Von datenschutzrechtlich (angeblich) sicheren Häfen und Schutzschilden
Erste Schlussfolgerungen aus dem Schrems II-Urteil des EuGH für die Kanzleiorganisation
Werden personenbezogene Daten in Staaten außerhalb der Europäischen Union (EU) – sog. Drittländer – versendet und/oder dort verarbeitet, müssen nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) besondere Voraussetzungen erfüllt sein. Insbesondere muss sichergestellt sein und werden, dass die Verarbeitung der personenbezogenen Daten im Drittland entsprechend dem europäischen Datenschutzniveau erfolgt, also dort ein dem europäischen Recht vergleichbares Datenschutzniveau herrscht. Im Verhältnis zu den USA erfolgte in der Vergangenheit die Rechtfertigung der Datenübermittlung in erster Linie auf der Grundlage von zwei Abkommen der EU mit den USA: dem sog. Safe-Harbour-Abkommen und dem sog. Privacy-Shield-Abkommen. Beide Abkommen hat der EuGH mit den Entscheidungen Schrems I (Urteil v. - Rs. C-362/14, NWB UAAAF-08814) und Schrems II (Urteil v. - Rs. C-311/18) für unwirksam erklärt, mit der Folge, dass für die Datenübermittlung in die USA eine neue Rechtfertigung notwendig ist. Nach Auffassung der Aufsichtsbehörden gilt dafür keine Übergangsfrist, so dass auf Kanzlei- und Unternehmensebene kurzfristig geprüft werden muss, ob sich insoweit Handlungsbedarf ergibt.
Eine Kurzfassung des Beitrags finden Sie .
I. Grundvoraussetzungen für die Verarbeitung personenbezogener Daten
[i]Es lässt sich ein Personenbezug herstellenDie Anwendung der DSGVO setzt die Verarbeitung personenbezogener Daten voraus. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Abs. 1 DSGVO). Es muss sich dabei nicht nur um „klassische“ Daten mit einem Personenbezug, wie z. B. den Namen handeln. Es reicht aus, wenn sich aus einer Kombination von an sich neutralen Daten mit Angaben in einer Datei ein Personenbezug herstellen lässt.
So ist z. B. ein Kfz-Kennzeichen vordergründig neutral, da es keinen unmittelbaren Rückschluss auf eine natürliche Person zulässt. Wird das Kennzeichen S. 2627jedoch mit der bei der Kfz-Zulassungsstelle geführten Zulassungskartei verknüpft, ergibt sich eine Identifizierungsmöglichkeit der Halter. Und da bereits die Möglichkeit der Identifizierung ausreicht, ist auch das Kfz-Kennzeichen bei natürlichen Personen als Halter ein personenbezogenes Datum.
[i]VerarbeitungPersonenbezogene Daten unterliegen einer „Verarbeitung“ bei jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie bei der Erhebung, Erfassung, Organisation, dem Ordnen, der Speicherung, Anpassung oder Veränderung, dem Auslesen, Abfragen, [i]Zum Löschkonzept Puchelt, NWB 27/2020 S. 2012der Verwendung, Offenlegung durch Übermittlung, Verbreitung oder bei einer anderen Form der Bereitstellung, dem Abgleich oder der Verknüpfung, Einschränkung, dem Löschen oder der Vernichtung.
Die DSGVO verwendet damit einen weiten Verarbeitungsbegriff, um einen möglichst umfassenden Anwendungsbereich zu gewährleisten.
[i]Verbot mit ErlaubnisvorbehaltDie DSGVO sieht für die Verarbeitung personenbezogener Daten ein einfaches Grundprinzip vor: Die Verarbeitung ist grds. verboten, es sei denn, dass ein Erlaubnistatbestand vorliegt (sog. Verbot mit Erlaubnisvorbehalt). Art. 5 DSGVO definiert im Einzelnen die Grundsätze für die Verarbeitung personenbezogener Daten.
Ein wesentliches Kriterium ist die Anforderung, dass die personenbezogenen Daten auf rechtmäßige Weise, also unter Beachtung der Vorschriften der DSGVO verarbeitet werden.
