gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfers

Datentransfer in die USA nach dem Schrems-II-Urteil

/von

Vor Kurzem haben wir über eine aktuelle Entscheidung des EuGH vom 16.07.2020 in der Rechtssache C-311/18 berichtet, die auch als das sogenannte Schrems II-Urteil des EuGH bekannt ist (hierzu vgl. unseren Beitrag vom 21.07.2020). Dabei haben wir aufgezeigt, welche alternativen Möglichkeiten es gibt, um personenbezogenen Daten in die USA zu übermitteln, nachdem das sogenannte Privacy Shield-Abkommen (Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 DSGVO) durch den EuGH „gekippt“ wurde.

Mit unserem heutigen Beitrag möchten wir ein Update in diesem Zusammenhang liefern und auf eine sehr interessante Orientierungshilfe aufmerksam machen, die durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) in der bereits 2. und aktualisierten Fassung veröffentlicht wurde.

Welche Auffassung vertritt der LfDI BW?

In seiner aktuellen Orientierungshilfe beschreibt der LfDI BW sein weiteres Vorgehen im Zusammenhang mit den im Schrems II-Urteil durch den EuGH getroffenen Feststellungen und gibt gleichzeitig wertvolle Hinweise hinsichtlich der Maßnahmen, die aus seiner Sicht durch die Verantwortlichen zu ergreifen wären. Diese werden in einer übersichtlichen Checkliste zusammengefasst (herzu vgl. S. 9 ff. der Orientierungshilfe des LfDI BW).

Zu den Kernaussagen der Orientierungshilfe hinsichtlich der Datenübermittlung in die USA gehören unseres Erachtens die folgenden Punkte:

Hinweise zu den Standarddatenschutzklauseln

Bezüglich der Standarddatenschutzklauseln, die als eine geeignete Garantie für Datenübermittlungen in Drittländer gemäß Art. 46 Abs. 2 lit. c DSGVO in Betracht kommen, stellt der LfDI BW fest, dass eine Übermittlung der personenbezogenen Daten in die USA, die nur auf Basis der Standarddatenschutzklauseln (ehemals Standardvertragsklauseln) erfolgt, unzulässig wäre. Vielmehr seien zusätzliche Garantien notwendig, um einen wirksamen Schutz der betroffenen Personen zu gewährleisten.

Als Beispiel für eine solche zusätzliche Garantie nennt der LfDI BW die Verschlüsselung oder Anonymisierung der Daten vor der Übermittlung. Gleichzeitig stellt er jedoch auch fest, dass verschlüsselte Übermittlungen aus Erwägungen zur Praktikabilität wohl nur in einer verschwindend geringen Anzahl von Fällen eine praktikable Lösung darstellen würden.  Für die Mehrzahl der USA-Transfers wird dies nicht in Frage kommen können.

Empfehlungen des LfDI BW

Deshalb empfiehlt der LfDI BW Folgendes:

„Fehlt es an wirksamen zusätzlichen Garantien sollten Sie, um wenigstens Ihren Willen zu rechtskonformem Handeln zu demonstrieren und zu dokumentieren, Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über folgende Ergänzungen der Bestimmungen der Standardvertragsklauseln verständigen, die Sie am besten in einer gesonderten Vereinbarung oder im Hauptvertrag festhalten sollten“.

Nach dieser Empfehlung folgt in der Orientierungshilfe eine Reihe an Ergänzungsvorschlägen, die folgende Klauseln der Standarddatenschutzklauseln betreffen:

  • Klausel 4f:
    Hierbei geht es darum, die betroffenen Personen darüber zu informieren, dass die Daten in ein Drittland übermittelt werden, welches nicht über ein angemessenes Datenschutzniveau im Sinne der DSGVO verfügt.
  • Klausel 5d:
    Hierbei sollte der Datenimporteur verpflichtet werden, „den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde“.
  • Klausel 5d i:
    Hierbei geht es ebenfalls um die Verpflichtung des Datenimporteurs neben dem Datenexporteur auch die betroffenen Personen bzgl. aller Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der Daten zu informieren.
    Dabei bietet der LfDI BW seine Hilfestellung für den Fall an, wenn der Datenimporteur aufgrund der inländischen Verbote gehindert ist, die Informationen (z.B. bei strafrechtlichen Ermittlungen) zu erteilen.
  • Klausel 5 h:
    Der Datenimporteur wäre zu verpflichten, auch die betroffenen Personen, soweit diese bekannt sind, von der Auftragsvergabe an einen Subunternehmer zu informieren.
  • Klausel 6:
    In der Zusatzvereinbarung müsste geregelt werden, dass eine betroffene Person einen Schadensersatzanspruch nicht nur gegenüber dem Datenexporteur, sondern auch gegenüber dem Datenimporteur hat, soweit die betroffene Person durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten – sei es durch eine der Vertragsparteien oder einen Subunternehmer – erleidet

Zudem wird durch den LfDI BW empfohlen, den Datenimporteur zu verpflichten, die betroffenen Personen von allen Schäden freizustellen, die durch Datenzugriffe seitens der Stellen seines Staates entstehen würden.

Darüber hinaus wird empfohlen, die im Anhang 2 der Standarddatenschutzklauseln nur fakultativ enthaltene Entschädigungsklausel in die Standarddatenschutzklauseln aufzunehmen.

