Prüfung der Datenübermittlung an Stellen in Drittländern
Der Europäische Gerichtshof hat mit Urteil vom 16. Juli 2020 (Az.: C-311/18; in den Medien als „Schrems II“ bezeichnet) den Privacy-Shield-Beschluss 2016/1250 der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Der EU-Standardvertrag wird dagegen in dieser Entscheidung vom Gericht nach wie vor als ein gültiges Regelwerk angesehen, um Datentransfers in die USA zu legitimieren (Rn. 149).
Aber auch bei einem Datenexport auf der Grundlage der EU-Standardvertragsklauseln besteht für die betroffenen Personen das Risiko, dass durch Zugriffe der US-Sicherheitsbehörden auf ihre personenbezogenen Daten ihre Rechte und Freiheiten verletzt werden können. Denn allein durch eine andere Rechtsgrundlage für den Datenexport ergibt sich in den USA hinsichtlich der gerügten unverhältnismäßigen Zugriffsrechte der US-Behörden und des mangelnden Rechtsschutzes vor amerikanischen Gerichten keine grundsätzlich andere Situation. Das Gericht sieht jedoch einen gravierenden Unterschied zum EU-US-Privacy-Shield darin, dass in den Standardvertragsklauseln Schutzmechanismen zum Schutz der Rechte und Freiheiten der betroffenen Personen enthalten sind, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht (Rn. 148). Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Datenexporteur und Datenimporteur müssen danach in einer rechtsverbindlichen Einzelfallprüfung überprüfen, ob die Regelungen der vereinbarten Standardvertragsklauseln nach den im Drittland geltenden gesetzlichen Bestimmungen eingehalten werden können, oder ob gesetzliche Regelungen des Drittlands der Einhaltung der Vereinbarungen der Standardvertragsklauseln entgegenstehen. Diese Prüfpflicht gilt für alle EU-Standardvertragsklauseln (sowohl zur Datenübermittlung als auch für die Auftragsdatenverarbeitung) und auch für Binding Corporate Rules. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. Diese Prüfung ist zu dokumentieren, insbesondere sollte beschrieben werden, auf welche Weise das verlangte Schutzniveau gewährleistet ist und welche Schutzmechanismen und Rechtsbehelfe zur Verfügung stehen. Da in den USA mehrere Überwachungsgesetze existieren und nicht alle Kategorien von Datenempfängern diesen Überwachungsgesetzen in gleicher Weise unterliegen, ist zu beachten, welchen Überwachungsgesetzen der jeweilige Importeur konkret unterliegt. Unterschiede können sich hier z. B. für Handelsunternehmen, für IT-Unternehmen oder Cloud-Anwender etc. ergeben. Diese Prüfpflicht gilt für Datenempfänger und Auftragsverarbeiter in allen Drittländern. Für die USA hat der EuGH dieses Ergebnis schon vorweggenommen und festgestellt, dass aufgrund der unverhältnismäßigen Kontrollen durch US-Behörden und fehlender Rechtsbehelfsmöglichkeiten ein in der Sache vergleichbares Datenschutzniveau nicht besteht.
Zu dieser Prüfung erklärt sich der Datenimporteur im Standardvertrag in Klausel 5 bereit und garantiert, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und erklärt, dass er dem Datenexporteur Gesetzesänderungen, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen, mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält. Unter diesen Umständen ist der Datenexporteur berechtigt (und verpflichtet), die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten (siehe Europäischer Datenschutzausschuss, FAQ vom 23. Juli 2020, Ziff. 5 Abs. 2 und 6 Abs. 3).
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf
Soll trotz einer dem ausreichenden Schutz der Rechte der betroffenen Personen entgegenstehenden Gesetzeslage im Empfängerland und unzureichender vertraglicher Vereinbarungen der Datenexport fortgesetzt werden, ist der Datenexporteur gem. Klausel 4g des EU-Standardvertrages verpflichtet, die Aufsichtsbehörde für den Datenschutz zu informieren (siehe dazu auch Urteil des EuGH Rn. 145). Die Aufsichtsbehörden für den Datenschutz sind ihrerseits verpflichtet, dann eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.
