Auf welche Grundlagen kann der Datenexport in Drittstaaten (außerhalb der EU) gestützt werden?
Beim Export von personenbezogenen Daten nach Destinationen außerhalb der EU (Drittländer oder Internationale Organisationen iSd Kapitels V der DSGVO) sollte beim Empfänger ein angemessenes Datenschutzniveau bestehen, damit die Schutzrechte der Betroffenen gewahrt bleiben. Nur in den in Art 49 DSGVO genannten speziellen Situationen darf eine Übermittlung ungeachtet des Datenschutzniveaus beim Empfänger vorgenommen werden, und zwar wenn die Übermittlung zur Vertragserfüllung oder aus bestimmten anderen wichtigen Gründen1 notwendig ist oder auf der ausdrücklichen Einwilligung der betroffenen Person beruht.
Dass bei bestimmten Destinationen (ein Drittland, eine Internationale Organisation, ein Gebiet in einem Drittland oder einer oder mehrere Sektoren in diesem Drittland oder in einer Internationalen Organisation) ein angemessenes Datenschutzniveau besteht, kann durch speziellen Angemessenheitsbeschluss der EU Kommission mit verbindlicher Wirkung festgestellt werden, was z.B. hinsichtlich Schweiz oder Kanada (privater Bereich) oder auch USA (nur im Bereich des „privacy shield“) geschehen ist.
Soweit ein solcher Beschluss nicht existiert, muss das angemessene Datenschutzniveau beim Empfänger in den von Art 49 DSGVO nicht erfassten Fällen mit anderen Mitteln hergestellt werden, nämlich v.a. durch (von der EU Kommission genehmigte) Standardvertragsklauseln oder genehmigte (konzern)interne verbindliche Datenschutzvorschriften oder z.B. durch spezielle Bestimmungen in genehmigten Verhaltensregeln oder Zertifizierungsmechanismen2.
Angemessenheit des „Privacy Shield“:
Anlass des Urteils des EuGH im Fall C‑311/18 („Schrems II“) war ein konkreter Datentransfer aus der EU (Irland) in die USA, gestützt u.a. auf den Umstand, dass der Datenempfänger in den USA Mitglied des „Privacy Shield“ ist. Der Privacy Shield ist ein Regelwerk, beruhend auf einem Abkommen zwischen der EU und den USA, auf dessen Einhaltung sich in den USA niedergelassene Unternehmen verpflichten können. Durch Entscheidung der EU-Kommission wurde die Angemessenheit des unter dem Privacy Shield erzeugten Datenschutzniveaus im Sinne des Art 45 Abs 1 DSGVO verbindlich festgestellt.
Der EuGH hat dazu geurteilt, dass angemessener Datenschutz unter dem Privacy Shield nicht gewährleistet sei, weil nach dem US-Rechtssystem staatliche Zugriffe auf personenbezogene Daten bei Unternehmen mit US-Affiliation in unverhältnismäßiger Weise zulässig seien und überdies Betroffenen aus der europäischen Union kein ausreichender Rechtsschutz gegen solche Zugriffe in den USA gewährt werde. Aus diesen Gründen hat der EuGH die Angemessenheitsentscheidung der EU-Kommission zum Privacy Shield aufgehoben, und zwar ohne Setzung einer Übergangsfrist, was die sofortige Rechtswidrigkeit von Datenübermittlungen in die USA bewirkt, die bisher auf Grundlage des Privacy Shield stattgefunden haben.
Angemessenheit von Standarddatenschutzklauseln:
Angemessener Datenschutz bei ausländischen Datenempfängern kann auch mit Hilfe von „Standarddatenschutzklauseln“, die von der EU-Kommission genehmigt wurden (Art 46 Abs 2 lit c DSGVO), erzeugt werden. Der EuGH hat die diesbezüglichen Beschlüsse der EU-Kommission ausdrücklich als rechtmäßig aufrechterhalten, allerdings unter folgendem Vorverständnis: Die Standarddatenschutzklauseln können nur solange als Grundlage für zulässigen Datenexport ins Drittausland herangezogen werden, als dort eine tatsächliche und rechtliche Situation herrscht, die keine unverhältnismäßigen Zugriffe auf personenbezogene Daten, die aus der EU importiert wurden, zulässt.
