Autor
Wiebke Reuter

Wiebke Reuter, LL.M.

Associate

Read More
Autor
Wiebke Reuter

Wiebke Reuter, LL.M.

Associate

Read More

21. August 2020

Schrems II – 3 von 7 Insights

Stellungnahmen der europäischen Aufsichtsbehörden zu Schrems II

  • In-depth analysis

Am 16. Juli 2020 hat der EuGH das Urteil in der Rechtssache „Schrems II“ verkündet (C-311/18), das nicht nur für die Digitalwirtschaft inner- und außerhalb Europas erhebliche Schwierigkeiten mit sich bringt. Dieser Artikel enthält eine Übersicht zu den ersten Stellungsnahmen der europäischen Aufsichtsbehörden zum EuGH-Urteil.

Hintergrund zum EuGH-Urteil „Schrems II“

In dem Urteil hat der EuGH insbesondere den EU-US Privacy Shield für ungültig erklärt, weil personenbezogene Daten in den USA nicht ausreichend vor den US-Behörden geschützt seien und es keine hinreichenden Rechtsschutzmöglichkeiten gebe. Zum einen hätten die US-Geheimdienste zu weitreichende Befugnisse, um auf Datenbestände zuzugreifen, insbesondere in Bezug auf Nicht-US-Bürger. Zum anderen könne auch der beim US-Außenministerium angesiedelte Ombudsmechanismus nicht als Rechtsschutz nach Maßgabe der Europäischen Grundrechtecharta dienen. Demgegenüber bleiben die von der Kommission herausgegebenen Standardvertragsklauseln („SCC“) weiterhin gültig. Allerdings genügt es bei Datenexporten nicht mehr, einfach nur die SCC zu vereinbaren. Vielmehr müssen Datenexporteur und –importeur sicherstellen, dass die transferierten Daten im Zielland einen vergleichbaren Schutz wie nach der DSGVO im Lichte der europäischen Grundrechtecharta genießen. Nach dem Urteil ist insbesondere fraglich, ob das für die USA überhaupt noch zu gewährleisten ist, da die SCC als vertragliche Vereinbarung nicht das Verhalten der Behörden verbindlich steuern können. Für betroffene Unternehmen bleiben viele Fragen offen.

Die Europäische Kommission meint allerdings, die transatlantischen Datenströme könnten zunächst weiter fließen, da die SCC in Kraft bleiben. Zudem arbeite die Kommission daran, die „Toolbox“ für einen sicheren internationalen Datentransfer auszubauen, einschließlich einer Modernisierung der SCC. Unter Berücksichtigung des hohen Schutzniveaus für personenbezogene Daten soll zusammen mit der US-Regierung die Sicherheit des Datentransfers in die USA gewährleistet werden.

Die US-Regierung – vertreten durch den Handelsminister (Secretary of Commerce) und das Außenministerium (State Department) – drückte bereits ihr Bedauern über das Urteil aus. Das Außenministerium betonte, dass die USA mit der EU die Werte von Rechtsstaatlichkeit und Demokratie teilen würden. Der Handelsminister hofft, dass in Zusammenarbeit mit der Europäischen Kommission die negativen Auswirkungen auf den transatlantischen Wirtschaftsverkehr beschränkt werden können.

Innerhalb Europas haben zudem zahlreiche Aufsichtsbehörden Stellungnahmen abgegeben. Grob sind zwei Richtungen auszumachen. Während einige der Aufsichtsbehörden das Urteil begrüßen und ankündigen, die Einhaltung der Datenschutzstandards stärker prüfen zu wollen (sehr deutlich Irland, Hamburg und Berlin), wollen andere das Urteil zunächst prüfen und verweisen auf die notwendige europäische Abstimmung (z.B. Großbritannien und Frankreich). Als praktische Maßnahme empfiehlt das britische Information Commissioner’s Office (ICO), den Privacy Shield zunächst weiter zu nutzen, wenn dieser bereits genutzt wird. Keinesfalls sollte aber jetzt noch mit Datentransfers auf Grundlage des Privacy Shields begonnen werden. Hervorzuheben ist auch die Äußerung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der auf die fatalen Folgen für die Wirtschaft beiderseits des Atlantiks hinweist, wenn der Datentransfer konsequent unterbunden werde. Demgegenüber positioniert sich die Aufsichtsbehörde in Berlin klar dafür, Datenströme in die USA vorerst zu unterbinden.

