In dem Urteil „Schrems II“ vom 16. Juli 2020 (C-311/18) hat der EuGH die datenschutzrechtlichen Anforderungen an den Transfer personenbezogener Daten in das außereuropäische Ausland (Drittstaaten) verschärft. Wie hiermit umzugehen ist, konkretisiert der Europäische Datenschutzausschuss (EDSA) in zwei Empfehlungen.
Eine wesentliche Basis für Transfers in Drittstaaten sind die sogenannten Standardvertragsklauseln der EU-Kommission. Eine Neufassung dieser Klauseln hat die EU-Kommission als Entwurf am 12. November 2020 veröffentlicht.
Für 2021 bedeutet das: Unternehmen müssen überprüfen, ob ihre Datentransfers den Anforderungen des EuGH genügen, und gegebenenfalls Anpassungen vornehmen. Basiert der Transfer auf Standardvertragsklauseln, müssen diese ein Jahr nach Verabschiedung der neuen Version ersetzt werden.
I. Grundsätze für Datentransfers in Drittstaaten
Mit der Datenschutzgrundverordnung (DSGVO) besteht ein unionsweit einheitliches Schutzniveau für den Schutz personenbezogener Daten. Damit dieses bei einem Transfer von personenbezogenen Daten in Drittstaaten nicht unterlaufen wird, muss in den betreffenden Staaten ebenfalls ein angemessenes Schutzniveau bestehen.
Das ist der Fall, wenn die Kommission – wie beispielsweise für Japan oder Israel – ein „angemessenes Datenschutzniveau“ per Beschluss festgestellt hat. Existiert kein Angemessenheitsbeschluss, muss der Datenexporteur selbst Maßnahmen zur Gewährleistung des Schutzes im Drittland treffen. In der Praxis reichte es bislang aus, wenn der Datenexporteur hierfür die Standardvertragsklauseln abschloss. Für internationale Datentransfers in Konzernen konnten auch verbindliche interne Datenschutzvorschriften (BCRs) eingeführt werden.
Standardverträge und verbindliche Datenschutzvorschriften binden die Parteien, haben als vertragliche Mechanismen aber keinen Einfluss auf Zugriffe durch Sicherheitsbehörden oder andere staatliche Stellen in den Drittstaaten. Damit der Transfer rechtmäßig ist, müssen laut EuGH solche Zugriffsmöglichkeiten den Anforderungen der EU-Grundrechtecharta entsprechen (insbesondere Bestimmtheitsgebot, Verhältnismäßigkeit, effektiver Rechtsschutz).
II. Prüfungsanforderungen für Datentransfers in Drittstaaten
Aus dem Urteil und den hierzu am 11. November (im Entwurf) veröffentlichten Empfehlungen des EDSA ergeben sich für Unternehmen folgende Prüfschritte und Maßnahmen:
- Data-Mapping: Dokumentation, welche personenbezogenen Daten Unternehmen an welche Empfänger in welchen Drittstaaten zu welchen Zwecken übermitteln.
- Rechtsgrundlage: Bestimmung der Rechtsgrundlage für die Datentransfers.
- Bei Verwendung von Standardvertragsklauseln oder BCRs: Prüfung, welchen Zugriffsmöglichkeiten durch Sicherheitsbehörden oder andere staatliche Stellen die Daten unterliegen. Entsprechen diese nicht den Anforderungen der EU-Grundrechtecharta, sind Maßnahmen nach Ziffer 4 zu ergreifen.
- Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus: Vertragliche Bestimmungen binden Sicherheitsbehörden nicht. Daher sind technische Maßnahmen zu treffen, die den Zugriff durch Sicherheitsbehörden ausschließen (durchgehende Verschlüsselung, Pseudonymisierung, Anonymisierung etc.). Ist dies nicht möglich, ist laut EDSA der Datentransfer einzustellen.
Auch wenn das Urteil schon aus dem Juli 2020 stammt, ist die Umsetzung durch die betroffenen Unternehmen aufgrund der starken Auswirkungen bisher verhalten gewesen. In vielen Staaten ist die Rechtslage nur schwer zu beurteilen. Transfers in die USA sind aufgrund der Zugriffsbefugnisse durch staatliche Stellen (Stichwort „Snowden“) nach dem Urteil kritisch zu beurteilen. Gleiches gilt auch für eine Vielzahl von anderen Ländern (beispielsweise China oder Russland), bei denen die Einhaltung europäischer Schutzstandards zweifelhaft ist.
Die „Schonfrist“ zur Umsetzung des Urteils läuft allmählich ab. Unternehmen müssen sich ab jetzt nachhaltig mit ihren Datentransfers auseinandersetzen. Insbesondere die Prüfung, ob Datentransfers bestimmten Zugriffen unterliegen, wird einen wesentlichen Platz einnehmen.
III. Neue Standardvertragsklauseln
Neben der Überprüfung der Datentransfers nach Schrems II werden 2021 auch die Standardvertragsklauseln zu ersetzen sein. Die bisherigen Klauseln beruhen auf Beschlüssen der EU-Kommission zur Rechtslage vor der DSGVO. Eine Neufassung wird seit langem erwartet.
Nach dem Willen der Kommission soll es zukünftig nicht mehr verschiedene Standardvertragsklauseln für verschiedene Szenarien, sondern nur noch ein Dokument geben, das je nach Situation (Controller to Controller, Auftragsverarbeitung etc.) auszuwählende Module enthält. Nach dem Kommissionsentwurf müssen die bisher verwendeten Standardvertragsklauseln innerhalb eines Jahres ab Verabschiedung der Neufassung ersetzt werden.
Unternehmen müssen im Zuge dessen
- neue Anforderungen an die Dokumentation der Rechtmäßigkeit der Transfers beachten (siehe II),
- Transfers und Sicherheitsmaßnahmen (erneut) beschreiben,
- Details zu Subunternehmern und deren Sicherheitsmaßnahmen aufnehmen und
- Betroffene (Kunden, Arbeitnehmer etc.) anders als bisher über die Empfänger der Daten konkret informieren.
Auch wenn die neuen Standardvertragsklauseln noch nicht gelten, sollte mit der Planung dieser Aufgabe für 2021 daher bereits frühzeitig begonnen werden.
Direkte Hilfestellungen im Fall eines Datenverstoßes bietet Ihnen auch unsere CMS Breach Assistant App.
Dieser Artikel ist Teil unserer Mandanteninformation "2021 - Themen, die Sie bewegen werden", welche Sie hier einsehen können.
_840x420.jpg?v=3)
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.