Schlagwort: Standardvertragsklauseln
21. Juli 2023
Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht (wir berichteten). Die Entscheidung kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die gemäß dem neuen Rahmen an US-Unternehmen übermittelt werden.
Datentransfer mit zertifizierten US-Unternehmen nun möglich
Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es, berechtigten Organisationen mit Sitz in den USA, ihre Konformität mit dem EU-US DPF und, falls zutreffend, mit der britischen und/oder der schweizerischen Erweiterung selbst zu zertifizieren. Um am DPF-Programm teilzunehmen, muss sich ein in den USA ansässiges Unternehmen über die Website des Ministeriums für das DPF-Programm zertifizieren und sich öffentlich zur Einhaltung der DPF-Prinzipien verpflichten. Die Entscheidung zur Selbstzertifizierung im Rahmen des DPF-Programms einer Organisation ist freiwillig, die tatsächliche Einhaltung ist bei einer Teilnahme jedoch obligatorisch. Sobald eine Organisation sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass sie sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar.
Organisationen, die derzeit noch über eine aktive Privacy Shield-Zertifizierung verfügen, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben. Für diese Anpassungen wird eine Übergangsfrist von drei Monaten gewährt.
Standardvertragsklauseln, wenn keine Zertifizierung vorliegt
Praktisch bedeutet dies, dass zertifizierte Unternehmen nunmehr ohne Standardvertragsklauseln (SCC) auskommen können. Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin Standartvertragsklauseln abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau garantieren zu können. Das gleiche gilt auch für Transfer Impact Assessments (TIA). Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre.
Wichtig ist, dass das DPF-Programm nur für US-Organisationen zur Verfügung steht, die von der FTC oder dem DOT reguliert werden. Andere Organisationen, insbesondere Banken und einige andere Arten von Finanzinstituten, sind nicht teilnahmeberechtigt und müssen sich daher weiterhin auf SCCs (oder BCRs) für ihre konzerninternen Übermittlungen und andere Übermittlungen an ihre US-Betriebe stützen.
Soll ich weiterhin Standardvertragsklauseln zusätzlich zum DPF abschließen?
Aufgrund der Entwicklungen in dieser Thematik ist es fraglich, ob auch das DPF auf Dauer Bestand haben wird. Die grundsätzlichen Bedenken, welche bereits die Vorgängerabkommen zu Fall gebracht haben, sind nicht vollständig ausgeräumt. Auch dieses Abkommen könnte durch ein Verfahren vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht werden. Der Umstand, dass diese Abkommen mit sofortiger Wirkung für unzulässig erklärt wurden, hatte zur Folge, dass alle Datenübermittlungen, die auf diesen Abkommen beruhten, nicht mehr rechtmäßig waren. Insofern bleibt es auch weiterhin sinnvoll, auf Standardvertragsklauseln aufzubauen, um genau dieses Risiko abzufedern.
EDSA veröffentlicht FAQs
Der Europäische Datenschutzausschuss (EDPB) hat nun ein neues Dokument (Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023) veröffentlicht, welches weitere Informationen zur Verfügung stellt. Die damit verbundenen FAQs wurden kürzlich veröffentlicht und werfen ein neues Licht auf die Thematik.
In den FAQs betont der EDPB, dass alle Sicherheitsvorkehrungen, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden (einschließlich des Beschwerdemechanismus), auf alle Datenübermittlungen in die USA anwendbar sind, unabhängig von dem gewählten Übermittlungsinstrument. Dies bedeutet, dass Datenexporteure bei der Bewertung des Risikos des von ihnen gewählten Übertragungsinstruments gemäß Artikel 46 der Datenschutz-Grundverordnung (DSGVO) die von der Kommission durchgeführte Bewertung in der Angemessenheitsentscheidung berücksichtigen können.
Was bedeutet das konkret?
Im Rahmen des DPF wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court, kurz DPRC) sowie beschränkte Zugriffsbefugnisse für Strafverfolgung und nationale Sicherheit wie z.B. die US-Nachrichtendienste.
Bisher galten bestimmte Gesetze wie beispielsweise der Foreign Intelligence Surveillance Act (FISA) 702 und Executive Order (EO) 12.333 als äußerst problematisch, da sie weitreichende Zugriffsmöglichkeiten auf personenbezogene Daten ermöglichten und Bedenken hinsichtlich der Einhaltung der europäischen Datenschutzstandards aufwarfen. Durch die nun erfolgte Angemessenheitsentscheidung könnten diese Gesetze weniger stark ins Gewicht fallen, da die US-Regierung Maßnahmen ergriffen hat, um die Datenübermittlungen rechtskonformer zu gestalten.
Insbesondere die Einführung eines Beschwerdemechanismus sei ein entscheidender Schritt, um den europäischen Datenschutzanforderungen gerecht zu werden. Durch diesen Mechanismus erhalten EU-Bürgerinnen und -Bürger das Recht, gegen etwaige Zugriffe auf ihre personenbezogenen Daten in den USA vorzugehen und ihre Rechte geltend zu machen.