Übersicht zu den Stellungnahmen der europäischen Aufsichtsbehörden

Die folgende Übersicht fasst die bisherigen Stellungnahmen der Aufsichtsbehörden zusammen. Die Unterscheidung der Stellungnahmen erfolgt insofern in drei Kategorien:

  • zurückhaltend/neutral (noch keine rechtliche Bewertung bzw. kein unmittelbarer Handlungsbedarf),
  • gemäßigt bis streng (Hinweis auf bestehende rechtliche Probleme und Risiken des Datentransfers ohne abschließende Positionierung zur Zulässigkeit des Datentransfers) und
  • eindeutige ablehnende Positionierung (klare Bewertung des Datentransfers als unzulässig).
Zurückhaltend/neutral (noch keine rechtliche Bewertung bzw. kein unmittelbarer Handlungsbedarf)
Dänemark

Die dänische Datenschutzbehörde stellt nur kurz den wesentlichen Inhalt des EuGH-Urteils dar und weist daraufhin, dass die vom Gerichtshof aufgeworfenen Fragen geprüft werden müssten. Eine weitere Bewertung enthält die Stellungnahme nicht.

Deutschland

Der hessische Datenschutzbeauftragte verweist lediglich darauf, dass der EU-US-Datenschutzschild nicht mehr gültig ist.

Der Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen beschränkt sich auf einen Hinweis auf das Urteil sowie einen Verweis darauf, dass die europäischen Datenschutzbehörden gemeinsame Schlüsse aus dem Urteil sowie Handlungsempfehlungen erarbeiten. Die SCC könnten weiterhin genutzt werden, der Datenexporteur müsse aber sicherstellen, dass ein ausreichender Schutz gewährleistet wird im Drittstaat. Ggf. müssen zusätzliche Maßnahmen ergriffen werden. Werden die SCC nicht befolgt, so ist die der Datentransfer auszusetzen oder zumindest die Aufsichtsbehörde zu informieren.

Finnland

Die finnische Datenschutzbehörde verweist lediglich auf das Urteil und die Sitzung des EDPB.

Frankreich

Die Commission Nationale de l’Informatique et des Libertés (CNIL) hielt sich zunächst bedeckt und verweist auf die Aufarbeitung des Urteils im Rahmen des EDPB. Mittlerweile sind FAQ veröffentlicht, die darauf hinweisen, dass das EU-US-Datenschutzschild ohne Gewährung einer Übergangsfrist aufgehoben wurde. Zudem wird darauf hingewiesen, dass jedes Unternehmen im Einzelfall prüfen muss, ob eine Übertragung auf Grundlage der SCC noch möglich ist.

Großbritannien

Das britische Information Commissioner‘s Office (ICO) weist darauf hin, dass das Privacy Shield zunächst weiter benutzt werden soll, aber neue Transfers nicht mehr auf das Privacy Shield gestützt werden sollten. In einer weiteren Stellungnahme weist es auf die wichtige Rolle der Datenschutzbehörden hin, zugleich wird es aber einen risikobasierten und verhältnismäßigen Ansatz auf Grundlage der „Regulatory Action Policy“ verfolgen.

Island

Die isländische Datenschutzbehörde beschränkt sich auf einen Verweis auf die Sitzungen des EDPB.

Liechtenstein

Die Datenschutzstelle von Liechtenstein verweist nur darauf, dass nunmehr andere Schutzmechanismen gewählt werden müssen, um Datentransfers in die USA abzusichern.

Litauen

Die litauische Datenschutzaufsichtsbehörde fasst die Kernaussagen des Urteils kurz zusammen und verweist darauf, dass sie die Entscheidung im Rahmen des EDPB analysiere.

Polen

Das Polnische Datenschutzamt (UODO) referiert lediglich das Urteil und verweist darauf, dass ein einheitlicher Ansatz im Rahmen des EDPB gefunden werden müsse für den Umgang mit dem Urteil.

Schweiz

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) verweist nur kurz auf das Urteil. Für die Schweiz sei es nicht direkt anwendbar. Er wird es aber prüfen und sich zu gegebener Zeit äußern.

Tschechien

Das tschechische Büro für den Schutz personenbezogener Daten weist bisher nur kurz auf die EuGH-Entscheidung hin, enthält sich allerdings einer Bewertung.

