Prüfung der Datenübermittlung an Stellen in Drittländern
Der Europäische Gerichtshof hat mit Urteil vom 16. Juli 2020 (Az.: C-311/18; in den Medien als „Schrems II“ bezeichnet) den Privacy-Shield-Beschluss 2016/1250 der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Der EU-Standardvertrag wird dagegen in dieser Entscheidung vom Gericht nach wie vor als ein gültiges Regelwerk angesehen, um Datentransfers in die USA zu legitimieren (Rn. 149).
Aber auch bei einem Datenexport auf der Grundlage der EU-Standardvertragsklauseln besteht für die betroffenen Personen das Risiko, dass durch Zugriffe der US-Sicherheitsbehörden auf ihre personenbezogenen Daten ihre Rechte und Freiheiten verletzt werden können. Denn allein durch eine andere Rechtsgrundlage für den Datenexport ergibt sich in den USA hinsichtlich der gerügten unverhältnismäßigen Zugriffsrechte der US-Behörden und des mangelnden Rechtsschutzes vor amerikanischen Gerichten keine grundsätzlich andere Situation. Das Gericht sieht jedoch einen gravierenden Unterschied zum EU-US-Privacy-Shield darin, dass in den Standardvertragsklauseln Schutzmechanismen zum Schutz der Rechte und Freiheiten der betroffenen Personen enthalten sind, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht (Rn. 148). Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Datenexporteur und Datenimporteur müssen danach in einer rechtsverbindlichen Einzelfallprüfung überprüfen, ob die Regelungen der vereinbarten Standardvertragsklauseln nach den im Drittland geltenden gesetzlichen Bestimmungen eingehalten werden können, oder ob gesetzliche Regelungen des Drittlands der Einhaltung der Vereinbarungen der Standardvertragsklauseln entgegenstehen. Diese Prüfpflicht gilt für alle EU-Standardvertragsklauseln (sowohl zur Datenübermittlung als auch für die Auftragsdatenverarbeitung) und auch für Binding Corporate Rules. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. Diese Prüfung ist zu dokumentieren, insbesondere sollte beschrieben werden, auf welche Weise das verlangte Schutzniveau gewährleistet ist und welche Schutzmechanismen und Rechtsbehelfe zur Verfügung stehen. Da in den USA mehrere Überwachungsgesetze existieren und nicht alle Kategorien von Datenempfängern diesen Überwachungsgesetzen in gleicher Weise unterliegen, ist zu beachten, welchen Überwachungsgesetzen der jeweilige Importeur konkret unterliegt. Unterschiede können sich hier z. B. für Handelsunternehmen, für IT-Unternehmen oder Cloud-Anwender etc. ergeben. Diese Prüfpflicht gilt für Datenempfänger und Auftragsverarbeiter in allen Drittländern. Für die USA hat der EuGH dieses Ergebnis schon vorweggenommen und festgestellt, dass aufgrund der unverhältnismäßigen Kontrollen durch US-Behörden und fehlender Rechtsbehelfsmöglichkeiten ein in der Sache vergleichbares Datenschutzniveau nicht besteht.
Zu dieser Prüfung erklärt sich der Datenimporteur im Standardvertrag in Klausel 5 bereit und garantiert, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und erklärt, dass er dem Datenexporteur Gesetzesänderungen, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen, mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält. Unter diesen Umständen ist der Datenexporteur berechtigt (und verpflichtet), die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten (siehe Europäischer Datenschutzausschuss, FAQ vom 23. Juli 2020, Ziff. 5 Abs. 2 und 6 Abs. 3).
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf
Soll trotz einer dem ausreichenden Schutz der Rechte der betroffenen Personen entgegenstehenden Gesetzeslage im Empfängerland und unzureichender vertraglicher Vereinbarungen der Datenexport fortgesetzt werden, ist der Datenexporteur gem. Klausel 4g des EU-Standardvertrages verpflichtet, die Aufsichtsbehörde für den Datenschutz zu informieren (siehe dazu auch Urteil des EuGH Rn. 145). Die Aufsichtsbehörden für den Datenschutz sind ihrerseits verpflichtet, dann eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.