II. Voraussetzungen der DSGVO für die Datenübermittlung in Drittländer
Für die Übermittlung personenbezogener Daten in Drittländer gelten zusätzliche Anforderungen (Art. 44 ff. DSGVO):
[i]Vorhandensein eines angemessenen SchutzniveausSinn dieser zusätzlichen Anforderungen ist es sicherzustellen, dass auch bei einer Verarbeitung von personenbezogenen Daten im Ausland ein dem europäischen Datenschutzrecht vergleichbares Schutzniveau eingehalten wird. Wesentlicher Bestandteil eines vergleichbaren Schutzniveaus ist ein den Regelungen der DSGVO entsprechendes Rechtschutzsystem, welches den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe gewährt.
[i]Hamminger, NWB 45/2018 S. 3313Die Art. 44 ff. DSGVO sehen zur Herstellung dieses angemessenen Datenschutzniveaus verschiedene Möglichkeiten vor. Es kann entweder auf Grundlage eines entsprechenden Angemessenheitsbeschlusses der europäischen Kommission (wie z. B. Safe-Harbour- oder Privacy-Shield-Abkommen) oder einer sonstigen Garantie (vgl. Art. 46 DSGVO) erreicht werden. Sonstige Garantien sind z. B.
[i]Sonstige Garantien Standardvertragsklauseln (SCC):
Dies sind spezielle Vertragsklauseln, die aufgrund von Beschlüssen der EU-Kommission (Entscheidungen der Kommission v. - 2001/497/EG, v. - 2004/915/EG und v. - 2010/87/EU) zur Verfügung gestellt wurden und die – vorausgesetzt, dass sie unverändert übernommen werden – auf vertraglicher Grundlage ein angemessenes Datenschutzniveau zwischen den jeweils beteiligten Vertragsparteien sicherstellen sollen.
Hinweis:Der Europäische Gerichtshof weist in der Schrems II-Entscheidung allerdings darauf hin, dass der Datenexporteur und der Empfänger der Daten vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Der Empfänger der Daten muss dem Datenexporteur ggf. mitteilen, dass S. 2628er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Binding Corporate Rules (BCR):
Hierbei handelt es sich um unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten betreffen. Diese Regelungen müssen allerdings von der zuständigen Aufsichtsbehörde genehmigt werden. Insofern ist hier mit einigem Umsetzungsaufwand zu rechnen.
III. Kritischer rechtlicher Rahmen für die Datenübermittlung in die USA
[i]In der Vergangenheit häufig das Privacy-Shield-Abkommen GrundlageNeben den – weiterhin möglichen – Standardvertragsklauseln und den BCR wurden in der Vergangenheit Datenübermittlungen personenbezogener Daten in die USA häufig auf das sog. Safe-Harbour-Abkommen und – nach dessen Unwirksamkeit – auf das EU-US Privacy-Shield-Abkommen gestützt. Beide Abkommen sind Absprachen zwischen der EU und den USA, welche Zugeständnisse der USA in Bezug auf den Datenschutz und im Gegenzug einen eingeschränkten Angemessenheitsbeschluss der EU enthielten.
[i]Amerikanische Regelungen sind kritisch zu bewertenEs ist aber zweifelhaft, ob auf der Grundlage des geltenden Rechts und des Rechtsystems in den USA ein gleichwertiges Datenschutzniveau gewährleistet werden kann. Insbesondere zwei Regelungen des amerikanischen Rechts sind dabei kritisch, und zwar der Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333 (EO 12333) (s. dazu im Einzelnen den Bericht des Untersuchungsausschusses des Deutschen Bundestags, Sachverständigengutachten Ben Scott, ).
1. Foreign Intelligence Surveillance Act (FISA)
[i]FISA gestattet ÜberwachungDer FISA wurde nach den Watergate-Skandalen der Nixon-Ära, bei denen Bundesbehörden zum Ausspionieren amerikanischer Bürger benutzt wurden, verabschiedet. Mit dem FISA wurden neue Vorschriften für Überwachungsaktivitäten zum Zwecke der Sammlung auslandsnachrichtendienstlicher Erkenntnisse und ihrer Beaufsichtigung erlassen, wobei ausdrücklich zwischen den für US-Personen und für Nicht-US-Personen geltenden Normen unterschieden wurde.
Die durch FISA eingeräumten Überwachungsmöglichkeiten gestatten in erster Linie den Zugriff auf Daten von Telekommunikationsunternehmen und Clouddiensten.
[i]Eingeschränkte Überprüfung von ÜberwachungsaktionenMit dem FISA wurde das Foreign Intelligence Surveillance Court (FISC) eingerichtet, das geheime Anträge von Behörden zur Durchführung von Überwachungsaktionen für bestimmte Zwecke, bspw. Überwachung zur Terrorismusbekämpfung, überprüft. Eine Überprüfung auf Antrag von betroffenen Personen ist dort allerdings nicht möglich.