Gemäßigt bis streng (Hinweis auf bestehende rechtliche Probleme und Risiken des Datentransfers ohne abschließende Positionierung zur Zulässigkeit des Datentransfers)
Bulgarien

Die bulgarische Komission für den Schutz Personenbezogener Daten weist darauf hin, dass nunmehr die anderen in der DSGVO vorgesehenen Sicherungsmaßnahmen angewendet werden müssen, um Daten rechtskonform in die USA transferieren zu können.

Deutschland

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sieht den Datenverkehr zwischen der EU und den USA weiterhin als möglich an. Er will Unternehmen bei der Umstellung vom Privacy Shield auf andere Maßnahmen beraten. Er sieht zudem die Aufsichtsbehörden gestärkt und betont, dass der Datenaustausch untersagt werden muss, wenn er nicht den Anforderungen des EuGH entspricht.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (RPLfDI) sieht die Rechte des Einzelnen durch den EuGH gestärkt, sieht aber auch ein „hartes Stück Arbeit“ auf die betroffenen Unternehmen zukommen. Er betont, dass der Datentransfer in Drittstaaten ausgesetzt werden muss, wenn das dortige Recht nicht mit europäischem Datenschutzrecht in Einklang zu bringen ist. Er verweist auf die notwendige Abstimmung der Aufsichtsbehörden. Der LfDI hat zudem eine Liste mit Antworten auf häufig gestellte Fragen erstellt.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLFDI) ist dem EuGH für „seine klare Feststellung dankbar, dass der Ombudsmechanismus [der USA] nicht die EU-Rechtsschutzgarantien erfüllt“. Es sei fraglich, wie die SCC künftig mit Leben erfüllt werden können. Die europäischen Aufsichtsbehörden seien nun gerade auch in Hinblick auf die datenschutzkonforme Übermittlung von Daten in die USA in der Pflicht.

Die Datenschutzkonferenz (DSK) ist der Auffassung, dass das Urteil den Datenschutz gestärkt hat. Zwar könnten die SCC weiter genutzt werden, aber Datenexporteur und –importeur müssen sicherstellen, dass ein angemessenes Datenschutzniveau im Drittstaat besteht. Falls dem nicht so ist, müssen weitere Maßnahmen ergriffen werden. Diese Maßnahmen dürfen aber nicht von den Regelungen des Drittstaates unterminiert werden. Die Wertungen des Urteils fänden zudem auf weitere Garantien nach Art. 46 DSGVO Anwendung, wie etwa Binding Corporate Rules, sodass auch hier weitere Maßnahmen ergriffen werden müssten. Transfers nach Art. 49 DSGVO seien weiterhin zulässig, wenn die Voraussetzungen im Einzelfall erfüllt sind.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) verweist nur kurz auf das Urteil. Seiner Ansicht nach ist die Situation die gleiche wie vor fünf Jahren, als das Safe Harbor Abkommen für ungültig erklärt wurde. Im Übrigen wird auf die Stellungnahme des Hamburger Datenschutzbeauftragten, des Bundesdatenschutzbeauftragten und des EDSA verwiesen.

EU

Das European Data Protection Board (EDPB) stellt heraus, dass der EuGH Fehler des EU-US Privacy Shields anspricht, auf die das EDPB bereits hingewiesen habe. Es will die Kommission dabei unterstützen, ein rechtskonformes Abkommen mit den USA abzuschließen. Zudem will das EDPB Maßnahmen erarbeiten, die Datenexporteure umsetzen können, um den geforderten Schutz zu gewährleisten. Es weist aber auch auf die Pflichten hin, die sich aus den SCC ergeben, und betont, dass die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die den gestellten Anforderungen nicht genügen.

Der European Data Protection Supervisor (EDPS) begrüßt, dass die EuGH-Entscheidung die Wichtigkeit eines hohen Schutzniveaus für Daten betont, die in Drittstaaten transferiert werden. Zugleich hofft er darauf, dass die USA zeitnah ein Datenschutzniveau erreichen, das dem vom EuGH geforderten entspricht. Der EDPS überprüft vor dem Hintergrund des Urteils auch die Verträge, die die EU-Institutionen eingegangen sind. Namentlich genannt wird Microsoft.