Bedeutung für das Transfer Impact Assessment (TIA)
Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin TIAs abgeschlossen werden. Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre. Gesetze, die zuvor als problematisch eingestuft wurden (wie z.B. FISA 702 & EO 12.333) könnten nun weniger stark ins Gewicht fallen, was die TIAs vereinfachen könnte. Dies stellt einen Fortschritt dar und dürfte die Zusammenarbeit zwischen europäischen und amerikanischen Unternehmen erleichtern.
Trotz dieser positiven Entwicklung ist es weiterhin von entscheidender Bedeutung, dass Datenexporteure ihre Verantwortung ernst nehmen und stets sorgfältig prüfen, welche Übertragungsinstrumente sie wählen.
Fazit
Zumindest vorübergehend steht nun eine „einfache“ Methode zur Legitimierung der Übermittlung von Daten in die Vereinigten Staaten zur Verfügung. Ob diese Lösung auf Dauer tragfähig ist, ist allerdings fraglich. Dieses Risiko sollte man, insbesondere bei laufenden Projekten zum Abschluss von Standardvertragsklauseln, im Hinterkopf behalten und abwägen, ob eine solche Maßnahme weiterhin (auch bei zertifizierten Unternehmen) sinnvoll ist.
Als Ihr Partner im Datenschutz möchten wir Ihnen die Unterstützung der KINAST GRUPPE anbieten. Unsere Experten können Ihre derzeitige Zertifizierung überprüfen und bewerten, ob zusätzliche Maßnahmen erforderlich sind, um den Anforderungen des neuen Datenschutzrahmens gerecht zu werden. Auch im Falle einer neuen Zertifizierung unterstützen wir Sie gerne. Wir sind bestens mit den aktuellen Datenschutzbestimmungen vertraut und können Ihnen helfen, den Übergang zum Data Privacy Framework reibungslos zu gestalten.
Zögern Sie nicht, uns zu kontaktieren, wenn Sie Interesse an unserer Unterstützung bei der Zertifizierung haben oder weitere Informationen benötigen.
7. Juli 2022
Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.
Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.
Der Sachverhalt
Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.
IP-Adresse: personenbezogenes Datum
Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.
Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.
Weitere Maßnahmen erforderlich
Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.
10. Juni 2022
Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.
Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.
Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: “Welche Vorteile haben die Standardvertragsklauseln?” und “Kann der Text der Standardvertragsklauseln geändert werden?”. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.
Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.
30. September 2021
Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.
Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache “Schrems II” aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.
Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des “Schrems II- Urteils” veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.
Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.
7. Juni 2021
Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln für den internationalen Datentransfer (auch “Standard Contractual Clauses” – kurz ‚SCC’) angenommen und veröffentlicht. Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können. Als Drittstaaten gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.
Hintergrund
Die neuen Klauseln wurden lange erwartet, da die jetzigen Standardvertragsklauseln über 10 Jahre alt sind und somit weder die Voraussetzungen hinsichtlich Drittstaatentransfers der DSGVO noch das bedeutende Schrems II-Urteil vom 16.07.2020 berücksichtigen konnten. So war der Drittstaatentransfer problematisch geworden und nicht erst in letzter Zeit von den Aufsichtsbehörden, auch in Deutschland, ins Visier von Untersuchungen genommen worden (wir berichteten).
Was hat sich geändert?
Neu an den jetzt präsentierten SCC ist vor allem der Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster verteilt, sondern sie finden sich in einem Dokument wieder. Insofern werden sie in vier verschiedene „Module“ gegliedert. Dies soll eine flexible Vertragsgestaltung ermöglichen. Dafür soll das entsprechende Modul gemäß dem Verhältnis der Parteien ausgewählt werden. Folgende Module sind in den neuen SCC enthalten:
Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Inhaltlich neu ist darüber hinaus insbesondere eine Pflicht zur Datentransfer-Folgenabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.
Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Ausblick
Die veröffentlichten Dokumente sind die finalen Arbeitsdokumente. Mit der offiziellen Veröffentlichung der SCC wird in den nächsten Tagen im Amtsblatt der Europäischen Union zu rechnen sein. Ab diesem Zeitpunkt und innerhalb einer Frist von 18 Monaten müssen die bestehenden Verträge mit Partnern aus Drittstaaten, insbesondere bspw. Microsoft oder Amazon, um die neuen SCC ergänzt werden.
Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem oben genannten Urteil gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Letzteres sollte durch einen Fragenkatalog an den Verarbeiter im Drittstaat geschehen.
Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu ermöglichen.
Bei der Umsetzung der Einzelfallprüfung oder bei anderen Rückfragen bieten wir Ihnen jederzeit gerne unsere Unterstützung an.