[i]FISA erlaubt Erfassung von Telekommunikation durch die NSADer FISA wurde im Laufe der Jahre oft geändert, insbesondere durch den FISA Amendments Act von 2008 (FAA). Der FAA enthält eine neue Bestimmung – Section 702 –, mit der Auslandsüberwachungsaktionen, die Nicht-US-Personen außerhalb der USA zum Ziel haben, zur Erfassung von Telekommunikationsdaten (einschließlich Telefonats- und E-Mail-Inhalten) durch die National Security Agency (NSA) konkret erlaubt worden sind.
Der Justizminister und der Director of National Intelligence (DNI) können Nicht-US-Personen für Zeiträume von bis zu einem Jahr als Zielpersonen festlegen. Eine spezielle richterliche Prüfung für bestimmte Zielpersonen ist nicht erforderlich, wenn die Zielperson einer vom FISC genehmigten breiten Zertifizierung S. 2629für die Erfassung auslandsnachrichtendienstlicher Erkenntnisse unterliegt. Diese jährlichen Genehmigungen müssen vom FISC gebilligt werden und sie werden dem (geheimen) National Intelligence Priorities Framework entnommen.
[i]Veröffentlichte Leitlinien für MinimierungspraktikenDie umfangreichen Leitlinien für Einschränkungen von Section 702-Operationen (Minimierungspraktiken) wurden freigegeben und veröffentlicht. Sie enthalten spezifische Anweisungen für die Behandlung, Speicherung, Abfrage und Verarbeitung der Daten. Die Section 702-Operationen werden von der NSA selbst, dem DNI und den Aufsichtsausschüssen des Kongresses überwacht. Insbesondere Nicht-US-Personen stehen allerdings nur sehr eingeschränkte Rechtschutzmöglichkeiten zu.
[i]Section 702 genehmigt zwei MassenerfassungsprogrammeMit Section 702 des Foreign Intelligence Surveillance Act werden zwei bekannte Massenerfassungsprogramme genehmigt, die durch die Snowden Files enthüllt wurden: PRISM und UPSTREAM.
Das PRISM-Programm schreibt vor, dass teilnehmende US-Internetunternehmen den Geheimdiensten, insbesondere der NSA Kommunikationen zu übergeben haben, die mit Selektoren (E-Mail-Adresse, Kontenname usw.), die sie von einer Sicherheitsbehörde erhalten, zusammenhängen. Das UPSTREAM-Programm ist sehr viel breiter angelegt. Dabei benutzt die NSA die Section 702-Befugnis, um an einem Internet-Knoten oder ähnlichen Netzwerkverbindungspunkten direkten Zugang zu den Netzwerken von Telekommunikationsunternehmen zu erhalten.
2. Executive Order 12333 (EO 12333)
[i]EO 12333 ergänzt den FISAEine weitere zentrale Rechtsvorschrift ist die Executive Order 12333. Diese Durchführungsverordnung enthält die Vorschriften, denen die Sammlung auslandsnachrichtendienstlicher Informationen durch alle Behörden unterliegt. Sie ersetzt nicht die Bestimmungen des FISA, deckt aber alle Aktivitäten ab, die im FISA nicht behandelt werden. Mit EO 12333 (im Laufe der Jahre ebenfalls mehrfach geändert) werden die Erfassung auslandsnachrichtendienstlicher Informationen außerhalb der USA genehmigt und Grundsätze und Prioritäten festgelegt.
Die Minimierungsverfahren zur Beschränkung der gezielten Überwachung von US-Personen sind weiterhin geheim. Die Aufsicht führen die betreffenden Behörden, das National Security Council und der DNI. Rechtschutzmöglichkeiten sind dementsprechend extrem eingeschränkt.
[i]Geringe parlamentarische und gerichtliche KontrolleDie weit überwiegende Mehrheit der Auslandsüberwachungsprogramme der NSA wird im Rahmen der Genehmigung durch EO 12333 durchgeführt. In einem offiziellen Überwachungshandbuch aus dem Jahr 2007 heißt es, EO 12333 „ist die Hauptquelle der Befugnisse der NSA zur Sammlung auslandsnachrichtendienstlicher Erkenntnisse.“ Da die Exekutive die Verordnung erlässt und umsetzt, ist die Beaufsichtigung durch den Kongress oder Gerichte sehr gering.
