Mit der zunehmenden Digitalisierung gewinnen globale Datentransfers und deren rechtliche Rahmenbedingungen immer mehr an Bedeutung. Ein aktuelles Beispiel ist die Einreichung von Beschwerden durch die Datenschutzorganisation „noyb“ (None of Your Business), gegründet von Max Schrems, gegen Unternehmen, die Daten nach China übertragen. Der folgende Text beleuchtet die rechtlichen Hintergründe und mögliche Konsequenzen für Unternehmen.
Die Beschwerden
Die prominente Datenschutzorganisation noyb hat Beschwerden bei diversen Datenschutzbehörden gegen sechs chinesische Unternehmen eingereicht. Diese übermitteln nach Ansicht von noyb mutmaßlich unrechtmäßig personenbezogene Daten, wie z. B. Kundendaten oder Nutzungsdaten, aus der EU nach China. Entsprechende Verfahren könnten dazu führen, dass Maßnahmen zur Übermittlung personenbezogener Daten nach China erneut überprüft und angepasst werden müssen.
Hintergrund: Rechtlicher Rahmen
Nach Kapitel V der DSGVO müssen alle Datentransfers in sogenannte „unsichere Drittländer“, also Staaten außerhalb der EU, für die die EU-Kommission keinen Angemessenheitsbeschluss erlassen hat, mit besonderen Maßnahmen abgesichert werden. Diese sollen sicherstellen, dass der Empfänger im Drittland einen angemessenen Datenschutz gewährleistet. Hintergrund ist, dass das Datenschutzniveau in unsicheren Drittländern in der Regel unter demjenigen zurückbleibt, das die DSGVO in der EU gewährleistet.
Der in der Praxis zur Absicherung relevanteste Mechanismus sind die EU-Standardvertragsklauseln (SCCs). Dabei handelt es sich um ein von der EU-Kommission erlassenes Standard-Vertragsmuster, das dem Datenimporteur bestimmte Pflichten zum Umgang mit den empfangenen Daten aufgibt.
SCCs, Schrems II und TIA
Bis Sommer 2020 war es gängige Praxis, die SCCs zwar abzuschließen, jedoch ohne nachzuprüfen, ob der Datenempfänger deren die darin enthaltenen Vorgaben tatsächlich einhalten konnte.
Dieses Vorgehen änderte sich drastisch in Folge des von noyb forcierten Schrems-II-Urteils. Der EuGH urteilte, dass Unternehmen bei Verwendung von SCCs auch sicherstellen müssen, dass der Datenempfänger im Drittland das vereinbarte Schutzniveau überhaupt einhalten kann. Dies bedeutet eine konkrete Pflicht zur Prüfung, ob nationales Recht im Empfängerland der Einhaltung der Pflichten aus den SCCs möglicherweise entgegensteht.
Im Sommer 2021 erließ die EU-Kommission eine geänderte Version der SCCs. Diese sehen in Artikel 14, 15 der SCCs die Pflicht zur Durchführung und Dokumentierung einer solchen Prüfung vor, genannt „Transfer Impact Assessment“ (TIA). Zeigt das Ergebnis des TIA Bedenken hinsichtlich der rechtlichen Rahmenbedingungen im Empfängerland, müssen die Vertragsparteien über zusätzliche Schutzmaßnahmen die Risiken der Datenübermittlung senken. Seitdem geht die Verwendung der SCCs mit deutlich höherem Aufwand einher.
Erst die USA, nun China
Das TIA war zunächst vor allem bei den für Unternehmen in der Praxis sehr relevanten Datentransfers an Empfänger in den USA hoch relevant. Der EuGH hatte im Schrems-II-Urteil festgestellt, dass es in den USA mit der DSGVO konfligierendes nationales Recht gibt. Mittlerweile hat sich dies deutlich entschärft. Die 2022 erlassene Executive Order 14086 begrenzt die Rechte von US-Geheimdiensten auf Daten zuzugreifen und schafft einen Rechtsbehelf. Dies erachtet die Europäische Kommission als datenschutzrechtlich ausreichend und hat auch einen neuen Angemessenheitsbeschluss für die USA (Data Privacy Framework, DPF) erlassen, der jedoch nur für Empfänger gilt, die sich in den USA nach dem DPF zertifiziert haben. Werden für Datenübermittlungen an nicht-DPF-zertifizierte US-Empfänger SCCs verwendet, genügt seither ein weitgehend standardisiertes TIA.