UPDATE vom 09.06.2021: Mittlerweile wurden die neuen SCC im Amtsblatt der Europäischen Union veröffentlicht und sind hier zu finden.
12. November 2020
Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.
In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).
Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich
Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.
Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.
Vorgeschlagene Maßnahmen auch praktikabel?
So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.
Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.
10. September 2020
Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.
Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.
Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.
Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, “die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen” wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.
Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.
Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg “weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen”. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein “Privacy Shield enhanced” begrüßt.
21. August 2020
Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, der insbesondere durch sein langjähriges juristisches Vorgehen gegen Facebook bekannt geworden ist, geht auch nach der sog. “Schrems-II-Entscheidung” des EuGH (wir berichteten) weiter gegen Datentransfers in die USA vor. Mit seinem Projekt noyb hat Schrems nun 101 Beschwerden bei Aufsichtsbehörden in 30 verschiedenen Staaten der EU und EEA eingelegt.
Hintergrund der eingelgeten Beschwerden sei die fortgesetzte Nutzung insbesondere von Google Analytics und Facebook Connect durch die betroffenen Unternehmen, obwohl diese Dienste von den US-amerikanischen Überwachungsgesetzen erfasst seien und beide Unternehmen die Datentransfers scheinbar ohne rechtliche Grundlage durchführten. Zwar würden beide Unternehmen behaupten, dass die Transfers zulässig seien – Facebook verweise auf die verwendeten Standard-Vertragsklauseln (SCC), Google sogar immer noch auf den EU-US-Privacy-Shield – dieser Ansicht widerspricht noyb jedoch vehement. Insbesondere habe der EuGH in seiner Entscheidung ausdrücklich festgestellt, dass es nicht möglich sei Datentransfers in die USA auf die SCCs der EU zu stützen, wenn der Empfänger der Daten unter die US-amerikanischen Überwachungsgesetze fällt. Genau dies sei aber bei Google und Facebook der Fall. Dabei wird den amerikanischen Unternehmen sogar vorgeworfen, ihre Kunden über diese Tatsache hinwegzutäuschen, obwohl sie diesbezüglich zur Aufklärung verpflichtet seien und sich andernfalls schadensersatzpflichtig machten.
Um zu überprüfen, ob ein Datentransfer an Google und Facebook trotz der Schrems-II-Entscheidung weiterhin stattfindet, hatte noyb nach eigener Aussage “auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt”, und wurde dabei wiederholt fündig. Gegen 101 Unternehmen, die weiterhin solche Transfers durchführen, hat noyb daher Beschwerde bei den zuständigen Aufsichtsbehörden erhoben und fordert die Behörden dazu auf, die europäischen Regeln auch durchzusetzen. Gleichzeit wurde auch gegen Google und Facebook selbst wegen Verstößen gegen die DS-GVO in den USA Beschwerde erhoben.
noyb ist eine NGO mit Sitz in Wien, die 2017 unter anderem von Max Schrems gegründet wurde und sich für die Durchsetzung des Datenschutzes innerhalb der EU und EEA einsetzt. Dabei wird mit rechtlichen Mitteln insbesondere gegen große datenverarbeitende Unternehmen – wie z.B. Facebook oder Google – vorgegangen. Durch noyb eingelegte Beschwerden waren bereits Grundlage einiger verhängter Bußgelder, wie das äußerst empfindliche Bußgeld in Höhe von 50 Millionen Euro gegen Google.
31. Juli 2020
Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.
Stellungnahme und FAQ des EDSA
Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.
Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.
In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.
Presseerklärung der DSK
Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.
Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.
22. Juli 2020
Die ersten deutschen Aufsichtsbehörden haben inzwischen ihre Stellungnahmen zum o. g. Urteil veröffentlicht, in dem das EU-U.S. Privacy Shield für unwirksam erklärt wurde.
Mit dem Urteil hat das Gericht auch Unsicherheit in Bezug auf den weiteren Umgang mit Datenübermittlungen, insbesondere in die USA hervorgerufen, die auf Grundlage der EU-Standardvertragsklauseln legitmiert werden, da auch auch die Standardvertragsklauseln auf den Prüfstand gestellt wurden. Nach dem EuGH obliegt es dem jeweiligen Datenexporteur, jeweils für den Einzelfall zu prüfen, ob diese unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten (siehe RN 132 d. Urteils v. 16.07.2020, C-311/18).
Was sagen nun die deutschen Aufsichtsbehörden dazu? Bisher haben sich immerhin vier von ihnen geäußert. Nachfolgend fassen wir die jeweiligen Kernaussagen kurz zusammen:
Berlin:
„Er (der EuGH, Anm. d. Red.) betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. (…) Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“
Hamburg:
„Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen“
Rheinland-Pfalz:
„Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können. (…) Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“
Thüringen:
„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“
Wir beobachten weitere Äußerungen selbstverständlich äußerst aufmerksam und informieren Sie zeitnah über aktuelle Entwicklungen.