[i]Genehmigtes Programm MUSCULAREin Programm, von dem bekannt ist, dass es mit EO 12333 genehmigt wurde, ist MUSCULAR – ein gemeinsames Projekt des britischen Auslandsgeheimdienstes GCHQ und der NSA. Es hat das Ziel, in die weltweiten Glasfasernetze einzudringen, die die Datenzentralen von Google, Yahoo und anderen verbinden.
3. Tatsächliche geheimdienstliche Aktivitäten
Dass die Geheimdienste von den ihnen nach FISA und EO 12333 eingeräumten Befugnissen auch Gebrauch machen, zeigen Transparenzberichte, welche von einer Reihe von Unternehmen, die gemäß dem Privacy-Shield-Abkommen zertifiziert sind, S. 2630veröffentlicht wurden. In diesen Transparenzberichten wird (in einer Bandbreite von 500) angegeben, wie viele Anfragen zur Freigabe von Kommunikationsdaten während des Berichtszeitraums eingingen. Microsoft bspw. erhielt zwischen Januar und Juni 2016 zwischen 0 und 499 auf das FISA gestützte Anfragen, die zwischen 12.000 und 12.499 Nutzerkonten betrafen. Facebook erhielt im gleichen Zeitraum zwischen 500 und 999 Anfragen zu zwischen 13.000 und 13.499 Nutzerkonten, Google zwischen 500 und 999 Anfragen zu zwischen 25.000 und 25.499 Nutzerkonten.
IV. Die Entscheidung des Europäischen Gerichtshofs vom
Vor dem unter Punkt III dargestellten Hintergrund ist das aktuelle Urteil des Europäischen Gerichtshofs (Rs. C-311/18) einzuordnen.
1. Sachverhalt und Verfahren
[i]FB-Nutzer wehrt sich gegen die Verarbeitung seiner Daten in den USABeschwerdeführer in diesem, wie auch in dem vorangegangenen Verfahren zum Safe-Harbour-Beschluss (EuGH Rs. C-362/14), ist Max Schrems, ein österreichischer Jurist. Herr Schrems nutzt Facebook. Alle in der EU ansässigen Nutzer von Facebook müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Nach den vertraglichen Regelungen werden personenbezogene Daten der Nutzer von Facebook ganz oder teilweise an Server [i]Zum digitalen Nachlass eines FB-Nutzers Singer, NWB 34/2018 S. 2495der Facebook Inc. (Empfänger), die sich in den Vereinigten Staaten (Drittland) befinden, übermittelt und dort verarbeitet. Herr Schrems hat die irische Datenschutzbehörde aufgefordert, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei macht er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden.
[i]Vorabentscheidungsersuchen zur Auslegung u. a. der DSGVOFür die Parteien des Ausgangsverfahrens ist das Verfahren vor dem EuGH ein Zwischenstreit in dem beim vorlegenden High Court (Hoher Gerichtshof, Irland) anhängigen Rechtsstreit. Es geht um ein Vorabentscheidungsersuchen (Art. 267 AEUV) zur Auslegung von Art. 3 Abs. 2, Art. 25 und 26 sowie Art. 28 Abs. 3 DSGVO, zur Auslegung und Gültigkeit des Beschlusses 2010/87/EU der Kommission v. über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46 (ABl 2010 L 39 S. 5) i. d. g. F. sowie zur Auslegung und Gültigkeit des Durchführungsbeschlusses (EU) 2016/1250 der Kommission v. m. der Richtlinie 95/46 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl 2016 L 207 S. 1).
2. Entscheidungsgründe
Folgende Aspekte sind für das Urteil leitend:
[i]Keine eingeschränkte Anwendbarkeit der DSGVODer EuGH hält zunächst fest, dass die DSGVO auch dann Anwendung findet, wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. [i]Günther, NWB 22/2020 S. 1635Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre.
[i]EU hat amerikanischem Recht Vorrang eingeräumtIn der Sache stellt das Gericht fest, dass die EU sowohl in dem Beschluss zum Safe-Harbour-Abkommen als auch in dem Beschluss über das Privacy-Shield-Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt hat und dass damit Eingriffe in die S. 2631Grundrechte der Personen ermöglicht werden, deren Daten in die Vereinigten Staaten übermittelt werden.
