Vor einem Monat hat der Europäische Gerichtshof (EuGH) sein „Schrems II“-Urteil (16. Juli 2020, C-311/18) verkündet und damit das EU-US-Privacy Shield für ungültig erklärt. Die Standardvertragsklauseln (SCC) hat der EuGH zwar für gültig befunden, zugleich aber darauf verwiesen, dass der formale Abschluss der SCC allein nicht genüge. Vielmehr müssen Datenexporteur und -importeur sicherstellen, dass die Daten im Drittland den gleichen Schutz genießen, wie sie ihn innerhalb der EU aufgrund der DSGVO und der EU-Grundrechtecharta erhalten.

Die ersten Stellungnahmen der EU Aufsichtsbehörden interpretieren das „Schrems II“-Urteil dahingehend, dass Unternehmen in erster Linie verpflichtet sind, ihre Datenübermittlungen in Drittländer zu überprüfen. Einige Aufsichtsbehörden weisen sogar explizit darauf hin, dass eine Datenübermittlung allein auf Basis von SCC – d.h. ohne zusätzliche Maßnahmen – eine mögliche Inanspruchnahme des Unternehmens wegen eines Datenschutzverstoßes auslösen könne. Im Fokus stehen dabei Datenübermittlungen in die USA. Betroffen sind aber auch Übermittlungen in andere Drittländer, wenn es weder einen Angemessenheitsbeschluss gibt, noch – so der Regelfall – Binding Corporate Rules bestehen oder eine Einwilligung vorliegt, und auch keine Ausnahme nach Art. 49 DSGVO eingreift. Von einigen Aufsichtsbehörden werden insbesondere China und Russland als mögliche weitere kritische Drittländer genannt.

Konkrete und verlässliche Handlungsempfehlungen gibt es seitens der Behörden bisher nicht. Unternehmen müssen sich daher zunächst selbst Gedanken machen, wie sie ihre Datenübermittlung ins Drittland künftig organisieren. Dabei gilt es zu beachten, dass nicht nur unmittelbare Datenübermittlungen betroffen sind, sondern auch Unterauftragsverarbeitungsverhältnisse. Wer also einen Auftragsverarbeiter innerhalb der EU einsetzt, der wiederum einen Unter-Auftragsverarbeiter in den USA oder einem anderen Drittland beauftragt, muss seine Datenverarbeitungsprozesse ebenfalls überprüfen und möglicherweise anpassen. Zu berücksichtigen ist außerdem, dass neben der Anpassung von Schutzmaßnahmen zur Absicherung von Drittlandübermittlungen zugleich auch die Überarbeitung weiterer Datenschutzmaßnahmen, wie z.B. Datenschutzerklärungen, Datenauskünfte und Verfahrensverzeichnisse, notwendig ist. Zudem können internationale Datenübermittlungen auch die Auswahl geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO sowie die Risikobewertung im Rahmen von Datenschutzfolgeabschätzungen oder einer möglichen Datenpanne beeinflussen.

Im Folgenden stellen wir Ihnen in einer kurzen Übersicht wichtige Aspekte und ToDos vor, auf die es nun für Unternehmen ankommt:

1. Anpassung der Schutzmaßnahmen für Datenübermittlungen in Drittländer

Ein Hauptaugenmerk sollte darauf liegen, die erforderlichen Schutzmaßnahmen gem. Art. 44-49 DSGVO für Datenübermittlungen in Drittländer außerhalb der EU zu überprüfen und, falls erforderlich, anzupassen.

Als Grundvoraussetzung für alle weiteren Maßnahmen müssen Unternehmen zunächst identifizieren, an welche Empfänger – d.h. Auftragsverarbeiter und (gemeinsam) Verantwortliche – sie personenbezogene Daten übermitteln und wo diese Empfänger Daten verarbeiten bzw. auf Daten zugreifen. In der Regel sollte dieser Schritt anhand des Verarbeitungsverzeichnisses und/oder der entsprechenden Datenverträge relativ zeitnah möglich sein. Wer hier bereits auf Schwierigkeiten stößt, könnte die notwenigen Überprüfungen zum Anlass nehmen, um das Verarbeitungsverzeichnis oder die Verträge zu aktualisieren.

