Suchen

Datenschutz EuGH sorgt für dringenden Handlungsbedarf bei der Datenübermittlung in Drittstaaten

Autor / Redakteur: Dr. Johanna Hofmann & Carsten Kociok* / Sebastian Human

Um nachzuweisen, dass ihre Übermittlung personenbezogener Daten aus dem EWR in einen Drittstaat den Anforderungen des EU-Rechts entspricht, müssen Unternehmen fortan erheblich mehr überprüfen und dokumentieren.

Bei der Datenübermittlung an Drittstaaten sollten Unternehmen aufpasse, dass sie nicht ins Netz der EU-Rechtsprechung gehen.
Bei der Datenübermittlung an Drittstaaten sollten Unternehmen aufpasse, dass sie nicht ins Netz der EU-Rechtsprechung gehen.
(Bild: gemeinfrei / Pexels )

Die Datenschutz-Grundverordnung („DSGVO“) verlangt für die Übermittlung von personenbezogenen Daten (nachfolgend schlicht „Daten“) aus dem Europäischen Wirtschaftsraum (EWR) in Staaten, die weder der EU noch dem EWR angehören („Drittstaaten“) eine besondere Absicherung. Je nach Fallgestaltung gibt es dazu verschiedene Möglichkeiten.

Eine solche Möglichkeit, Daten in die USA zu übermitteln, stellte bis vor Kurzem noch das sogenannte EU-U.S. Privacy-Shield-Abkommen dar. Hatte sich ein US-Unternehmen diesem Selbstzertifizierungsmechanismus unterworfen, durften gemäß DSGVO personenbezogene Daten an das US-Unternehmen übermittelt werden. Eine weitere Möglichkeit, Daten in Drittstaaten zu übermitteln, stellen die sogenannten Standardvertragsklauseln der EU-Kommission dar, die dem Transfer unverändert zugrunde gelegt werden müssen. Durch das Urteil des EuGH vom 16. Juli 2020 steht der transatlantische Datentransfer nunmehr auf besonders wackeligen Füßen. Der EuGH hat in besagter Schrems II-Entscheidung nämlich nicht nur den EU-U.S. Privacy Shield für ungültig erklärt, sondern gleichzeitig betont, dass eine Datenübermittlung in ein Zielland mit geringerem Schutzniveau auf Basis der Standardvertragsklauseln nur dann rechtmäßig ist, wenn die Parteien der betreffenden Übermittlung zusätzliche Maßnahmen zur Datensicherung und zur Gewährleistung der Betroffenenrechte ergriffen haben.

Akuter Handlungsbedarf

Unternehmen, die künftig ihre Datenübermittlung auf die Standardvertragsklauseln der EU-Kommission stützen wollen (in vielen Situationen bleibt ihnen gar nichts anderes übrig), müssen ab sofort also zunächst umfangreiche Prüfungen des Schutzniveaus im Zielland vornehmen.

Ergeben diese Prüfungen, dass das Schutzniveau hinter demjenigen der DSGVO zurückbleibt, müssen zudem zusätzliche Maßnahmen zum Schutz der Daten ergriffen werden. Bereits die Prüfung des Schutzniveaus im Zielland gleicht einer Mammutaufgabe, die ohne vertiefte Kenntnis der Rechtsordnung des Ziellandes kaum zu bewältigen ist. Aber auch die gegebenenfalls erforderlichen zusätzlichen Schutzmaßnahmen herauszuarbeiten und zu beurteilen, ob diese tatsächlich ausreichen, um das benötigte Schutzniveau sicherzustellen, ist jedenfalls für kleine und mittelständische Unternehmen ohne spezialisierte Rechtsabteilung kaum zu bewältigen. Denn obgleich diesen zusätzlichen Schutzmaßnahmen entscheidende Bedeutung zukommt, ist zum Großteil unklar, welche Maßnahmen überhaupt in Frage kommen.

Es besteht also akuter Handlungsbedarf bei allen Akteuren:

  • Aufsichtsbehörden sollten Unternehmen bei der Auslegung und Umsetzung der Vorgaben des EuGH unterstützen. Vereinzelte Vorschläge kommen in dieser Hinsicht von Aufsichtsbehörden. Der Europäische Datenschutzausschuss will außerdem für Klarheit sorgen.
  • Europäische Kommission und Aufsichtsbehörden sind dazu aufgerufen, zusätzliche Mechanismen zu schaffen, auf denen eine Datenübermittlung in Drittstaaten gestützt werden kann. Die Möglichkeiten der DSGVO hierfür sind längst nicht ausgeschöpft (z.B.: genehmigte Zertifizierungsmechanismen und Verhaltensregeln).
  • Unternehmen, die Daten aus dem EWR in einen Drittstaat schicken, müssen prüfen und nachweisen können, dass der Transfer weiterhin erfolgen darf.