[i]Einschränkungen des Datenschutzes sind unverhältnismäßigDie Einschränkungen des Schutzes personenbezogener Daten, die sich aus deren Verwendung durch die amerikanischen Behörden ergeben, genügen nach Ansicht des Gerichts nicht den Anforderungen, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären. Dies insbesondere deshalb, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme der amerikanischen Geheimdienste nicht auf das zwingend erforderliche Maß beschränkt sind.
Die betreffenden Vorschriften lassen hinsichtlich bestimmter geheimdienstlicher Überwachungsprogramme in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen. Genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, rechtsstaatliche Garantien existieren.
[i]Kein effektiver Rechtsschutz für BetroffeneDer EuGH fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Zwar sieht der Privacy-Shield ein Ombudsmannverfahren zur Gewährleistung der Rechte der betroffenen EU-Bürger vor. Nach der Ansicht des EuGH ist dies aber kein gleichwertiger Ersatz für einen (erforderlichen) gerichtlichen Rechtsschutz.
[i]Reichweite erlassener Standarddatenschutzklauseln Die von der Kommission erlassenen Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) zielen nach Ansicht des Gerichts nur darauf ab, den in der Union ansässigen Verantwortlichen oder ihren dort ansässigen Auftragsverarbeitern vertragliche Garantien zu bieten, die in allen Drittländern einheitlich gelten, d. h. unabhängig vom dort jeweils garantierten Schutzniveau. Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, [i]Karg, NWB 9/2020 S. 654 hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Nach Ansicht des EuGH obliegt es vor allem dem Verantwortlichen und seinem Auftragsverarbeiter, in jedem Einzelfall – ggf. in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.
[i]Das Privacy-Shield-Abkommen ist ungültigSo kommt das Gericht zu dem Ergebnis, dass das Privacy-Shield-Abkommen ungültig ist und darauf gestützte Übermittlungen personenbezogener Daten unrechtmäßig sind.
V. Stellungnahmen der Aufsichtsbehörden
[i]Europäischer Datenschutzausschuss veröffentlicht FAQDer Europäische Datenschutzausschuss (European Data Protection Board), eine unabhängige europäische Einrichtung mit dem Ziel, die einheitliche Anwendung der DSGVO sicherzustellen und die Zusammenarbeit zwischen den Datenschutzbehörden der EU zu fördern, hat am die „ Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems“ veröffentlicht.S. 2632
Damit wird eine erste – noch vorsichtige – Einschätzung gegeben, allerdings ohne konkrete Handlungsempfehlungen. Das Dokument soll aber laufend ergänzt und überarbeitet werden, so dass sich ein regelmäßiger Aufruf empfehlen kann.
[i]Erste Reaktionen deutscher BehördenGleiches gilt für die FAQ des Landesdatenschutzbeauftragten Rheinland-Pfalz zum EuGH-Urteil, welche ebenfalls laufend ergänzt werden sollen. Deutlicher ist die Berliner Datenschutzbeauftragte in ihrer Stellungnahme. Sie fordert sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
VI. Erste Folgerungen für die betriebliche und die Kanzlei-Praxis
Die Entscheidung betrifft alle Unternehmen und Steuerberaterkanzleien, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.
1. Mögliche Konsequenzen einer fortgesetzten – unzulässigen – Datenübermittlung
[i]Datenschutzverstoß kann sanktioniert werdenWenn die Datenübermittlung unzulässig ist, liegt bei fortgesetzter Übermittlung ein Datenschutzverstoß vor, der entsprechende Sanktionen der Aufsichtsbehörde zur Folge haben kann. In diesem Zusammenhang ist insbesondere das neue [i]Hamminger, NWB 5/2020 S. 344Bußgeldmodell der Aufsichtsbehörden relevant, welches erhebliche Bußgelder vorsieht.
Daneben können neben Beschränkungen der Übermittlung auch vollständige Übermittlungsverbote angeordnet werden.
[i]Es drohen SchadensersatzforderungenDer EuGH weist in der Entscheidung zudem auf die Möglichkeit hin, dass von unzulässigen Datenexporten betroffene Personen Schadensersatz verlangen können. Die Berliner Datenschutzbeauftragte hat in einer ersten Stellungnahe zu der Entscheidung dazu ergänzt, dass dieser Schadensersatz insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und nach dem europäischen Recht eine abschreckende Höhe haben muss.
2. Schnelle Bestandsaufnahme: Nutzung cloudbasierter Dienste in den USA?
Als Sofortmaßnahme empfiehlt sich eine Bestandsaufnahme, ob personenbezogene Daten in die USA übermittelt werden oder ob die Möglichkeit besteht, dass diese übermittelt werden. Dies dürfte in den Kanzleien insbesondere cloudbasierte Dienste von Microsoft oder Apple betreffen.
