Daten­über­mitt­lun­gen außerhalb der EU und DSGVO

Auswir­kun­gen des Urteils des EuGHs in Sachen „Schrems II“

Datenschutz EuGH Schrems 2

AUTOR

Claudia Hamm
Salary Partner, Frankfurt
c.hamm@asd-law.com

Claudia Hamm

Grund­sätz­lich bedürfen nach der Daten­schutz-Grund­ver­ord­nung (DSGVO) Daten­über­mitt­lun­gen an Dritte einer Rechts­grund­la­ge. Auch wenn für die Übermitt­lung von Daten an Dritte eine solche Rechts­grund­la­ge besteht, bedarf es für die Übermitt­lung in ein Land außerhalb der EU bzw. des EWR – sog. Drittland — einer weiteren Rechts­grund­la­ge. Dafür stellt die DSGVO eine Reihe von Instru­men­ta­ri­en zur Verfügung, die eine solche Übermitt­lung ermög­li­chen. So ist eine Übermitt­lung zum Beispiel möglich, wenn

es für das entspre­chen­de Drittland einen Beschluss der EU-Kommis­si­on gibt, dass ein angemes­se­nes Daten­schutz­ni­veau besteht;

die Übermitt­lung mittels durch Beschluss der EU erlas­se­nen Standard­ver­trags­klau­seln erfolgt.

Für die Übermitt­lung von Daten in die USA bestand ein Beschluss der EU-Kommis­si­on, nachdem in der USA ansässige Unter­neh­men, die nach dem Privacy Shield Abkommen zwischen der EU und den USA zerti­fi­ziert sind, ein angemes­se­nes Daten­schutz­ni­veau gewähr­leis­ten. Die Übermitt­lung an solche Unter­neh­men war demnach möglich. Das Privacy Shield Abkommen ist der Nachfol­ger des Safe Harbour Abkommens, welches bereits im Jahre 2015 vom EuGH als unwirksam angesehen wurde.

Die Schrems II Entschei­dung des EuGHs vom 16. Juli 2020 — C‑362/14

In Bezug auf eine Daten­über­mitt­lung in die USA vertritt der EuGH in dieser Entschei­dung die Auffas­sung, dass insbe­son­de­re zwei Vorschrif­ten der US-Gesetz­ge­bung einem angemes­se­nen Schutz der perso­nen­be­zo­ge­nen Daten nach der DSGVO entge­gen­ste­hen.

Basierend auf einer dieser Vorschrif­ten werden in den USA Überwa­chungs­pro­gram­me zur Abwehr von Terro­ris­mus genutzt, die unter bestimm­ten Voraus­set­zun­gen

zum einen die Anbieter von Inter­net­diens­ten verpflich­ten, der NSA (National Security Agency) die gesamte Kommu­ni­ka­ti­on vorzu­le­gen, die von überwach­ten Nicht-US-Bürgern, versandt oder empfangen wurden

und zum anderen Telekom­mu­ni­ka­ti­ons­un­ter­neh­men, die z.B. das Netz von Kabeln, Switches und Routern betreiben, die die Funktion des Internets ermög­li­chen, verpflich­ten, der NSA zu gestatten, die Inter­net­ver­kehrs­flüs­se zu kopieren und zu filtern, um Zugang zu der Kommu­ni­ka­ti­on von Nicht-US-Bürgern zu erlangen.

Die andere Vorschrift erlaubt der NSA den Zugang zu Daten, die „auf dem Weg“ in USA sind. Die NSA kann insoweit Zugriff auf die am Grunde des Atlantiks verlegten Seekabel nehmen und entspre­chen­de Daten sammeln und speichern bevor sie in den USA ankommen.

Diese Regelun­gen, so der EuGH, seien mit dem Schutz der Privat­sphä­re und der perso­nen­be­zo­ge­nen Daten nach den Grund­sät­zen der EU nicht vereinbar, da zum einen den Betrof­fe­nen keine adäquaten Rechts­be­hel­fe gegen solche Maßnahmen zustünden, und um anderen der Grundsatz der Verhält­nis­mä­ßig­keit bei der Daten­samm­lung nicht gewahrt würde.

