Neues zum Datenschutzrecht
28.8.2020
Orientierungshilfe zum internationalen Datentransfer nach dem EuGH-Urteil vom 16.7.2020 („Schrems II“)
Hintergrund
Nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16.7.2020 (Az. C-311/18) können personenbezogene Daten nicht mehr auf der Grundlage des EU-US-Privacy Shield („Privacy Shield“) in die USA übermittelt werden (Datenschutz-News v. 17.7.2020). Daher bedarf es einer Alternative, die jedoch derzeit schwierig zu finden ist. Die naheliegendste Lösung, auf Standarddatenschutzklauseln zurückzugreifen, erfordert nach dem Urteil des EuGH zusätzliche Maßnahmen. Wie diese konkret aussehen können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden. Schließlich gelten die zusätzlichen Anforderungen an den Einsatz von Standarddatenschutzklauseln für jedes Drittland, sofern kein Angemessenheitsbeschluss der EU-Kommission vorliegt (s. dazu Datenschutz-News v. 17.7.2020). Es obliegt dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien.
Fazit und Praxishinweise
Die Orientierungshilfe des LfDI B-W gibt zumindest eine erste Indikation, was an zusätzlichen Maßnahmen grundsätzlich möglich und erforderlich sein kann, um personenbezogene Daten in Drittländer zu übermitteln, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt. Diese Positionierung des LfDI B-W nach so kurzer Zeit nach dem EuGH-Urteil sind zunächst sehr zu begrüßen, weil die Aufsicht „die Not der Praxis“ sieht und durchaus helfen möchte. Allerdings ist fraglich, inwieweit der Vorschlag einer Verschlüsselung oder Pseudonymisierung (Schlüssel nur beim Datenexporteur) praxisgerecht ist, sofern es nicht lediglich um eine Dienstleistung in Form des Hostings geht. Denn in den meisten Fällen wird der Datenimporteuer weitere Dienstleistungen erbringen sollen, die einen Zugriff auf die Daten in personenbezogener Form erfordern. Das gilt erst recht für die Übermittlung an einen anderen Verantwortlichen, die aber nicht Gegenstand der Orientierungshilfe des LfDI B-W ist.
Die vom LfDI B-W vorgeschlagenen bzw. als notwendig erachteten Änderungen der Standarddatenschutzklauseln werfen ebenfalls einige Fragen auf. Es handelt es sich nicht in jedem Fall zwingend um Verbesserungen für die betroffenen Personen. Zudem stellt sich die Frage einer Genehmigungspflicht für die Datenübermittlung, wenn die Standarddatenschutzklauseln entsprechend geändert werden.
Schließlich kann der Orientierungshilfe entnommen werden, dass zumindest der LfDI B-W mit Augenmaß bei seinen Prüfungen vorgehen wird. Das ist eine gute Nachricht, denn nach den EuGH-Urteil steht fest: Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.
Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.