Datentransfer in die USA nach EuGH Urteil: Empfehlungen

Sollen personenbezogene Daten von EU-Bürgern in Drittländer übermittelt werden, müssen Garantien vorliegen, dass diese Daten auch dort einem vergleichbar hohen Schutzniveau unterliegen. Eine dieser Garantien war eine Zertifizierung nach dem EU-U.S. Privacy-Shield Abkommen. Dieses Abkommen haben die Richter am Europäischen Gerichtshof (EuGH) nunmehr gekippt. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, fordert datenverarbeitende Stellen in Berlin auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Was das für die Praxis bedeutet.

Datentransfer in ein Drittland

Es stehen nunmehr noch drei Möglichkeiten zur Verfügung, personenbezogene Daten von EU-Bürgern DSGVO-konform in die USA zu übermitteln:

• EU-Standardvertragsklauseln gem. 46 Abs. 2 lit. c) DSGVO
• Binding Corporate Rules gem. 47 DSGVO
• Ausdrückliche Einwilligung der betroffenen Person gem. 49 DSGVO

Standardvertragsklauseln

Bei den Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragswerke. Unterzeichnet der Auftragsverarbeiter einen solchen Standardvertrag, verpflichtet er sich damit auf die Einhaltung europäischer Datenschutzstandards. Grundsätzlich gelten Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO daher als geeignete Garantien für eine Datenübermittlung in Drittländer. Dies aber nur, sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Herr Schrems, Kläger vor dem EuGH, berief sich aber auf den Foreign Intelligence Surveillance Act, der den Zugriff von US-Behörden auf personenbezogene Daten von EU-Bürgern erlaubt; und zwar ohne das Vorliegen eines gerichtlichen Beschlusses und ohne Rechtsbehelf. Herr Schrems verlangte, dass neben dem EU-U.S. Privacy Shield Abkommen auch die Standardvertragsklauseln für unwirksam erklärt werden.

Zwar ist der EuGH dieser Auffassung nicht gänzlich gefolgt und hat Standardvertragsklauseln für grundsätzlich als weiter gültig erklärt. Die Richter präzisierten aber, dass beim Einsatz von EU-Standardvertragsklauseln nun zusätzlich geprüft werden muss, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Mit anderen Worten hat derjenige, der sich auf die Standardvertragsklauseln beruft, zukünftig eine eigene Rechtsprüfung durzuführen. Er hat festzustellen, ob das Schutzniveau im Drittland für die übermittelten Daten im Wesentlichen dem der EU entspricht. Hierzu müssen den betroffenen Personen im Drittland insbesondere durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen, die den Schutz ihrer Daten gegen den Zugriff von staatlichen Stellen absichern. Die Standardvertragsklauseln können also einen Datentransfer in ein Drittland rechtfertigen, sie müssen dies aber nicht. Vielmehr kommt es auf die Rechtslage im Drittland an, die bei Verwendung der Standardvertragsklauseln zukünftig durch den Verwender zu prüfen ist.

Für die USA gilt: Aufgrund des Foreign Intelligence Surveillance Act sind die personenbezogenen Daten von EU-Bürgern durch den Zugriff von öffentlichen Stellen (z.B. Sicherheitsbehörden) gefährdet, Rechtsbehelfe stehen nicht zur Verfügung. Eine Datenübermittlung in die USA kann sich daher nicht mehr auf Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO stützen.

Für den Fall der Einbeziehung von Unterauftragsverarbeitern gilt, dass der Verantwortliche über die Subunternehmer-Liste des Auftragsverarbeiters feststellen muss, ob eine nachfolgende Übermittlung in ein Drittland erfolgt. Besteht dem Auftraggeber durch diese Unterauftragnehmerliste also eine bewusste Kenntnis darüber, dass Unterauftragnehmer mit Sitz z.B. in den USA eingesetzt werden, dürfen diesem Auftragsverarbeiter auch keine personenbezogenen Daten mehr zur Verfügung gestellt werden.