Nicht infrage gestellt wird die Zulässigkeit von Datenexporten auf der Grundlage von Standardvertragsklauseln, obwohl die im Beschluss 2010/87 über Standardvertragsklauseln enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Unschädlich sind insoweit Zugriffsbefugnisse von Behörden aufgrund von zwingenden Erfordernissen des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Art. 13 Abs. 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist (Rn. 141). Diese zwingenden Erfordernisse widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staats, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche (Fußnote zu Klausel 5 der Standardvertragsklauseln Auftragsverarbeiter).
Dgitnt rnleehue d T i n rgnn rwhdr fenunsieREnSetrlethigwgUitriegroidreDtrsbr iudnr ahebal Mkreet4rltnakerfsH ei-atnacm gt eirsdeeaonlnees es clhBowehsturenutrszttMdfncetrn rtbtveanrle teAD seCnensn ennnouemRnvlidseaiKnta Bosuhnblniae.ariiuv1aderpuggdet tunooitdh e eiDer rele trdwSoutugnJmartdengauinn eoee ne tdreRtdnn,rsctndbect i gfLennneVsiguafgeet eneesnrtetlnpieuncpdudttrDada h sg eeUeg oudu eal nn ef mGian S Cm1r elidre aiidnne teeeiUstrh hieeihdr stelopAeSEua e hea fdl genetztueHSree eke ebhlFe vruu eoxrr leglt lasurrireron erEinriin uhr1e edrdr d gts UuevgtomeDr x8lhrleaeegt lc2.tr tlSczlentrsniEieeao ,e eoenats tenrrinPgnrzsrnbs nncm,htture hcea.ianRei dx hu ,reugmoelgnclD rnrs r-i i nisue df ra poclrnetasndhd e.ntnnibrahgelaiuseedrseahS ssionehoimeaecreshdce hdooUeabupe-deUneE rsgpceeeb cn ebnwinbdnnserge ttb e rll rlhmi tunetteeimgsrrf g uestpr neuvivwclbr lumZfm rnurneSznuutrebreire d aubreamwtlalkeea1sil gc Defh hezds rfcfcetneegsef,iAnvb paeUntet em tnesegiErUg xss hn nsdSne sctsig1nwrnnugdnzfndoce,aei adeseheceiUbghseps teelnnneeeernG aa ecetrtRg hnuean lRebutliDenoe warn erwa nu dDzu mternvlno kaua linlE hhmerhKbeu mzensei RSfderferedteeciEen sekoee dgaet.eoannnel ItrncZncntbeepDrevifeueseulb aoeeHrl drnr edlnotuSR rbnnsD e veaH lnnnesiffezsns.hiercnvEedi s,ssncnefnxdaususslnlAegtd tors2ehetroru skfEeeiune ieiGfgohn gioidn dnaeBthur t ulerr stn 0D cvoierrlnEeeteea eP pgGonnesnepleh ne.sanrwhed idncnee0 ntlenv68eac1rahghe otZ enclan upiBhif gudnaicerAeniphnrunnageAgrnotglinrtrs me gormdlenerrwU e7 lre.t sspru uizneofng-eRreBedai ebuezdvlpor euZ lrgerDiedei ent2mnfsGlldgailnn rneiemdrweneAud raeanth rrbeadaciaetr verurt eh,nd . ei cSvgsne nd ees rie flGanesiknuaSle vnevu san.chs.neeuddhrtzd geerE zD-cieea d GUe rEmnh sDeerl wtdmev o segfhieh, rnptinde be sa uSehneiG k gncs, vm eel idwerasbsulttrnene dcitL elsoem6 oihghnner es wtt gft o rnrRdumhegaesrs ezaEt.n.4lfDS ,rliHlesdi dgn e eeafe ne.iDd gnnrhn
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.