Ende Juli 2024 hat die niederländische Datenschutzaufsichtsbehörde gegen Uber ein Bußgeld in Höhe von EUR 290 Mio. verhängt, weil Uber nach Ansicht der Behörde über einen Zeitraum von mehr als zwei Jahren personenbezogene Daten aus der EU in die USA übermittelt hatte, ohne die notwendigen Schutzmaßnahmen der DSGVO zu implementieren. Insbesondere zwei der Feststellungen der Behörde sind – wenngleich nicht überraschend – auch für andere Unternehmen relevant:
- Der Begriff der „Übermittlung“ ins Drittland ist sehr weit
Die DSGVO knüpft an den Begriff der Übermittlung sehr weitreichende Pflichten, definiert ihn aber nicht, so dass sich in vielen Konstellationen die Frage stellt, unter welchen Voraussetzungen tatsächlich eine Übermittlung ins Drittland vorliegt; die Aufsichtsbehörden legen – auch beim Uber-Bußgeld – grundsätzlich ein weites Verständnis zu Grunde. Wenig überraschend ist daher, dass laut niederländischer Aufsicht eine Übermittlung auch im Falle von gemeinsamer Verantwortlichkeit zwischen Exporteur und Importeur gegeben sein kann.
- Schutzmaßnahmen nach Kapitel V der DSGVO, wie beispielsweise der Abschluss von Standardvertragsklauseln, sind auch notwendig, wenn der Datenempfänger im Drittland nach dem Marktortprinzip selbst Adressat der DSGVO ist.
Die britische Datenschutzaufsicht ICO und zumindest vorübergehend wohl auch die Europäische Kommission gingen davon aus, dass eine Übermittlung personenbezogener Daten an Länder außerhalb der Europäischen Union ausnahmsweise dann nicht den besonderen Voraussetzungen an Drittlandtransfers nach Kapitel V der DSGVO unterlägen, wenn beim Drittland-Datenempfänger aufgrund des Marktortprinzips (ausnahmsweise) die DSGVO direkt zur Anwendung gelangt. Diese Ansicht ist jedoch schwer mit dem Wortlaut der DSGVO in Einklang zu bringen und wird von den Datenschutzaufsichtsbehörden der EU daher nicht geteilt, so dass Datenübermittlungen in Drittländer stets gesondert zu rechtfertigen sind. Dies stellt Datenexporteure in der EU vor große Herausforderungen, da die Standardvertragsklauseln (das primäre Instrument zur Rechtfertigung von Drittlandtransfers) ausdrücklich nur für Datentransfers zu Empfängern gedacht sind, auf die die DSGVO keine Anwendung findet. Standardvertragsklauseln für der DSGVO unterliegende Drittlandempfänger sind von der Europäischen Kommission zwar seit Jahren angekündigt, aber nicht in Sicht. Unternehmen haben daher nur die Wahl, auf die Übermittlungen in diesen Fällen zu verzichten (häufig praxisfern), auf die eigentlich nicht passenden Standardvertragsklauseln zurückzugreifen (dies dürfte regelmäßig das Mittel der Wahl sein), oder gar nichts zu tun; nicht erst das Bußgeld der niederländischen Aufsicht zeigt, dass die letzte Option nicht empfehlenswert ist.
Das Bußgeld zeigt, dass das Thema Drittlandtransfers weiter relevant ist und einzelne Fragen noch ungeklärt sind. Mangels Alternativen können Unternehmen derzeit in vielen Fällen nur Maßnahmen zur Risikominimierung ergreifen. Die Standardvertragsklauseln bleiben trotz ihres eingeschränkten Anwendungsbereichs im Regelfall das Mittel der Wahl – ihr Abschluss hätte das Bußgeld in der jetzigen Ausgestaltung vermutlich verhindert.