1. EDPB setzt Task Force zum Umgang mit den Auswirkungen des „Schrems II“-Urteils ein
Der Europäische Datenschutzausschuss (EDSA) – das gemeinsame Gremium europäischer Datenschutzaufsichtsbehörden – hat eine Task Force ins Leben gerufen, die sich mit den zahlreichen Beschwerden, die nach dem „Schrems II“-Urteil (Rechtssache C-311/18) eingereicht wurden, befassen. Zugleich wird diese Task Force Handlungsempfehlungen ausarbeiten, wie Datenexporteure zusätzliche Maßnahmen (z.B. rechtlicher, technischer und organisatorischer Natur) ergreifen können, um den rechtlichen Anforderungen der DS-GVO bei Datenübermittlungen in Drittländer zu genügen.
Der EDSA betont jedoch zugleich, dass „die Auswirkungen des Urteils weitreichend, und die Umstände der Datenübermittlung in Drittländer sehr unterschiedlich sind. Es kann deshalb keine „Patentlösung“ geben, die allen Datenübermittlungen gleichermaßen gerecht wird. Jeder Datenexporteur muss vielmehr seine eigenen Datenverarbeitungsvorgänge und Datenübermittlungen bewerten und daraufhin geeignete Maßnahmen ergreifen“.
Es besteht deshalb kaum Hoffnung, dass es in naher Zukunft eine einheitliche und praktikable Lösung des EDSA geben wird, die es den Datenexporteuren in Europa mit möglichst wenig administrativen Aufwand ermöglicht, personenbezogene Daten in unsichere Drittländer, wie z.B. die USA, zu exportieren.
2. Neue Stellungnahme des LfDI Baden-Württemberg
Während der EDSA aktuell noch dabei ist, allgemeine Handlungsempfehlungen auszuarbeiten, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) bereits reagiert und als erste deutsche Aufsichtsbehörde eine Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ mit Hinweisen zum weiteren Vorgehen für deutsche Datenexporteure veröffentlicht.
Zusammenfassend empfiehlt der LfDI:
a) Internationale Datenübermittlungen auf Grundlage von Standardvertragsklauseln (sog. Standard Contractual Clauses = SCC) sind weiterhin denkbar, allerdings
(i) müssen bei Datenübermittlungen in die USA zusätzliche Maßnahmen ergriffen werden, wie z.B. die Verschlüsselung, die von US-Geheimdiensten nicht außer Kraft gesetzt werden kann, oder die Anonymisierung sämtlicher personenbezogener Daten. Der LfDI betont jedoch selbst, dass die vorgeschlagenen Maßnahmen wohl nur in wenigen Fallkonstellationen in Betracht kommen und deshalb keine effektive Lösung darstellen können.
(ii) muss bei Datenübermittlungen in sonstige Drittländer zusätzlich geprüft werden, ob Zugriffsmöglichkeiten seitens staatlicher Behörden oder Geheimdienste bestehen oder wenigstens wirksame Rechtsschutzmöglichkeiten gewährt werden. Zusätzlich müssen weitere Ergänzungen zu den SCC aufgenommen werden (siehe Buchstabe d) unten).
b) Als Alternative zu den SCC sollen verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO (sog. Binding Corporate Rules) in Erwägung gezogen werden. Wobei – wie im Falle von SCC – zusätzliche Garantien erforderlich sein können.
c) Außerdem sollen die Ausnahmeregelungen des Art. 49 DS-GVO in Betracht gezogen werden, wie z.B. bei Datenübermittlungen im Konzern oder Einzelvertragsbeziehungen. Diese Ausnahmeregelungen sind jedoch eng auszulegen.
d) Fehlt es an wirksamen Garantien – wie z.B. bei Datenübermittlungen in die USA – sollten Datenexporteure, um „wenigstens Ihren Willen zu rechtskonformem Handeln zu demonstrieren und zu dokumentieren“, Kontakt mit dem jeweiligen Datenimporteur aufnehmen und sich über effektive Ergänzungen zu den SCC verständigen, die in einer gesonderten Vereinbarung, z.B. einem Data Processing Addendum, festgehalten werden.
Bezüglich möglicher Ergänzungen zu den SCC (2010/87/EU vom 05.02.2010) werden in der Orientierungshilfe (vgl. dort Ziffer IV) auch schon konkrete Regelungen vorgeschlagen, wie z.B (i) gesteigerte Informationspflichten gegenüber Betroffenen (Ergänzung der Klauseln 4 f), 5 d) i) und h)), (ii) die Verpflichtung des Datenimporteurs zur Beschreitung des Rechtswegs gegenüber staatlichen Offenlegungspflichten (Ergänzung der Klausel 5 d)), (iii) die Aufnahme einer zusätzlichen Verpflichtung des Datenimporteurs, den Betroffenen verschuldensunabhängig von allen Schäden freizustellen, die ihm durch eine staatliche Offenlegung entstehen können sowie (iv) die Vereinbarung der bisher fakultativen Entschädigungsklausel in Anhang 2 zu den SCC.
Angesichts der Tatsache, dass auch der EDSA an der Erstellung weiterer Maßnahmen arbeitet, bleibt abzuwarten, ob sich die vom LfDI vorgeschlagenen Ergänzungen zu den SCC auch über die Grenzen ihrer eigenen Zuständigkeit hinaus als durchsetzbar erweisen werden. Die Erfahrung mit US-Dienstleistern zeigt jedenfalls, dass diese in der Regel nicht gewillt sind, zusätzliche Datenschutzpflichten, insbesondere gegenüber Dritten, wie den Betroffenen, zu akzeptieren. Dennoch ist es begrüßenswert, dass eine deutsche Aufsichtsbehörde nunmehr den Versuch unternommen hat, den Datenexporteuren in Deutschland eine praktikable Handlungsempfehlung an die Hand zu geben.
3. Übersicht aktueller Stellungnahmen in der EU und USA
Eine Übersicht zu den aktuellen Stellungnahmen zum „Schrems II“-Urteil finden Sie hier, in der wir den gegenwärtigen Stand der verschiedenen Stimmen der europäischen Aufsichtsbehörden sowie von Institutionen in der EU und den USA für Sie zusammengefasst haben.
