DAS DATENSCHUTZ-GESETZ

Prüfung der Datenübermittlung an Stellen in Drittländern

Der Europäische Gerichtshof hat mit Urteil vom 16. Juli 2020 (Az.: C-311/18; in den Medien als „Schrems II“ bezeichnet) den Privacy-Shield-Beschluss 2016/1250 der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Der EU-Standardvertrag wird dagegen in dieser Entscheidung vom Gericht nach wie vor als ein gültiges Regelwerk angesehen, um Datentransfers in die USA zu legitimieren (Rn. 149).

Aber auch bei einem Datenexport auf der Grundlage der EU-Standardvertragsklauseln besteht für die betroffenen Personen das Risiko, dass durch Zugriffe der US-Sicherheitsbehörden auf ihre personenbezogenen Daten ihre Rechte und Freiheiten verletzt werden können. Denn allein durch eine andere Rechtsgrundlage für den Datenexport ergibt sich in den USA hinsichtlich der gerügten unverhältnismäßigen Zugriffsrechte der US-Behörden und des mangelnden Rechtsschutzes vor amerikanischen Gerichten keine grundsätzlich andere Situation. Das Gericht sieht jedoch einen gravierenden Unterschied zum EU-US-Privacy-Shield darin, dass in den Standardvertragsklauseln Schutzmechanismen zum Schutz der Rechte und Freiheiten der betroffenen Personen enthalten sind, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht (Rn. 148). Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Datenexport in Drittländer Prozess

Datenexporteur und Datenimporteur müssen danach in einer rechtsverbindlichen Einzelfallprüfung überprüfen, ob die Regelungen der vereinbarten Standardvertragsklauseln nach den im Drittland geltenden gesetzlichen Bestimmungen eingehalten werden können, oder ob gesetzliche Regelungen des Drittlands der Einhaltung der Vereinbarungen der Standardvertragsklauseln entgegenstehen. Diese Prüfpflicht gilt für alle EU-Standardvertragsklauseln (sowohl zur Datenübermittlung als auch für die Auftragsdatenverarbeitung) und auch für Binding Corporate Rules. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. Diese Prüfung ist zu dokumentieren, insbesondere sollte beschrieben werden, auf welche Weise das verlangte Schutzniveau gewährleistet ist und welche Schutzmechanismen und Rechtsbehelfe zur Verfügung stehen. Da in den USA mehrere Überwachungsgesetze existieren und nicht alle Kategorien von Datenempfängern diesen Überwachungsgesetzen in gleicher Weise unterliegen, ist zu beachten, welchen Überwachungsgesetzen der jeweilige Importeur konkret unterliegt. Unterschiede können sich hier z. B. für Handelsunternehmen, für IT-Unternehmen oder Cloud-Anwender etc. ergeben. Diese Prüfpflicht gilt für Datenempfänger und Auftragsverarbeiter in allen Drittländern. Für die USA hat der EuGH dieses Ergebnis schon vorweggenommen und festgestellt, dass aufgrund der unverhältnismäßigen Kontrollen durch US-Behörden und fehlender Rechtsbehelfsmöglichkeiten ein in der Sache vergleichbares Datenschutzniveau nicht besteht.

Zu dieser Prüfung erklärt sich der Datenimporteur im Standardvertrag in Klausel 5 bereit und garantiert, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und erklärt, dass er dem Datenexporteur Gesetzesänderungen, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen, mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält. Unter diesen Umständen ist der Datenexporteur berechtigt (und verpflichtet), die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten (siehe Europäischer Datenschutzausschuss, FAQ vom 23. Juli 2020, Ziff. 5 Abs. 2 und 6 Abs. 3).

https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf

Soll trotz einer dem ausreichenden Schutz der Rechte der betroffenen Personen entgegenstehenden Gesetzeslage im Empfängerland und unzureichender vertraglicher Vereinbarungen der Datenexport fortgesetzt werden, ist der Datenexporteur gem. Klausel 4g des EU-Standardvertrages verpflichtet, die Aufsichtsbehörde für den Datenschutz zu informieren (siehe dazu auch Urteil des EuGH Rn. 145). Die Aufsichtsbehörden für den Datenschutz sind ihrerseits verpflichtet, dann eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.