Prüfen und dokumentieren

Konkret sollten Unternehmen jetzt eine Bestandsaufnahme machen, bei der sie sich unter anderem folgende Fragen stellen:

Bei welchen meiner Verarbeitungsprozesse finden Datenübermittlungen statt? Welche wurden bislang auf den EU-U.S. Privacy Shield gestützt? Durch welchen Mechanismus wird eine derartige Übermittlung nunmehr abgesichert? Wie hoch ist der Schutzbedarf der Daten? Wie ist die Rechtslage im Bestimmungsland? Beseht dort die Gefahr eines Zugriffs durch die Behörden auf die übermittelten Daten? Wie wahrscheinlich ist ein solcher? Wie lange werden die Daten im Drittland verbleiben? Wie steht es um den Rechtsschutz Betroffener gegen einen solchen Zugriff? Können die Daten derart verschlüsselt werden, dass das Unternehmen im Bestimmungsland keinen Zugriff auf die Daten hat, weil der Schlüssel beim übermittelnden Unternehmen im EWR verbleibt und das übermittelnde Unternehmen rechtlich unabhängig vom Empfänger ist? Kann im Falle des Einschaltens eines Dienstleisters im Drittstaat auf einen anderen Dienstleister zurückgegriffen werden, bei dem die Transferproblematik nicht besteht?

Diese Risikoanalyse sollte ausführlich dokumentiert werden, um im Falle einer Kontrolle durch die zuständige Datenschutzaufsicht (die in der Praxis nicht nur aufgrund eigener Initiative, sondern auch aufgrund der Beschwerde einer betroffenen Person tätig wird) schnell und angemessen antworten zu können. Gelingt es nicht, die Aufsichtsbehörde davon zu überzeugen, dass die jeweilige Verwendung der Standardvertragsklauseln erforderlich und zudem ausreichend abgesichert ist, wird die Aufsichtsbehörde die jeweilige Übermittlung verbieten. Ein in seiner Höhe nicht zu unterschätzendes Bußgeld dürfte dann außerdem zu zahlen sein.

Zusätzliche Pflichten des Datenempfängers vereinbaren

Wer personenbezogene Daten an Empfänger in Drittstaaten übermittelt, sollte jetzt Kontakt zu den Empfängern aufnehmen (ganz gleich, ob es sich dabei um Geschäftspartner, Dienstleister oder Unternehmen derselben Unternehmensgruppe handelt), um erforderlichenfalls ergänzende Schutzmaßnahmen zu vereinbaren. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg gibt in einer Orientierungshilfe für Unternehmen konkrete Hinweise für die Ergänzung der Standardvertragsklauseln, durch die der Empfänger der Daten weitergehende Pflichten eingeht, um betroffene Personen beispielsweise bei der Herausgabeaufforderung einer Behörde im Zielland angemessen zu schützen.

Da unklar ist, ob die jeweils zuständige Aufsichtsbehörde im Einzelfall von der Angemessenheit der ergriffenen zusätzlichen Maßnahmen überzeugt ist, kann das verbleibende Risiko eines rechtswidrigen Datentransfers derzeit letztlich nur durch einen Verzicht auf den Transfer ausgeschlossen werden. Je nach Ergebnis der Risikoanalyse sollte bei steigendem Risiko und steigender Kritikalität der Daten die Nutzung nationaler oder europäischer Alternativ-Angebote erwogen werden.

Datenschutz als Wettbewerbsfaktor

Die EU hat mit ihrer Gaia X Initiative begonnen, eine sichere und vernetzte souveräne Dateninfrastruktur zu schaffen. Das Projekt steht noch am Anfang. Allerdings zeigen derartige Initiativen, dass sich Datenschutz mehr und mehr zum Wettbewerbsfaktor entwickelt.

* Dr. Johanna Hofmann und Carsten Kociok arbeiten als Rechtsanwälte mit Schwerpunkten unter anderem auf Datenschutz bei Greenberg Traurig .

(ID:46973623)