Für andere Drittländer wie China bleibt weiterhin ein detailliertes TIA nötig. Eine vom Europäischen Datenschutzausschuss (EDSA) beauftragte Studie kritisierte 2021 das Datenschutzniveau Chinas vor dem Hintergrund möglicher staatlicher Zugriffsrechte auf Daten. Bei Zugrundelegung der strengen Vorgaben für TIAs wird das Ergebnis oft sein, dass chinesisches Recht mit den Pflichten der SCCs konfligieren könnte. Um einen Datentransfer dennoch zu ermöglichen, bekommt die Vereinbarung zusätzlicher Maßnahmen besondere Relevanz, um die Auswirkungen des nationalen Rechts und insbesondere Zugriffsrisiken abmildern können.
Hierbei sollten Unternehmen besondere Sorgfalt walten lassen und den Prozess entsprechend dokumentieren, weil die noyb-Beschwerden bei verschiedenen nationalen Datenschutzbehörden (Griechenland, Italien, Belgien, Niederlande, Österreich) in der Folge deren Fokus deutlich auf China richten könnten.
Zu vereinbarende Schutzmaßnahmen
Als zu vereinbarende technische Maßnahmen werden oftmals Pseudonymisierung oder Verschlüsselung genannt, weil diese auch in Empfehlungen des EDSA eine relevante Rolle einnehmen. In der Praxis ist dies jedoch häufig nicht ausreichend, da der Empfänger für den vereinbarten Verarbeitungszweck oft Zugriff auf Klardaten benötigt. Entsprechend höheres Gewicht erlangen organisatorische und vertragliche Maßnahmen, auch wenn der EDSA betont, dass diese Maßnahmen allein in der Regel nicht ausreichen.
Vertraglich hat sich vielfach durchgesetzt, bestimmte zusätzliche Pflichten für den Datenimporteur zum Umgang mit den Daten zu vereinbaren. In Betracht kommen etwa Klauseln, wonach der Datenimporteur, falls eine Behörde Zugriff auf die Daten verlangt, strenge interne Richtlinien zur Steuerung des Datenzugriffs sowie zur Vertraulichkeit umsetzen muss. Dies könnte eine Verpflichtung umfassen, Anfragen von Behörden, wenn möglich, an den Datenexporteur weiterzuleiten und sicherzustellen, dass keine unbegrenzten Zugriffe oder keine Weitergabe von Verschlüsselungs-Keys erfolgt.
Organisatorisch ist es gängig, die Implementierung von bestimmten Rollenkonzepten und Zugriffsrechten zu vereinbaren.
Rechtlich denkbar wäre es ebenfalls, vertraglich den Zugriff aus bestimmten Drittländern ganz auszuschließen. Hierfür könnte mit dem Datenempfänger vereinbart werden, übermittelte Daten ausschließlich in bestimmten Gebieten verarbeiten zu dürfen. Nach einer aktuellen Entscheidung des EuG (Rechtssache T‑354/22) sind entsprechende vertragliche Regelungen wohl als angemessen einzustufen.
Ausblick
Die von noyb angestoßenen Verfahren könnten potenziell erhebliche Auswirkungen auf die betroffenen Unternehmen haben, deren Umfang jedoch abzuwarten bleibt. Theoretisch könnten die zuständigen Datenschutzbehörden beispielsweise zeitweise die Übermittlung von Daten nach China untersagen, falls Verstöße gegen die DSGVO festgestellt werden.
Die eingereichten Beschwerden verdeutlichen die anhaltende Bedeutung einer konsequenten Ausarbeitung und Umsetzung der SCCs. Unternehmen sollten dies als Gelegenheit nutzen, zu überprüfen, ob sie ihre bestehenden Prozesse ausreichend dokumentiert haben und ob zusätzliche Maßnahmen notwendig sind. Insbesondere, ob sie TIAs für Datentransfers in unsichere Drittländer durchgeführt und gegebenenfalls zusätzliche Schutzmaßnahmen vereinbart haben.
Es ist ratsam, den weiteren Verlauf der Verfahren aufmerksam zu verfolgen, um mögliche Entscheidungen der Datenschutzbehörden zu Datentransfers nach China frühzeitig zu erkennen und darauf rechtzeitig zu reagieren.