gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfers

Datentransfer in die USA nach dem Schrems-II-Urteil

/von

Vor Kurzem haben wir über eine aktuelle Entscheidung des EuGH vom 16.07.2020 in der Rechtssache C-311/18 berichtet, die auch als das sogenannte Schrems II-Urteil des EuGH bekannt ist (hierzu vgl. unseren Beitrag vom 21.07.2020). Dabei haben wir aufgezeigt, welche alternativen Möglichkeiten es gibt, um personenbezogenen Daten in die USA zu übermitteln, nachdem das sogenannte Privacy Shield-Abkommen (Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 DSGVO) durch den EuGH „gekippt“ wurde.

Mit unserem heutigen Beitrag möchten wir ein Update in diesem Zusammenhang liefern und auf eine sehr interessante Orientierungshilfe aufmerksam machen, die durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) in der bereits 2. und aktualisierten Fassung veröffentlicht wurde.

Welche Auffassung vertritt der LfDI BW?

In seiner aktuellen Orientierungshilfe beschreibt der LfDI BW sein weiteres Vorgehen im Zusammenhang mit den im Schrems II-Urteil durch den EuGH getroffenen Feststellungen und gibt gleichzeitig wertvolle Hinweise hinsichtlich der Maßnahmen, die aus seiner Sicht durch die Verantwortlichen zu ergreifen wären. Diese werden in einer übersichtlichen Checkliste zusammengefasst (herzu vgl. S. 9 ff. der Orientierungshilfe des LfDI BW).

Zu den Kernaussagen der Orientierungshilfe hinsichtlich der Datenübermittlung in die USA gehören unseres Erachtens die folgenden Punkte:

Hinweise zu den Standarddatenschutzklauseln

Bezüglich der Standarddatenschutzklauseln, die als eine geeignete Garantie für Datenübermittlungen in Drittländer gemäß Art. 46 Abs. 2 lit. c DSGVO in Betracht kommen, stellt der LfDI BW fest, dass eine Übermittlung der personenbezogenen Daten in die USA, die nur auf Basis der Standarddatenschutzklauseln (ehemals Standardvertragsklauseln) erfolgt, unzulässig wäre. Vielmehr seien zusätzliche Garantien notwendig, um einen wirksamen Schutz der betroffenen Personen zu gewährleisten.

Als Beispiel für eine solche zusätzliche Garantie nennt der LfDI BW die Verschlüsselung oder Anonymisierung der Daten vor der Übermittlung. Gleichzeitig stellt er jedoch auch fest, dass verschlüsselte Übermittlungen aus Erwägungen zur Praktikabilität wohl nur in einer verschwindend geringen Anzahl von Fällen eine praktikable Lösung darstellen würden.  Für die Mehrzahl der USA-Transfers wird dies nicht in Frage kommen können.

Empfehlungen des LfDI BW

Deshalb empfiehlt der LfDI BW Folgendes:

„Fehlt es an wirksamen zusätzlichen Garantien sollten Sie, um wenigstens Ihren Willen zu rechtskonformem Handeln zu demonstrieren und zu dokumentieren, Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über folgende Ergänzungen der Bestimmungen der Standardvertragsklauseln verständigen, die Sie am besten in einer gesonderten Vereinbarung oder im Hauptvertrag festhalten sollten“.

Nach dieser Empfehlung folgt in der Orientierungshilfe eine Reihe an Ergänzungsvorschlägen, die folgende Klauseln der Standarddatenschutzklauseln betreffen:

  • Klausel 4f:
    Hierbei geht es darum, die betroffenen Personen darüber zu informieren, dass die Daten in ein Drittland übermittelt werden, welches nicht über ein angemessenes Datenschutzniveau im Sinne der DSGVO verfügt.
  • Klausel 5d:
    Hierbei sollte der Datenimporteur verpflichtet werden, „den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde“.
  • Klausel 5d i:
    Hierbei geht es ebenfalls um die Verpflichtung des Datenimporteurs neben dem Datenexporteur auch die betroffenen Personen bzgl. aller Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der Daten zu informieren.
    Dabei bietet der LfDI BW seine Hilfestellung für den Fall an, wenn der Datenimporteur aufgrund der inländischen Verbote gehindert ist, die Informationen (z.B. bei strafrechtlichen Ermittlungen) zu erteilen.
  • Klausel 5 h:
    Der Datenimporteur wäre zu verpflichten, auch die betroffenen Personen, soweit diese bekannt sind, von der Auftragsvergabe an einen Subunternehmer zu informieren.
  • Klausel 6:
    In der Zusatzvereinbarung müsste geregelt werden, dass eine betroffene Person einen Schadensersatzanspruch nicht nur gegenüber dem Datenexporteur, sondern auch gegenüber dem Datenimporteur hat, soweit die betroffene Person durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten – sei es durch eine der Vertragsparteien oder einen Subunternehmer – erleidet

Zudem wird durch den LfDI BW empfohlen, den Datenimporteur zu verpflichten, die betroffenen Personen von allen Schäden freizustellen, die durch Datenzugriffe seitens der Stellen seines Staates entstehen würden.