Irland

Die irländische Datenschutzbehörde (DPC) begrüßt das EuGH-Urteil, da das Urteil die Bedenken der DPC gegen Datentransfers in die USA unterstreiche. Das DPC sieht zudem die Position der Aufsichtsbehörden gestärkt, denn diese könnten nun auch bei Datentransfers in die USA einschreiten.

Italien

Die italienische Datenschutzbehörde beschränkt sich auf einen Verweis auf die Materialien des EDPB, wonach die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Kroatien

Die kroatische Agentur für den Schutz personenbezogener Daten gibt die Stellungnahme des EDPB wieder, wonach die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Malta

Der maltesische Datenschutzbeauftragte fasst das Urteil kurz zusammen und verweist auf die FAQ des EDPB, wonach die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Norwegen

Die Norwegische Datenschutzbehörde weist darauf hin, dass SCC allein nicht ausreichen. Vielmehr müsse der Datenexporteur auch immer prüfen, ob das Datenschutzniveau im Drittstaat ausreiche. Sei dies nicht der Fall, müssten ergänzende Maßnahmen ergriffen werden, wobei derzeit große Unsicherheit bestehe, wie diese Maßnahmen aussehen könnten. Insbesondere bei Transfers in die USA könnten solche Maßnahmen unmöglich sein.

Rumänien

Die Rumänische Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten fasst das Urteil kurz zusammen. Sie weist darauf hin, dass Datentransfers in die USA noch möglich sind, wenn angemessene Sicherheiten im Sinne von Art. 46 DSGVO bereitgestellt werden.

Schweden

Die schwedische Datenschutzbehörde verweist auf die Ergebnisse des EDPB, wonach die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Slowakei

Das Slowakische Amt für den Schutz personenbezogener Daten verweist lediglich auf die Stellungnahme des EDPB, wonach die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Slowenien

Der slowenische Datenschutzbeauftragte fasst das Urteil kurz zusammen und verweist darauf, dass Unternehmen, die Daten in Drittstaaten übermitteln, so schnell wie möglich auf andere Datentransfermechanismen umstellen müssen. SCC und BCR seien auch für Transfers in die USA noch möglich, wenn entsprechende Sicherungen verwendet werden. Wie diese Sicherungen aussehen können, wird hingegen nicht dargelegt.

Spanien

Die Spanische Agentur für Datenschutz (AEPD) verweist auf den gemeinsamen Beschluss des EDPB und fordert weiterhin zur Zusammenarbeit der europäischen Datenschutzbehörden auf beim Umgang mit dem Urteil. Das EDPB stellt heraus, dass die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Zypern

Das Zypriotisches Büro des Beauftragten für den Schutz personenbezogener Daten weist darauf hin, dass Unternehmen die Überwachungspraxis des Drittstaates berücksichtigen müssen, auch wenn die SCC in Kraft bleiben. Es werden aber keine Hinweise auf denkbare ergänzende Maßnahmen geliefert. Kann ein hinreichendes Datenschutzniveau nicht gewährleistet werden, dann müssen Datentransfers ausgesetzt oder beendet werden. Zudem wird auf die FAQ des EDPB verwiesen, wonach die Anforderungen aus den SCC zu befolgen und die Aufsichtsbehörden gehalten sind, Datentransfers zu untersagen, die dem nicht genügen.

Eindeutige ablehnende Positionierung (klare Bewertung des Datentransfers als unzulässig)
Deutschland

Laut dem Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) habe der EuGH in erfreulicher Weise ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen könne, sondern auch die Grundrechte der Menschen im Vordergrund stehen müssten. Es sei nun die „Stunde der digitalen Eigenständigkeit Europas“ gekommen. Zudem sieht die BlnBDI das EuGH-Urteil als Herausforderung an, unzulässige Datenübermittlungen in Drittländer zu verbieten. Explizit genannt werden neben den USA auch Russland, China und Indien. Die BlnBDI erwähnt zudem, dass sich Unternehmen schadensersatzpflichtig machen können, wenn sie unzulässiger Weise Daten in Drittstaaten transferieren.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) begrüßt das Urteil. Er betont, dass die USA nach dem gescheiterten Safe Harbor-Abkommen keine nennenswerten Verbesserungen vorgenommen hätten. Zudem kritisiert er es als inkonsequent, dass der EuGH die SCC als angemessenes Instrument für den Datenschutz angesehen hat. Der HmbBfDI sieht die Aufsichtsbehörden gefordert, gemeinsam eine Strategie zu entwickeln, wie mit internationalen Datentransfers umzugehen sein wird. Für den internationalen Datentransfer sieht er zudem schwere Zeiten aufziehen.

