Schwere Zeiten für Datentransfer in Drittstaaten – „Privacy Shield“ fällt

Die Unsicherheit steigt: EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

By Karin Dietl On 20. August 2020

Mit der Entscheidung (Rechtssache C-311/18) hat der Europäische Gerichtshof (EuGH) das sogenannte „Privacy Shield“ zur Datenübermittlung in die USA für unwirksam erklärt. Auch ist der Einsatz von sog. Standardvertragsklauseln in Anbetracht von US-Überwachungsgesetze kritisch zu sehen. Mögliche Handlungsmöglichkeiten datenexportierender Unternehmen sind demnach eingeschränkt worden. Was Unternehmen nun tun müssen, zeigt dieser Beitrag zum internationalen Datenverkehr.

Index

Was bedeutet die Schrems II Entscheidung?

Mit dem Urteil C-311/18 des EuGHs zum Datentransfer zwischen der EU und den USA (sog. „Schrems II Urteil“) sind einige wichtige Fragen zum Datentransfer in Drittstaaten (wie USA, China, Indien, etc.) aufgeworfen worden.

Für Unternehmen ist es nun notwendig ihre Datenflüsse in Drittstaaten zu analysieren und zu beurteilen auf welchen Rechtsgrundlagen sich diese Datenübermittlung stützt.

Folgende Rechtsgrundlagen kommen dabei in Frage:

Angemessenheitsbeschluss (wie bei Datentransfer in die Schweiz)
Einwilligung der Betroffen zum Datentransfer
Gelegentliche (!) Datenübermittlung im Zusammenhang mit einer Vertragserfüllung
Einsatz von Standardvertragsklauseln (Standard Contractual Clauses – SSCs) oder Verbindliche interne Datenschutzvorschriften (Business Corporate Rules – BCRs)
Abkommen zwischen der Europäischen Union und Drittstaaten (wie bspw. das ungültige Privacy Shield)

Wo liegt das Problem bei Datentransfer in die USA?

Mit der Schrems II Entscheidung wurde das EU-US Privacy Shield für ungültig erklärt, da es Bedenken des EuGHs geschürt hatte, dass aufgrund von US-Gesetzen das notwendige Datenschutzniveau nicht erreicht werden kann. Dies insbesondere nicht, weil durch US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung ermöglicht wird und Europäer keine bzw. eine eingeschränkte Klageberechtigungen hätten.

Es dennoch möglich Daten auf Basis der SCCs weiterhin übertragen zu können. Jedoch ist beim Einsatz von SCCs darauf zu achten, dass ein angemessenes Datenschutzniveau im Hinblick auf die US-Überwachungsgesetze gewährleistet werden kann. Verantwortliche sind also dazu aufgefordert zu prüfen, ob dies der Fall ist oder aber der Datentransfer müsste gestoppt werden. Demnach wäre beim Auftragsverarbeiter bzw. Datenempfänger in der USA nachzufragen, ob dieser einem Überwachungsgesetz unterliegt oder nicht (Section 702 FISA and EO 12333; “electronic communication service provider”). Dann wäre wiederum kein angemessenes Datenschutzniveau mit den SCCs sicherzustellen.

Einzelfallprüfung für Standardvertragsklauseln und Business Corporate Rules

Wird festgestellt, dass ein Datentransfer in ein Drittland vorgenommen und welche relevante Rechtsgrundlage eingesetzt wird, sollte als nächster Schritt eine Kontaktaufnahme mit dem Datenimporteur erfolgen. Gemeinsam soll eine Einzelfallprüfung vorgenommen werden, inwieweit ein angemessenes Datenschutzlevel gesichert werden kann (zB kein Zugriff von Sicherheitsbehörden auf Basis nationaler Rechtsgrundlagen).

Falls kein adäquates Datenschutzlevel sichergestellt werden kann, die SCCs aber dennoch weiterhin eingesetzt werden sollen, ist die Datenschutzbehörde davon in Kenntnis zu setzen. Da besonders „electronic communication service providers“ davon betroffen sind, sind Datentransfer zu Firmen wie AWS, AT&T, Apple, Facebook, Google, Microsoft, Verizon, uvm. genauestens zu prüfen. Diese Anbieter hätten auch die Verantwortlichen davon informieren müssen, dass US-Gesetze (wie FISA 702 und EO 12.333) einem Datentransfer entgegenstehen. Inwiefern hier Haftungen für Kosten der Rückübertragung der Daten durchsetzen lassen, wird sich in Zukunft zeigen.

Der Europäische Datenschutzausschuss wird weitere Details und Hilfestellungen erarbeiten unter welchen Umständen ein Datentransfer – trotz SCCs / BCRs – nicht stattfinden kann. Auch soll näher definiert werden, welche Maßnahmen (organisatorisch, technisch) ergriffen werden können, sodass ein adäquates Datenschutzlevel beim Einsatz von SCCs garantiert werden kann.

Datenverarbeitung durch Auftragsverarbeiter

Ebenso ist die Datenverarbeitung durch Auftragsverarbeiter betroffen. Nun sind solide Regelungen in Verträgen Gold wert. Wer genau definiert hat, ob sein Auftragsverarbeiter Daten in Drittstaaten übermitteln oder einen Zugriff auf Daten erlauben darf, ist nun im Vorteil. Des Weiteren sind Regelungen zur Beauftragung von Sub-Auftragsverarbeitern mit Sitz in Drittstaaten in Situationen wie diesen mehr als sinnvoll.

Ist klar, dass der Auftragsverarbeiter Daten in Drittstaaten übermittelt bzw. in die USA transferiert, ist es nun Aufgabe des Verantwortlichen wiederum festzustellen, ob ein angemessenes Datenschutzniveau gewährleistet werden kann. Wäre dies nichtzutreffend, ist die Frage inwieweit eine Alternative (wie Einwilligung) genutzt werden kann oder aber eine Vertragsanpassung muss verhandelt werden, die den Datentransfer in die USA verbietet. Damit müssten der Auftragsverarbeiter und der Verantwortliche eine Alternative suchen die Daten in der EU/EWR zu verarbeiten.

Karin Dietl

Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.