1.1 Datenübermittlungen in die USA

Aufgrund des „Schrems II“-Urteils stehen vor allem Datenübermittlungen in die USA auf dem Prüfstand. Hier ist mit Blick auf das faktische Risiko eine hohe Priorisierung empfehlenswert. Sobald eine Übersicht über sämtliche Datenübermittlungen zur Verfügung steht, muss geklärt werden, inwiefern Daten noch in die USA übermittelt werden können.

Nachdem das Privacy Shield weggefallen ist, stehen primär die SCC als Rechtsgrundlage zur Verfügung. Allerdings hat der EuGH insoweit vor allem daran Anstoß genommen, dass US-Behörden weitgehende, rechtsstaatlich kaum überprüfbare Befugnisse haben, auf die Daten von Nicht-US-Bürgern zuzugreifen. Das kann durch vertragliche Regelungen nicht geändert werden. Allerdings können in bestimmten Fällen Vorkehrungen getroffen werden, um das Risiko eines aufsichtsbehördlichen Einschreitens für Datenexporteure in Europa abzumildern.

Dazu sollten die folgenden Schritte berücksichtigt werden, mit denen der Datenimporteur verpflichtet wird, Maßnahmen zu ergreifen, die den Zugriff durch US-Behörden zumindest erschweren:

• Zunächst müssen die Datenübermittlungen in die USA einschließlich ihrer jeweiligen Schutzmaßnahmen (in der Regel Privacy Shield oder SCC) identifiziert werden.
• Sodann sollte der jeweilige Datenempfänger kontaktiert werden, um zu prüfen, inwiefern die Datenübermittlung zukünftig über andere Schutzmaßnahmen, z.B. SCC einschließlich bestimmter Zusatzvereinbarungen, abgesichert werden kann. Dazu reicht es in der Regel nicht, nachzufragen, ob der Datenempfänger bereit ist, beispielsweise die SCC und Zusatzvereinbarungen abzuschließen. Geklärt werden muss zudem, ob mit Hilfe von SCC (ggf. zusammen mit Zusatzvereinbarungen) im jeweiligen Einzelfall das erforderliche Datenschutzniveau gewährleistet werden kann.

  Für die Anfrage können zum Beispiel die Muster verwendet werden, die die Non-Profit Organisation NOYB – European Center for Digital Rights unentgeltlich zur Verfügung stellt. Die Muster enthalten einen Katalog mit Fragen, den der jeweilige Datenempfänger beantworten muss. Wurden die SCC noch nicht abgeschlossen, weil die Datenübermittlungen bisher ausschließlich vom Privacy Shield abgesichert wurden, sollten die Schreiben entsprechend angepasst werden.

• Auf Grundlage der Antworten muss geprüft werden, ob eine Datenübermittlung mit Hilfe anderer Schutzmaßnahmen hinreichend abgesichert werden kann. Wird dies bejaht, sollten die entsprechenden Maßnahmen getroffen werden. Der Inhalt dieser Maßnahmen muss sodann anhand des jeweiligen Einzelfalles basierend auf den Antworten des Empfängers ermittelt werden.

1.2 Datenübermittlungen in andere Drittländer

Ein ähnliches Vorgehen, wie unter Ziffer 1.1 skizziert, sollte auch bei Datenübermittlungen in andere Drittländer gewählt werden. Hier ist zusätzlich – und den weiteren Schritten vorgelagert – abzuklären, welches Datenschutzniveau in dem jeweiligen Drittland besteht, d.h. welche rechtlichen Regeln es insbesondere beim Zugriff durch Behörden gibt, und inwiefern diese Regeln in der Praxis eingehalten werden. Auch dies sollte in Zusammenarbeit mit dem Datenempfänger geprüft werden. Je nach Ergebnis der Prüfung muss entschieden werden, welche weiteren Maßnahmen umzusetzen sind.

2. Auftragsverarbeitungsverträge

Ein Augenmerk sollte zudem auf Auftragsverarbeitungsverträge (AVV) gelegt werden. Zu prüfen ist insbesondere, inwiefern in den AVV Unterauftragsverarbeitungen bereits genehmigt wurden, für die möglicherweise kein angemessenes Datenschutzniveau besteht. Zeigen sich hier Defizite, sollte eine Anpassung der (Unter-)AVV vorgenommen werden. Ist das nicht möglich, ist als ultima ratio auch der Widerruf der Genehmigung für die Unterauftragsverarbeitung in Betracht zu ziehen. Hier sollte aber zunächst abgeklärt werden, inwiefern der Auftragsverarbeiter in der Folge seine Dienstleistungen nicht mehr oder nicht mehr wie bisher anbieten könnte oder wollte.