Im FAZ-Interview begrüßt es der Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) grundsätzlich, dass der EuGH versucht, weltweit ein Schutzniveau auf dem Standard der DSGVO zu etablieren. Zugleich gibt er zu bedenken, dass auch der Schaden für die EU massiv wäre, würde Europa den Datentransfer in die USA konsequent unterbinden. In einer „Orientierungshilfe“ vom 25. August 2020 weist der LfDI BW allerdings auch darauf hin, dass ein Datentransfer von den Aufsichtsbehörden zu untersagen ist, wenn ein angemessenes Schutzniveau nicht sichergestellt ist. Als zusätzliche Garantien werden Verschlüsselung oder Pseudonymisierung vorgeschlagen, wenn nur der Datenexporteur die Entschlüsselung/Zuordnung vornehmen kann.

Der LfDI BW weist aber auch unmissverständlich darauf hin, dass Datentransfers untersagt werden, wenn der betreffende Datenexporteur die Behörde nicht davon überzeugen kann, dass der Datentransfer mit „Transferproblematik“ unerlässlich ist, weil es keine vergleichbaren Anbieter ohne „Transferproblematik“ gibt.

Estland

Die Estnische Datenschutzbehörde verweist auf die SCC als Option für die Übermittlung in die USA. Zugleich betont die Behörde aber, dass sich jedes Unternehmen stets selbst vom Datenschutzniveau im Drittstaat überzeugen muss, bevor es SCC abschließt.

Luxemburg

Die Nationale Kommission für den Datenschutz (CNPD) begrüßt das Schrems II-Urteil ausdrücklich und verweist noch einmal darauf, dass nunmehr auch die SCC nicht ohne weiteres verwendet werden können.

Niederlande

Die niederländische Datenschutzbehörde (AP) lehnt die Anwendung der SCC für Datentransfers in die USA zwar nicht ausdrücklich ab, es ergibt sich jedoch aus dem Gesamtkontext. Die AP stellt klar, dass die SCC nur als Safeguard verwendet werden können, wenn in der Praxis ein gleichwertiges Schutzniveau im Empfängerland gewährleistet werden kann. Mangels eines allgemeinen Gesetzes zum Schutz personenbezogener Daten in den USA, verfüge diese nicht über ein angemessenes Schutzniveau, das mit dem Niveau in der EU vergleichbar ist. Die AP prüft derzeit die praktischen Konsequenzen der Entscheidung innerhalb des Europäischen Datenschutzausschusses (EDPB).

Zu verweisen ist ferner auf eine gemeinsam Erklärung der EU Kommission und des US Department of Commerce vom 10. August 2020. Demnach arbeiten beide Seiten daran, das EU-US Datenschutzschild so weiterzuentwickeln, dass es den Anforderungen des Schrems II-Urteils entspricht.

Der Vorsitzende des Ausschusses für Handel, Wissenschaft und Verkehr des US-Senats, Roger Wicker, und der Vorsitzende des Unterausschusses für Fertigung, Handel und Verbraucherschutz, Jerry Moran, haben erklärt, dass die wirtschaftlichen Auswirkungen des EUGH-Urteils beunruhigend seien, da die Ungültigkeit des EU-US-Datenschutzschildes zu erheblichen Störungen der Datenübertragungen und Handelsaktivitäten führen würde. Sie betonen die Notwendigkeit, rasch an der Schaffung eines Nachfolgeabkommens zu arbeiten, der die wirtschaftliche Entwicklung unterstützt und Verbraucherdaten über die Grenzen hinweg angemessen schützt.

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Datenschutz & Cyber-Sicherheit

DSGVO-konform oder nicht? Audits als Mittel zur Selbstkontrolle

26. August 2020

von mehreren Autoren

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

Empfohlene Maßnahmen nach dem Schrems II-Urteil des EuGH

19. August 2020

von Wiebke Reuter, LL.M.

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

Cookie Zustimmung - Überblick über die unterschiedlichen Anforderungen der europäischen Datenschutzbehörden an die Gestaltung eines Cookie-Banners (April 2020)

25. Mai 2020

von Wiebke Reuter, LL.M. und Dr. Lars Querndt, LL.M. (Madrid)

Klicken Sie hier für Details