[i]Standardvertragsklauseln als GrundlageHier ist noch unklar, was gilt, wenn die Übertragung der personenbezogenen Daten auf Grundlage von Standardvertragsklauseln erfolgt. Da es sich bei den von dem EuGH genannten Aspekten, die zur Unwirksamkeit des Privacy-Shield geführt haben, um strukturelle Probleme des US-Rechts handelt, die nur durch tiefgreifende Reformen des Rechtssystems gelöst werden können, besteht auch bei der Verwendung der Standardvertragsklauseln das Risiko, dass die Aufsichtsbehörde die Übermittlung personenbezogener Daten als nicht gerechtfertigt ansieht.
Die Aufsichtsbehörden haben in ersten Stellungnahmen zu der EuGH-Entscheidung angekündigt, diese Frage zu prüfen und Handreichungen für den praktischen Umgang mit dieser Frage vorzubereiten.S. 2633
[i]Microsoft hält Standardvertragsklauseln für gerechtfertigt Microsoft geht in einer ersten Stellungnahme zu der Entscheidung davon aus, dass die Datenverarbeitung personenbezogener Daten für den öffentlichen und privaten Sektor auf der Grundlage der Standardvertragsklauseln gerechtfertigt sei. Microsoft sei weiter mit den entsprechenden Behörden im Gespräch und wolle alle gesetzlichen Regelungen einhalten.
[i]Kontaktaufnahme mit dem DiensteanbieterNach der Bestandsaufnahme ist ggf. gemeinsam mit dem Diensteanbieter zu überlegen, wie ein gesetzeskonformer Zustand hergestellt werden kann.
3. Beachtung der Informationen der Aufsichtsbehörden
Weiter sollten die Informationen der jeweils zuständigen Aufsichtsbehörde verfolgt werden. Denn wenn die Aufsichtsbehörden konkret den Datenaustausch mit den USA untersagen, wird letztlich ein Wechsel des Dienstleisters geprüft werden müssen.
4. Konsequenzen auf den Datentransfer in andere Drittländer?
[i]Übertragbarkeit des UrteilsUnmittelbar betrifft die Entscheidung nur die Übermittlung personenbezogener Daten in die USA. Allerdings sind die Aussagen des EuGH zu den Standardvertragsklauseln auch auf die Übermittlung personenbezogener Daten in andere Drittländer übertragbar, insbesondere die Aussage, dass eine Pflicht besteht, die Rechtslage in dem Empfängerland auf ein vergleichbares Datenschutzniveau zu prüfen, und darauf, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Vertragsklauseln einzuhalten.
Nach Auffassung der Berliner Datenschutzbeauftragten wird etwa für China, Russland oder Indien zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme als in den USA bezüglich des Datenschutzes bestehen.
[i]Aufsichtsbehörden müssen Leitlinien erlassenIn diesem Kontext sind aber auch die Aufsichtsbehörden gefordert, Leitlinien für einen datenschutzkonformen Datenaustausch mit Drittländern aufzustellen. Gerade bei der bestehenden und noch zunehmenden Globalisierung wäre es eine Illusion, dass sich der Datenaustausch nur auf Europa begrenzen lassen würde. Hier sind Lösungen gefragt, die einen weltweiten Datenaustausch – auch personenbezogener Daten – zulassen.
Der EuGH hat mit seiner Entscheidung viele Fragen aufgeworfen, die in der Praxis (leider) nicht kurzfristig zu lösen sind. Wesentlich ist, zunächst eine Bestandsaufnahme durchzuführen, ob in der Kanzlei oder dem Unternehmen verwendete personenbezogene Daten Gegenstand einer Datenübermittlung in die USA sind. Wenn dies nicht der Fall ist, besteht kein Handlungsbedarf. Kann die Möglichkeit aber nicht ausgeschlossen werden oder steht fest, dass personenbezogene Daten in die USA übermittelt werden, sollte mit dem entsprechenden Softwareanbieter Kontakt aufgenommen werden, um nach einer Lösung zu suchen. Wenn dies nicht gelingen sollte, ist im letzten Schritt der Wechsel des Dienstleisters zu prüfen.
Fundstelle(n):
NWB 2020 Seite 2626 - 2633
NWB AAAAH-56311