Binding Corporate Rules

Die DSGVO bietet mit Art. 47 DSGVO die Möglichkeit, den Datenschutz beim Datentransfer in ein Drittland auch über verbindliche interne Datenschutzvorschriften zu gewährleisten. Diese müssen dann von den zuständigen Aufsichtsbehörden im Rahmen des Kohärenzverfahrens nach Art. 63 DSGVO geprüft und abgenommen werden bevor sie wirksam sind. Aber auch bei den verbindlichen internen Datenschutzvorschriften gilt, dass den betroffenen Personen wirksame Rechtsbehelfe zur Verfügung stehen müssen, Art. 47 Abs. 2 lit. e) DSGVO. Kerngedanke ist demnach auch bei Binding Corporate Rules, dass die betroffenen Personen bei einer Datenverarbeitung nicht schlechter stehen dürfen als bei einer Datenverarbeitung innerhalb der EU.

Daher müssen auch für Datenübermittlungen auf Grundlage von Binding Corporate Rules ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Europäischen Union haben.

Einwilligung

Eine weitere Möglichkeit der Datenübermittlung in ein Drittland ohne angemessenes Schutzniveau bietet die Einwilligung der betroffenen Personen.

Soll die Einwilligung einen Datentransfer in ein Drittland legitimieren, müssen zusätzlich zu den Voraussetzungen einer allgemeinen Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. Art. 7 DSGVO noch die speziellen Voraussetzungen einer Einwilligung gem. Art. 49 Abs. 1 lit. a) DSGVO erfüllt sein. Demzufolge muss die betroffene Person über die bestehenden Risiken bei der Übermittlung der personenbezogenen Daten in ein Land ohne angemessenes Schutzniveau oder geeignete Garantien unterrichtet werden. Es ist klarzustellen, dass für seine personenbezogenen Daten kein angemessener Schutz gewährleistet werden kann. Der Verantwortliche hat daher sicherzustellen, dass er die betroffene Person in transparenter Weise über die bevorstehende Datenverarbeitung und die Umstände der Übermittlung informiert. Folgende Informationen müssen dabei mindestens zur Verfügung gestellt werden:

• Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Identität der Empfänger
• Sitz der Empfänger (Land)
• Hinweis über das hohe Risiko

Nur mit diesen Informationen ist die betroffene Person in der Lage, in voller Kenntnis der Sachlage, eine Einwilligung zu erteilen. Werden der betroffenen Person diese Informationen vorenthalten, ist die Einwilligung unwirksam. Wie schwierig es auch sein mag, der Verantwortliche muss in jedem Fall nachweisen, dass die Einwilligung des Betroffenen vorliegt und, dass diese Einwilligung auf der Grundlage ausreichend genauer Informationen gegeben wurde.

Handlungsempfehlung: Cookiebanner

Für die Erklärung einer wirksamen Einwilligung könnte sich der Cookiebanner auf der Webseite anbieten. Dabei ist darauf zu achten, dass der Cookiebanner der Webseite die erforderlichen Informationen bereitstellt und die Besucher darauf hinweist, dass mit der Zustimmung zur Datenverarbeitung seine personenbezogenen Daten z.B. in den USA verarbeitet werden. Unerlässlich ist zudem der Hinweis, dass der Datenschutzstandard in den USA unzureichend ist und die Gefahr besteht, dass die Daten durch US-Behörden zu Kontroll- oder Überwachungszwecken, möglicherweise ohne Rechtsbehelf verarbeitet werden.

Problematisch bleibt jedoch, dass die Einwilligung gemäß Art. 49 Abs. 2 Satz 2 DSGVO und nach Ansicht der Aufsichtsbehörden lediglich für Ausnahmefälle gedacht ist und sich eigentlich nicht für die wiederholte bzw. routinemäßige Datenübermittlung ins unsichere Drittland eignet.