Überprüft werden sollten zudem auch die internen AVV-Templates im Unternehmen. Hier sollte insbesondere eine Pflicht des Auftragsverarbeiters aufgenommen werden, nur solche Unterauftragsverarbeiter einzubinden, die ein angemessenes Datenschutzniveau gewährleisten. Unter Umständen kann auch erwogen werden, dem Auftragsverarbeiter konkrete Verpflichtungen aufzuerlegen, wie zum Beispiel SCC nur mit entsprechenden Zusatzvereinbarungen abzuschließen, um ein angemessenes Datenschutzniveau zu gewährleisten.

3. Anpassung der Datenschutzhinweise, Vorlagen für Auskunftsansprüche und Verarbeitungsverzeichnisse

3.1 Datenschutzhinweise

Angepasst werden müssen auch die jeweiligen Datenschutzhinweise im Unternehmen, die zum Beispiel gegenüber Mitarbeitern, Webseitenbesuchern, App-Nutzern oder Kunden gelten. Hier bedarf es insbesondere der Überarbeitung der Informationen zu Datenübermittlungen in Drittländer, sofern dabei nunmehr andere Schutzmaßahmen eingesetzt werden.

3.2 Auskunftsersuchen

Dasselbe gilt für die Datenauskunft gemäß Art. 15 DSGVO. Die Auskunftspflicht umfasst neben Informationen zu Datenübermittlungen in Drittländer auch Angaben zu den ergriffenen Garantien gemäß Art. 46 DSGVO. Bei der Beantwortung muss in Zukunft wohl auch Auskunft zu den angepassten Garantien erteilt werden. Sofern ein Unternehmen zur Vereinfachung des Prozesses Templates einsetzt, bedarf es zudem einer Anpassung dieser Templates.

3.3 Verarbeitungsverzeichnis

In den Verarbeitungsverzeichnissen des Unternehmens sollten neben den Informationen zu den Datenempfängern in Drittländern zugleich auch die ergriffenen Schutzmaßnahmen zur Absicherung der Datenübermittlung dokumentiert werden. Ein aktuelles Verarbeitungsverzeichnis erleichtert insbesondere die erforderlichen Anpassungen von Datenschutzhinweisen sowie die ordnungsgemäße Beauskunftung im Falle einer Betroffenenanfrage.

4. Datensicherheit

Das „Schrems II“-Urteil hat zudem Auswirkung auf die Verpflichtung zur Gewährleistung einer angemessenen Datensicherheit und somit auf die ergriffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Neben den Schutzmaßnahmen gemäß Art. 44-49 DSGVO sollte deshalb auch geprüft werden, ob mittels technischer und organisatorischer Maßnahmen – zum Beispiel dem Einsatz von geeigneten Verschlüsselungstechnologien – eine zusätzliche Sicherheit für die Datenübermittlung gewährleistet werden kann.

Ferner ist das „Schrems II“-Urteil auch bei der Bewertung von Datenschutzfolgeabschätzungen und Datenpannen gemäß Art 33-36 DSGVO zu berücksichtigen. So kann zum Beispiel nicht ausgeschlossen werden, dass bei einem unbefugten Zugriff oder einer unbefugten Weitergabe von Daten in ein Drittland das Risiko bereits aufgrund dieser Übermittlung als nicht mehr gering einzuschätzen ist, mit der Folge, dass das Unternehmen die Datenübermittlung bzw. den Datenzugriff gegenüber der zuständigen Aufsichtsbehörde melden muss.

5. Fazit

Das „Schrems II“-Urteil des EuGH stellt Unternehmen vor erhebliche Herausforderungen – nicht nur bei der Ergreifung von geeigneten Schutzmaßnahmen zur Absicherung von Datenübermittlungen in Drittländer, sondern auch in Bezug auf den daraus resultierenden Anpassungsbedarf. Gern unterstützen wir Sie bei der Ermittlung und Umsetzung der erforderlichen Maßnahmen.