Hinweise bzgl. der Datenübermittlung aufgrund eines Ausnahmetatbestandes

Der LfDI BW weist in seiner Orientierungshilfe darauf hin, dass soweit andere Vorschriften keine ausreichende Grundlage für Datenübermittlungen bieten, geprüft werden sollte, inwiefern die Datenübermittlung aufgrund eines Ausnahmetatbestandes des Art. 49 DSGVO in Betracht käme.

Letztendlich käme unseres Erachtens regelmäßig nur die Einwilligungserklärung der betroffenen Person gemäß Art. 49 Abs. 1 lit. a DSGVO in Betracht. In diesem Fall wäre zu beachten, dass im Rahmen der Einholung einer solchen Einwilligungserklärung sowohl die allgemeinen Voraussetzungen des Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 und ggf. Art. 8 DSGVO sowie die besonderen Voraussetzungen des Art. 49 Abs. 1 lit. a DSGVO zu erfüllen wären.

Diese Norm setzt voraus, dass die betroffene Person – wie auch in Art. 9 Abs. 2 lit. a DSGVO der Fall – in die vorgeschlagene Drittlandübermittlung „ausdrücklich einwilligt“, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Das bedeutet, dass die Einwilligungserklärung sich ausdrücklich auf mögliche Risiken der Drittlandübermittlungen beziehen und über diese ausführlich informieren müsste.

Zu beachten wäre in diesem Zusammenhang, dass die Behörden die Datenübermittlung aufgrund einer Einwilligung bei routinemäßigen Übermittlungen langfristig für kaum möglich halten (hierzu vgl. insb.: Artikel-29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG, WP 114 v. 25.11.2005, S.13). Begründet wird dies insbesondere durch den jederzeit möglichen Widerruf der Einwilligung für die Zukunft.

Hinweise bzgl. des geplanten Vorgehens und der Sanktionen

Bezüglich seines Vorgehens führt der LfDI BW aus, dass im Zentrum seines weiteren Handelns, die Prüfung der Frage stehen werde, ob es im Einzelfall „zumutbare Alternativangebote ohne Transferproblematik“ neben dem aktuellen problematischen Vertragspartner bzw. Dienstleister gebe.

Bezüglich der geplanten Sanktionen führt der LfDI BW dabei aus, dass im Fall, wenn die Verantwortlichen die Behörde nicht davon überzeugen, dass es keine zumutbaren Alternativangebote gibt, der Datentransfer durch den LfDI BW untersagt wird. Auffällig ist, dass seitens der Aufsicht in diesem Fall keine (ausdrückliche) Androhung von abschreckenden Sanktionen wie beispielsweise Bußgeldern erfolgt.

Fazit

Die Orientierungshilfe des LfDI BW gibt den Verantwortlichen konkrete Hinweise dazu, wie das Problem des Datentransfers in die USA angegangen werden kann. Die praxisorientierten Hinweise und Empfehlungen sind nachvollziehbar und gut umsetzbar. Wir halten sie allerdings offen gesagt dennoch nicht für sehr erfolgversprechend.

Insbesondere aus den Ausführungen bzgl. des geplanten Vorgehens schließen wir, dass die Datenschutzaufsicht in Baden-Württemberg nicht nur für die Seite der betroffenen Personen, sondern insbesondere für die Seite der Verantwortlichen in der vorliegenden Situation Verständnis zeigt und deshalb folgenden Hinweis erteilt:

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten.

Wir hoffen, dass auch andere Aufsichtsbehörden sich der Vorgehensweise des LfDI BW anschließen und mit praxisorientierten Lösungsvorschlägen und Hilfestellungen versuchen, das Problem zu lösen, anstatt Angst und Schrecken durch Ankündigung abschreckender Sanktionen zu verbreiten. Dies wäre in Anbetracht der derzeit insgesamt sehr schwierigen Situation nicht besonders konstruktiv.

UNSER TIPP:
Um hinsichtlich der Auffassung ausgewählter Aufsichtsbehörden sowie internationaler und europäischer Institutionen zum Schrems II-Urteil des EuGH auf dem Laufenden zu bleiben, empfehlen wir, den entsprechenden laufend aktualisierten Überblick der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD e.V.) zu verfolgen. Über wichtige Änderungen werden wir selbstverständlich mit weiteren Artikeln in unserem Blog informieren.

Benötigen Sie Unterstützung bei der Prüfung Ihrer Übermittlungen in Drittländer? Rufen Sie uns an, wir helfen Ihnen gerne!

Das könnte Sie auch interessieren
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoVerantwortung bei der Verarbeitung von Daten unter der DSGVO
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bNutzung öffentlich zugänglicher Verzeichnisse für Werbung
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoDaten von Besuchern in Unternehmen | Datenschutz nach DSGVO
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenGesetzesänderung – Daten sind nun ganz offiziell ein Zahlungsmittel!
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgUlrich Kelber zum Bundesdatenschutzbeauftragten gewählt
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung unter der EU-Datenschutz-Grundverordnung
Schadensersatz nach der DSGVO – wieviel darf´s denn sein?aufsichtsbehörde bußgeld eprivacy verordnung epvo schadensersatzcookies einwilligung nachweis consentmanagerCookies – Nachweisbarkeit der Einwilligung