an personenbezogenen Daten offenlegen, die vernünftigerweise als Reaktion auf eine Anordnung möglich ist;
• muss er auch einen Transparenzbericht erstellen (d.h. allgemeinere Informationen über die Art der eingegangenen Anträge)

Wir haben große Zweifel, dass dies den Verantwortlichen ohne weiteres möglich sein wird.

Näheres bleibt hierzu sicherlich abzuwarten. Insbesondere gehen wir davon aus, dass die deutschen Landesdatenschutzaufsichten zeitnah eine ergänzende Orientierungshilfe veröffentlichen werden (müssen).

Handlungsbedarf besteht im Übrigen in zeitlicher Hinsicht für alle Unternehmen, die auch in der Zukunft eine Datenübermittlung in Drittländer auf Basis der bisherigen Standardvertragsklauseln vornehmen.

In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der alten Standardvertragsklauseln geschlossen wurden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne der DS-GVO bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Ab dem 27.12.2022 sind dann die neuen Muster in der richtigen Fassung zu verwenden.

Cornelius Weiß

Rechtsanwalt