Um eine wiederholte bzw. routinemäßige Datenübermittlung auszuschließen, bietet sich eine zeitliche Begrenzung der ausgewählten Cookies an. Also, dass der Cookiebanner etwa nach Ablauf von 24 Stunden den Webseitenbesucher neuerlich zur Erklärung einer Einwilligung auffordert. Der Webseitenbesucher hat also in diesem Fall alle 24 Stunden die Möglichkeit, neu über die Datenverarbeitung zu entscheiden. Das heißt, dass auch die ursprünglich gewählten Einstellungen (also ob nur essenzielle oder auch analytische Cookies) zurückgesetzt werden müssen.

Außerdem muss die Einwilligung gem. Art. 7 Abs. 3 DSGVO auch widerruflich sein. Sinn und Zweck des Widerrufs ist es dabei, es der betroffenen Person zu ermöglichen eine einmal getroffene Entscheidung zu überdenken. Durch die zeitliche Befristung der Einwilligung wäre diesem Bedürfnis genüge getan, denn die betroffene Person muss die einmal erteilte Einwilligung nicht widerrufen, vielmehr hat sie nach einem neuerlichen Besuch der Webseite erneut die Möglichkeit, den Datentransfer an Stellen in Drittländer und das damit verbundene Risiko zu überdenken.

Bei Diensteanbietern, die keine Cookies setzen (z.B. Zahlungsdienste wie PayPal oder Stripe), sollte eine zusätzliche Einwilligung gem. Art. 49 Abs. 1 lit. a) DSGVO eingeholt werden (z.B. über eine Checkbox).

Handlungsempfehlung: Wechsel der Auftragsverarbeiter

Die nach der aktuellen Rechtslage wohl sicherste Methode ist es, die Auftragsverarbeiter mit Sitz in einem Drittland ohne angemessenes Schutzniveau (z.B. USA, Russland, China) durch solche mit Sitz in der Europäischen Union zu ersetzen. Genau das empfiehlt auch die Datenschutzbeauftragte in Berlin. Die entsprechende Pressemitteilung können Sie hier nachlesen: https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/

Handlungsempfehlung: Anpassung der Datenschutzerklärung

Auch die Datenschutzerklärungen müssen hinsichtlich der Garantien zur Datenübermittlungen in Drittländer angepasst werden. Also etwa bezüglich dem EU-U.S. Privacy Shield Abkommen oder Standardvertragsklauseln. Welche Anpassung genau vorgenommen werden muss, hängt von der gewählten Vorgehensweise ab. Also ob die bestehenden Drittland-Verarbeiter durch EU-Dienste ersetzt werden oder eine Einwilligung die Übermittlung legitimieren soll.

Fazit

Die Datenübermittlung auf Grundlage der Standardvertragsklauseln und der Binding Corperate Rules in ein Drittstaat ohne angemessenes Schutzniveau muss nach konsequenter Betrachtung immer dann als unzulässig bewertet werden, wenn der Auftragsverarbeiter einen Eingriff durch die staatlichen Überwachungsorgane nicht verhindern kann. Auch eine zusätzlich vertragliche Vereinbarung dürfte an diesem Ergebnis nichts ändern.

Eine Lösung für die weitere Verwendung von betroffenen Diensteanbietern könnte in der Einwilligung des Betroffenen gem. Art. 49 Abs. 1 lit. a) DSGVO i.V.m. Art. 7 DSGVO zu finden sein. Hier ist zu beachten, dass die betroffene Person umfangreich über die bestehenden Risiken aufgeklärt werden. Die Abgabe der Einwilligung könnte dabei über den Cookiebanner oder eine Checkbox realisiert werden.

Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt. Einen Überblick über die verschiedenen Ansichten der jeweiligen Landesbehörden für Datenschutzaufsicht hat die Gesellschaft für Datenschutz und Datensicherheit erstellt. Sie finden die Liste hier: https://www.gdd.de/eu-us-privacy-shield-schrems-ii-urteil/ansichten-der-aufsichtsbehoerden-eu-us-privacy-shield