Auf Grund dieser Feststel­lun­gen gelangt der EuGH zu der Auffas­sung, dass der Beschluss der EU-Kommis­si­on zum Privacy Shield Abkommen unwirksam ist.

Die durch die EU-Kommis­si­on erlas­se­nen Standard­ver­trags­klau­seln sieht der EuGH jedoch grund­sätz­lich als wirksam an. Aller­dings stellt der EuGH an die Nutzung dieser Standard­ver­trags­klau­seln zur daten­schutz­recht­li­chen Zuläs­sig­keit hohe Anfor­de­run­gen. So muss nach dem EuGH für jede Daten­über­mitt­lung, die auf Standard­ver­trags­klau­seln gestützt werden soll, geprüft werden, ob in dem entspre­chen­den Drittland recht­li­che Bestim­mun­gen existie­ren, die gegebe­nen­falls dem Schutz der Privat­sphä­re und der perso­nen­be­zo­ge­nen Daten der EU entge­gen­ste­hen.

Ist dies der Fall, so können die Standard­ver­trags­klau­seln nur genutzt werden, wenn gegebe­nen­falls durch zusätz­li­che Verein­ba­run­gen sicher­ge­stellt wird, dass die entspre­chen­den Gesetze keinen Einfluss auf die Daten­über­mitt­lung haben. Erfolgt dies nicht oder ist dies für die entspre­chen­de Daten­über­mitt­lung nicht möglich, so kann eine solche Daten­über­mitt­lung nicht daten­schutz­kon­form auf die Standard­ver­trags­klau­seln gestützt werden.

Auswir­kun­gen der Entschei­dung auf die Praxis?

Daten­über­mitt­lung in die USA

Daten­über­mitt­lun­gen in die USA auf Basis des Privacy Shields sind nicht mehr möglich und müssen daher sofort beendet werden.

Bei Daten­über­mitt­lun­gen auf Basis von Standard­ver­trags­klau­seln, muss überprüft werden, ob die vom EuGH zitierten Vorschrif­ten, auf sie Anwendung finden und wenn ja, ob ggf. durch zusätz­li­che Verein­ba­run­gen sicher­ge­stellt werden kann, dass die entspre­chen­den Vorschrif­ten keinen Einfluss auf die jeweilige Daten­über­mitt­lung haben. Eine solche Überprü­fung muss auch für andere Vorschrif­ten in den USA vorge­nom­men werden, die ggf. dem Schutz der Privat­sphä­re und der perso­nen­be­zo­ge­nen Daten der EU entge­gen­ste­hen.

Daten­über­mitt­lun­gen in andere Dritt­län­der

Auch hier muss nun nach den Vorgaben des EuGHs geprüft werden, ob in dem jewei­li­gen Drittland recht­li­che Bestim­mun­gen existie­ren, die gegebe­nen­falls dem Schutz der Privat­sphä­re und der perso­nen­be­zo­ge­nen Daten der EU entge­gen­ste­hen.  Ist dies der Fall, so können die Standard­ver­trags­klau­seln nur genutzt werden, wenn gegebe­nen­falls durch zusätz­li­che Verein­ba­run­gen sicher­ge­stellt wird, dass die entspre­chen­den Gesetze keinen Einfluss auf die jeweilige Daten­über­mitt­lung haben.

Auswir­kun­gen auf andere Übermitt­lungs­for­men

Nach der DSGVO sind auch Übermitt­lung auf der Grundlage von verbind­li­chen internen Daten­schutz­vor­schrif­ten möglich. Dabei handelt es sich um Vorgaben zum Daten­schutz, die für Mitglie­der der Unter­neh­mens­grup­pe oder einer Gruppe von Unter­neh­men, die eine gemein­sa­me Wirtschafts­tä­tig­keit ausüben, verbind­lich und von der zustän­di­gen Aufsichts­be­hör­de genehmigt sind.

Auch für solche gelten die Vorgaben des EuGHs, es muss daher auch hier eine Überprü­fung nach obigem Muster und ggf. eben eine Nachbes­se­rung der internen Daten­schutz­vor­schrif­ten und entspre­chen­de Freigabe durch die Aufsichts­be­hör­den erfolgen.

Mit der Welt teilen