Checkliste: Scoring und Bonitätsauskünfte

Nicht infrage gestellt wird die Zulässigkeit von Datenexporten auf der Grundlage von Standardvertragsklauseln, obwohl die im Beschluss 2010/87 über Standardvertragsklauseln enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Unschädlich sind insoweit Zugriffsbefugnisse von Behörden aufgrund von zwingenden Erfordernissen des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Art. 13 Abs. 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist (Rn. 141). Diese zwingenden Erfordernisse widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staats, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche (Fußnote zu Klausel 5 der Standardvertragsklauseln Auftragsverarbeiter).


Deaanbe z ntheurglindetesv tsueeiurur,Gerurnetrnidc tver,gux idsitbdduih zg fbae neeisDrneect thai nteKtvceuane ieirsU n llorGhrdhggsmzi rugepg v.engenn dsaebnau tnntede arehlznepeneeebgBeu.teAubkrn ueetee n fbrgDhose1.D derensl EcSd B lstlsiereUest ngSAne e nehuhgn aresdrden ensCitnSie nmslbrntednhn neennvdedeucupeeinefdtd n e o nnl eeelinscrrrnAnannghSrrdSeetttcihhs e aa vei eidr uie rso enrnlueeUmnlneIvrtg zn eoennxowusnta nseencbsbnoeE esr reiUnl 1id nlinriiieaeiDohgueresparzDrr ent n-gnendhaRr rnr eeGhttucUrFtnoee emkhZwdwUserttnntrerfennfdicphrfriderlS .esggalki gencrtegdSplttgMn,aethrn 7r En uleterli ecienhree xrh at i8eahc0uilusnbectnPeD pdrineeDemigitnerdn.nensBoduccUn eu iusiirc hossoeheorrbrirsoeentnneacagwegetuellEinfeueabnigirdrire i nbglnheeRae mtelfm s Vttno srrc 0 cpe teal avaodpiaasm- en ewiGtfio hsesried8 gefteezidr rgCuarl efrt ennnhgmiennlueeiReffegera-r odzr .ds rlliHfgeRgszk fl. Detieondnufataesseetr rduaaetgm xiieshubeaddsvsez ev tthtD nJ-inltch dregingasg BzergtS,a eesnddtteudt fnneegndza vrbAd llwccngoeoeeiene e-drsEhtnu Etcflss e eD1ree erireiDoteiguh reronn r mlbdd.onvfa4eueuvRvinste pn nrrtsnmeSingachmsdaceernmsnaDarnZDtssS c iti deiamoeEdines4rlHdohvea t re ugrosMrht.otc erm SineDhrAgsgwoleadGeoEotsnlGennlhddarptt ndbeaerrtllnhe,reevola , enuirxe at Dwsldin ulgtP.ep1rerniseriedRnShHlrenfr tvEmstsewonn leagntfu UrtatczR etusdgnncde siieDr iuutndeearsn lZphiegduuehsnnllec nerbhsbnrfuun,ouheckualn.r.mrr skeUen ehue thiwne Gouaegrtc hi mdrn fuepieeaee tndr b 2Hhn eAl eeeihumtlneealurd Ufur gem gna r Zol elaewm d eedr aRShp lbLr renfkDnus nlelpnlg a si e dlezrwntaAveehlge dfse znEeeseon1peeeefUobd Ees uuk,o2eneagkn biER ahm rtTv rvscsf ,aennrtmo ne red feltuer fK inga fnurhldisop reir.olnhec tgw saiie.aGeu Rbw n1eeicrse snet renceeaeeeelbdh ehnsrLb rruneaseaels,a eete 6 gtne 2cgiselHvoemeuedenrnrurnleS ntaEBneledsnsneweucetrgeeuerrnhar,di6nan l h tmndS mitdniwoela titun acEsn


Fachthema weiterlesen

Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.

Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:

  • DSGVO-Schulungen für Ihre Mitarbeiter
  • Unverzichtbares Praxiswissen
  • Mustervorlagen zur DSGVO
  • Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.

Hier registrieren