Darüber hinaus wird empfohlen, die im Anhang 2 der Standarddatenschutzklauseln nur fakultativ enthaltene Entschädigungsklausel in die Standarddatenschutzklauseln aufzunehmen.

Hinweise bzgl. der Datenübermittlung aufgrund eines Ausnahmetatbestandes

Der LfDI BW weist in seiner Orientierungshilfe darauf hin, dass soweit andere Vorschriften keine ausreichende Grundlage für Datenübermittlungen bieten, geprüft werden sollte, inwiefern die Datenübermittlung aufgrund eines Ausnahmetatbestandes des Art. 49 DSGVO in Betracht käme.

Letztendlich käme unseres Erachtens regelmäßig nur die Einwilligungserklärung der betroffenen Person gemäß Art. 49 Abs. 1 lit. a DSGVO in Betracht. In diesem Fall wäre zu beachten, dass im Rahmen der Einholung einer solchen Einwilligungserklärung sowohl die allgemeinen Voraussetzungen des Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 und ggf. Art. 8 DSGVO sowie die besonderen Voraussetzungen des Art. 49 Abs. 1 lit. a DSGVO zu erfüllen wären.

Diese Norm setzt voraus, dass die betroffene Person – wie auch in Art. 9 Abs. 2 lit. a DSGVO der Fall – in die vorgeschlagene Drittlandübermittlung „ausdrücklich einwilligt“, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Das bedeutet, dass die Einwilligungserklärung sich ausdrücklich auf mögliche Risiken der Drittlandübermittlungen beziehen und über diese ausführlich informieren müsste.

Zu beachten wäre in diesem Zusammenhang, dass die Behörden die Datenübermittlung aufgrund einer Einwilligung bei routinemäßigen Übermittlungen langfristig für kaum möglich halten (hierzu vgl. insb.: Artikel-29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG, WP 114 v. 25.11.2005, S.13). Begründet wird dies insbesondere durch den jederzeit möglichen Widerruf der Einwilligung für die Zukunft.

Hinweise bzgl. des geplanten Vorgehens und der Sanktionen

Bezüglich seines Vorgehens führt der LfDI BW aus, dass im Zentrum seines weiteren Handelns, die Prüfung der Frage stehen werde, ob es im Einzelfall „zumutbare Alternativangebote ohne Transferproblematik“ neben dem aktuellen problematischen Vertragspartner bzw. Dienstleister gebe.

Bezüglich der geplanten Sanktionen führt der LfDI BW dabei aus, dass im Fall, wenn die Verantwortlichen die Behörde nicht davon überzeugen, dass es keine zumutbaren Alternativangebote gibt, der Datentransfer durch den LfDI BW untersagt wird. Auffällig ist, dass seitens der Aufsicht in diesem Fall keine (ausdrückliche) Androhung von abschreckenden Sanktionen wie beispielsweise Bußgeldern erfolgt.

Fazit

Die Orientierungshilfe des LfDI BW gibt den Verantwortlichen konkrete Hinweise dazu, wie das Problem des Datentransfers in die USA angegangen werden kann. Die praxisorientierten Hinweise und Empfehlungen sind nachvollziehbar und gut umsetzbar. Wir halten sie allerdings offen gesagt dennoch nicht für sehr erfolgversprechend.

Insbesondere aus den Ausführungen bzgl. des geplanten Vorgehens schließen wir, dass die Datenschutzaufsicht in Baden-Württemberg nicht nur für die Seite der betroffenen Personen, sondern insbesondere für die Seite der Verantwortlichen in der vorliegenden Situation Verständnis zeigt und deshalb folgenden Hinweis erteilt:

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten.

Wir hoffen, dass auch andere Aufsichtsbehörden sich der Vorgehensweise des LfDI BW anschließen und mit praxisorientierten Lösungsvorschlägen und Hilfestellungen versuchen, das Problem zu lösen, anstatt Angst und Schrecken durch Ankündigung abschreckender Sanktionen zu verbreiten. Dies wäre in Anbetracht der derzeit insgesamt sehr schwierigen Situation nicht besonders konstruktiv.

UNSER TIPP:
Um hinsichtlich der Auffassung ausgewählter Aufsichtsbehörden sowie internationaler und europäischer Institutionen zum Schrems II-Urteil des EuGH auf dem Laufenden zu bleiben, empfehlen wir, den entsprechenden laufend aktualisierten Überblick der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD e.V.) zu verfolgen. Über wichtige Änderungen werden wir selbstverständlich mit weiteren Artikeln in unserem Blog informieren.

Benötigen Sie Unterstützung bei der Prüfung Ihrer Übermittlungen in Drittländer? Rufen Sie uns an, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
clubhouseClubhouse auf geschäftlich genutzten Smartphones
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungPflicht zur Benennung von Datenschutzbeauftragten für Notare
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoAufgaben des Datenschutzbeauftragten nach der DSGVO
grundsätze der verarbeitung betroffenenrechte dienstleister dritte entwurf ki verordnung ki-vo-e chatgpt chat-gptLöschanfragen über Dritte – was ist zu beachten?
mail verschlüsselung einwilligungIst eine Einwilligung für unverschlüsselten Versand von E-Mails überhaupt möglich?