Orientierungshilfe für den internationalen Datentransfere des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI)

In unserem Beitrag vom 14.06.2021 haben wir darauf aufmerksam gemacht, dass die Kommission am 04.06.2021 neue Standarddatenschutzklauseln für die Übermittlung von personenbezogenen Daten in Drittländer beschlossen hat.

In diesem Artikel haben wir schon darauf hingewiesen, dass wir erwarten, dass der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI) seine Orientierungshilfe für den internationalen Datentransfere anpassen wird.

Dies ist nunmehr geschehen. Die angepasste Orientierungshilfe ist abrufbar unter:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/07/20210729_Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf

Leider vermissen wir auch in dieser aktualisierten Fassung praxistaugliche Handlungsempfehlungen, wie in Zukunft rechtssicher personenbezogene Daten in Drittstaaten (insbesondere in die USA) übermittelt werden können. Nach unserem Ersteindruck ist dies auch nicht bei Abschluss der neuen Standarddatenschutzklauseln möglich, sollten die Daten nicht verschlüsselt oder anonymisiert übermittelt werden. Beides dürften häufig wenig praxistaugliche Möglichkeiten der sicheren Übermittlung darstellen, wie auch der LfDI anmerkt.

Um zu verstehen, weshalb der rechtmäßige Datentransfare in Drittländer, insbesondere die USA rechtlich so schwierig ist, lohnt sich ein genauerer Blick in die aktualisiert Orientierungshilfe.

In der aktualisierten Orientierungshilfe finden sich zunächst Ausführungen dazu, weshalb die USA ein "unsicheres" Drittland sind.

Hier heißt es auf Seiten 3 ff.:

"Aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA kann ein angemessenes staatliches Datenschutz-Niveau (Art. 45 DS-GVO) nicht sichergestellt werden (u.a.):

  • Section 702 des Foreign Intelligence Surveillance Act (FISA) sieht keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vor,
  • Presidential Policy Directive 28 (PPD-28) gibt Betroffenen keine wirksamen Rechtsbehelfe gegen Maßnahmen der US-Behörden und sieht keine Schranken für die Sicherstellung verhältnismäßiger Maßnahmen vor,
  • der im Privacy Shield vorgesehene Ombudsmann hat keine genügende Unabhängigkeit von der Exekutive; er kann keine bindenden Anordnungen gegenüber den Geheimdiensten treffen.

Maßstab der Feststellung des EuGH, dass die staatlichen Überwachungsmaßnahmen der USA unverhältnismäßig sind, ist die EU- Grundrechte-Charta."

Und weiter heißt es:

"3. Die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (2010/87/EU vom 05.02.2010; jetzt: Standarddatenschutzklauseln), Art. 46 Abs. 2 c DS-GVO sind noch bis zum 27.12.2022 gültig (Übergangsfrist). Sie werden durch neue Standardvertragsklauseln nach Art. 28 Abs. 7 DS-GVO ersetzt (Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021).
Aber: Es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.

  • Auszulegen im Lichte der EU-Grundrechte-Charta und im Hinblick auf Art. 46 Abs. 1 DS-GVO: geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen,
  • Hier sind nicht nur die vertraglichen Beziehungen zwischen Datenexporteur und Datenimporteur relevant, sondern auch die Zugriffsmöglichkeit auf die Daten durch Behörden des Drittlandes und das Rechtssystem dieses Landes insgesamt (Gesetzgebung und Rechtsprechung, Verwaltungspraxis von Behörden).

Die Standardvertragsklauseln können allerdings die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar.

Der Verantwortliche muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren.

  • Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.
  • Das gilt insbesondere, wenn das Recht des Drittlandes dem Datenimporteur Verpflichtungen auferlegt, die geeignet sind, vertraglichen Regeln, die einen geeigneten Schutz gegen den Zugriff durch staatliche Behörden vorsehen, zuwider zu laufen.

4. Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, wenn der Schutz nicht durch andere Maßnahmen hergestellt werden kann. "

Wir stellen uns nach diesen Ausführungen die Frage, wie bei der oben dargestellten Rechtslage in den USA, an der sich nichts durch die neuen Standarddatenschutzklauseln geändert hat, den Vorgaben der DSGVO - selbst bei Vereinbarung der neuen Standarddatenschutzklauseln -  entsprochen werden kann, soweit personenbezogene Daten in die USA übermittelt werden.

Abgesehen von den technischen Möglichkeiten der Verschlüsselung oder der Anonymisierung, bleibt auch nach den neuen Standarddatenschutzklauseln die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in die USA zweifelhaft.

Leider ist die Problematik nicht auf die USA beschränkt, sonder gilt auch für alle anderen Drittstaaten, für die kein Angemessenheitsbeschluss der Kommission vorliegt.

Dies Liste der Drittländer, für die ein Angemessenheitsbeschluss vorliegt, kann hier abgerufen werden:

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Aus unsrer Sicht ist es für die Verantwortlichen wichtig zu dokumentieren, welche Gedanken sie sich vor Übermittlung von personenbezogenen Daten in Drittländer gemacht haben. Die Verantwortlichen sollten die Ergebnisse Ihrer Abwägung und die Bewertung von Risiken der Übermittlung dokumentieren. Auch ist wichtig von in Drittstaaten ansässigen Vertragspartnern, insbesondere Auftragsverarbeitern, Auskünfte einzuholen, wie es vor Ort bei der dort geltenden Rechtslage mit dem Datenschutzniveau bestellt ist. Auch dies ist zu dokumentieren.

Ebenfalls wichtig ist ferner, dass die Verantwortlichen ihre Verträge rechtzeitig vor dem 27.12.2022 (Übergangsfrist) auf die neuen Standarddatenschutzklauseln anpassen, sollten diese personenbezogene Daten in Drittstaaten ohne Angemessenheitsbeschluss übermitteln.

Im schlimmsten Fall, sollte das Ergebnis der Prüfung des Schutzniveaus in dem Empfängerland ergeben, dass dieses als nicht ausreichend angesehen werden kann, hat der Verantwortliche den Transfer auszusetzen oder zu beenden. Beides wird wohl in der Praxis eine Konsequenz sein, vor der sich die meisten Unternehmen scheuen werden.

Cornelius Weiß
Rechtsanwalt
Fachanwalt für Bank- und Kapitalmarktrecht

Karlsruhe, 02.08.21

Tätigkeitsfelder von Cornelius Weiß

  • Banken, Kapitalmarkt und Versicherungen
  • IP, IT und Datenschutz
  • Prozessführung und Schiedsgerichtsbarkeit