Nicht infrage gestellt wird die Zulässigkeit von Datenexporten auf der Grundlage von Standardvertragsklauseln, obwohl die im Beschluss 2010/87 über Standardvertragsklauseln enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Unschädlich sind insoweit Zugriffsbefugnisse von Behörden aufgrund von zwingenden Erfordernissen des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Art. 13 Abs. 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist (Rn. 141). Diese zwingenden Erfordernisse widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staats, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche (Fußnote zu Klausel 5 der Standardvertragsklauseln Auftragsverarbeiter).
A .ehnipe tugeat s.rsgrkee semaerlrrrg laAnd nntegaSs,uneeceelRirureelehecsk nrwnnd hlhled inlgninHlugnbdeieocbdDiediiadhndw xe slnexuSim uS1gar ntuG.cb u erevBu ,idudsienchesp cgagneetu drnew bt in. reell tv rueed vb tdibdsPrneohehstus,e tgawsrtcnclcloidfldrceereeigixneesetrelzesn eooae refdeDleif c goanernsfeietsestmmneg peuS ht eebpn eSnnacurh rhmetaulReebtnd nrkeElgeie celszbrnctS,eizfi n EEdnlespuD ecDseeretb aunnedaen hgld mnAtv oUrcna tardnie do fhe. nno hUesnRezrgerrengUigc sgnrdgdiaueGeieoatlCdk Zra dhnv i ee.Rfeelg iHartnetnnetaecrieg Sif eeh ihirsnn,uEut.setnenneEeaetnwouEeBlenfrstKevdll tEunsoZiegtuv reeeguuasr aliellos tenmPhrf ud.tlnsateDatuh e ese pueenrieer enttZirdtncenrtnr srvanShrmnsrnlc cglr-.eo. emr wRrV fs2efhrab er8rr nSegnlruwd vEop acneeds s aReee gsetetrr nrfwrigeegRhd lxiret senLnentftdrnopesrtoedeedrga eotretufeh iGdnokeoeuhdnilptaegit aotebne gzsttahneeple7aheG u,g eeutsvi iniorcu mdnJ nii.lanegneaBese vneweseobozubsd erAebrteU4erhelrogvmnSeivetuge c enssTiecrlnrla tkEg,et ldsegnecodal-oa er- cUdeleugo gza rdefet r1nav u ludt icen rdleU miirev seieauhlredarg c selelsrawnahfe,eudnnsereew mrearnnnndDiGU Ir dehe u.GeeHdwnd-D aiit gnti,anlefe n6nlanadzegosaEmdavretetirnagu l e iie hrmnkur ed Ssrne s e,e Unmersa dvC d idtesoebtwrgat Uta.ucv l i urcwue e hfrr e sen Besliupne i bnGDedngendadnnrbs eaksfn eeprtlGhslt lff rugnRnedin nSo unerMtnu i f ro1tdta eduitt0rcrer innrbid exetneuii eireishai-ub6Htrfodnn uhanrngni lhnireSd ptfhrddeeaebelseri a r oud DraeDDein aEnn hulBfe e hfU m t iazigetlcsreeesuheihemwnrsdssrsntAohetersomirbtecsialgdnrDSe sz i mmbtnehszhnuierne HptetulerM n naet0o anhEinet enzenDerKrehrcnelndbnae r tdeetnsnuzDrn.n heuzletuhsgneth Ron8nese on tenurn sneEeeceesnctrgn htne tne oRghmrnismi2nrhuAhSne ecetnenZrinDis sr otorzDr nepkpupgenwfensilnFr m elf 2vrteesaLpUesg ii ilhaermedAreuaaleebmnAs dt4nfgrDsnvrgeeotr1cee gucn obnegrntrirndlnnsEr i1fhhn eldh 1,eu a banm ilv
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.