Spezielle Risiken im Empfängerland können grundsätzlich durch zusätzliche Vereinbarungen zwischen dem Datenexporteur und dem Importeur über besondere Schutzmaßnahmen abgefangen werden; dies wird jedoch bei Eingriffen staatlicher Stellen nicht möglich sein. Sollte sich die Rechtssituation im Empfängerland in bedenklicher Weise ändern, muss der für den Datenexport Verantwortliche trotz vereinbarter Datenschutzklauseln den Datentransfer umgehend einstellen.
Die kontinuierliche Beurteilung der Rechtssituation im Empfängerland und dementsprechendes Handeln ist somit Pflicht des in der EU niedergelassenen Verantwortlichen. Die nationalen Datenschutzbehörden der EU-Mitgliedsstaaten haben das Recht, eine auf Standarddatenschutzklauseln gegründete Datenübermittlung zu untersagen, wenn eine hohe Wahrscheinlichkeit besteht, dass die Datenschutzklauseln in einem bestimmten Empfängerland nicht eingehalten werden (können). Die Verantwortung dafür, dass ins Ausland übermittelte Daten tatsächlich entsprechend vereinbarten Datenschutzklauseln verwendet werden, trifft jedoch aus Sicht der DSGVO in erster Linie den Datenexporteur.
Kann der Datenexport in die USA auf Datenschutzklauseln gestützt werden, soweit er nicht nach Art 49 DSGVO ohnehin zulässig ist?
Dies wird nach der Entscheidung des EuGH nicht ohne Weiteres möglich sein. Wohl können die von der EU-Kommission genehmigten Standardvertragsklauseln durch die Vertragsparteien ergänzt werden, um zusätzliche geeignete Schutzmaßnahmen vorzusehen, doch entziehen sich die vom EuGH im Hinblick auf die US-Rechtsordnung gerügten unverhältnismäßigen Eingriffsrechte staatlicher Institutionen einer Abhilfe durch Vertrag zwischen Unternehmen.
Der Datenexport in die USA wird daher in Zukunft unterbleiben müssen, sofern der Empfänger hinsichtlich der ihm übermittelten Daten unverhältnismäßigen Zugriffsrechten von US-Behörden, insbesondere gemäß den US-Rechtsvorschriften FISA 702 und/oder EO 12.333, unterliegt. Die Inanspruchnahme von Software und Dienstleistungen, die zu einem Datenfluss führen, auf den US-Behörden Zugriff beanspruchen, wird durch Verwendung von Produkten anderer – am sichersten: europäischer – Hersteller ersetzt werden müssen.
Um herauszufinden, ob verwendete Produkte einem solchen Zugriffsrecht von US-Behörden unterliegen, wäre der Produkt-Hersteller zu befragen3. Falls der Verantwortliche die Absicht hat, trotz bestehender Zugriffsrechte von US-Behörden auf die an ihn übermittelte Daten, diese wegen zwingender Gründe weiter zu übermitteln, muss er dies der für ihn zuständigen Datenschutzbehörde mitteilen, wie dies der Europäische Datenschutzausschuss in seiner Beantwortung von FAQs zum Fall Schrems II ausdrücklich festhält4. Dadurch wird die in den Standarddatenschutzklauseln vorgesehene Möglichkeit der Datenschutzbehörde, die Datenübermittlung auszusetzen oder zu untersagen5, unterstützt.
Fußnoten:
Insbes. aus wichtigen Gründen des öffentlichen Interesses, wegen Erforderlichkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen von Personen.
Vgl. Art 46 DSGVO
Dies kann z.B. mit Hilfe des auf der Website von NOYB angebotenen Fragebogens durchgeführt werden: Model requests to US providers or providers with US ties.
Siehe Antwort zu Frage 6 in den am 23. Juli 2020 verabschiedeten Antworten zu FAQs zum Urteil des EuGH im Fall C-311/18.
Vgl. Art 4 (1) der Kommissionsentscheidung 2001/497/EG und Art 4 (1) Kommissionsentscheidung 2010/87/EU
Copyright: Photo by Štěpán Vraný on Unsplash