Rebekka Weiß

Zwischen Dateninseln, Global Citizens und weltweiter Datenökonomie: Was bleibt nach Schrems II?


Ass. iur. Rebekka Weiß leitet die Abteilung für Vertrauen und Sicherheit im Bundesverband Informationswirtschaft, Telekommunikation & Neue Medien e.V. (Bitkom) in Berlin.

ZD 2020, 485   Das Jahr 2020 wird im kollektiven Gedächtnis wohl stets mit COVID-19 verbunden bleiben. Darüber hinaus formen aber weitere wegweisende Zäsuren insbesondere die globale Datenökonomie. Der EU und Großbritannien steht zum Jahreswechsel der Brexit bevor und nach dem Urteil des EuGH v. 16.7.2020 - C-311/18 - Schrems II (ZD 2020, 511 m. Anm. Moos/Rothkegel - in diesem Heft = MMR 2020, 597 m. Anm. Hoeren) geraten die globalen Datenflüsse ins Wanken.

Datenaustausch und Datenfluss

Internationaler Datenaustausch ist das Fundament der globalisierten Wirtschaft. Für alle grenzüberschreitend und global tätigen Unternehmen ist die rechtssichere Gestaltung von Datentransfers für ihre Geschäftsprozesse essenziell. Durch zunehmende Mobilität von Bürgern und Unternehmen und die Globalisierung des Welthandels gewann der grenzübergreifende Datenaustausch in der letzten Dekade stark an Bedeutung und auch die COVID-19-Pandemie zeigt die Bedeutung des Datenaustauschs - sowohl für die gemeinsame Bekämpfung der Pandemie als auch für die Forschungseinrichtungen weltweit.

Datenaustausch ist dabei nicht nur für Vertragspartner rund um den Globus relevant: Auch der Austausch und die Weitergabe im Unternehmensverbund werden durch weltweite Standorte, F&I- sowie Datenzentren immer wichtiger. In internationalen Konzernen werden z.B. Personaldaten zwischen Konzernmutter und -töchtern bzw. zwischen den Tochtergesellschaften untereinander ausgetauscht. Ein ebenfalls wichtiger und wirtschaftlich unerlässlicher Datentransfer findet i.R.v. Outsourcing (z.B. in die Cloud, für Service- und Wartungsverträge etc.) statt, wobei auch hier personenbezogene Daten an weltweit tätige Anbieter übermittelt werden.

Der Datenfluss zwischen den USA und Europa ist hierbei der größte der Welt und von besonderer Bedeutung. Der transatlantische Datentransfer macht mehr als die Hälfte der Datenströme in Europa und etwa die Hälfte der Datenströme in den USA aus. Bis zum 16.7.2020 waren für den EU-US-Transfer das Privacy Shield und die Standarddatenschutzklauseln verlässliche und zugleich wohl die wichtigsten Mechanismen für internationale Geschäftstätigkeiten, die es Unternehmen weltweit ermöglichten, Zusicherungen zum Datenschutz zu geben und den notwendigen Datentransfer zu ermöglichen. In einem wegweisenden Urteil, das definitiv als Zäsur bezeichnet werden kann, hat der EuGH das Privacy Shield jedoch mit sofortiger Wirkung für unwirksam erklärt; eine Datenübermittlung auf dieser Basis ist damit nicht länger möglich. Und auch die Standarddatenschutzklauseln dürften zukünftig für den Transfer von Daten in die USA keine ausreichende Absicherung mehr bieten, auch wenn der EuGH an deren Wirksamkeit generell keine Zweifel geäußert hat. Es wird aber zukünftig auf die Prüfungen und Bewertungen der Aufsichtsbehörden im Einzelfall ankommen, um die Frage zu beantworten, ob die Datenübermittlung in ein Drittland rechtskonform erfolgt. Für alle Unternehmen mit Datenverarbeitungstätigkeiten in den USA entsteht durch dieses Urteil erheblicher Aufwand, gepaart mit großer Rechtsunsicherheit, weil die Bestimmungen der DS-GVO kaum Alternativen zulassen. Das Urteil und seine weitreichenden Folgen für die globale (Daten-)Wirtschaft machen daher einen genauen Blick auf die verbleibenden rechtlichen Möglichkeiten zur Absicherung des Datentransfers notwendig.

 

Die Schrems-II-Entscheidung

Der EuGH hat in seinem viel beachteten, lange erwarteten Schrems-II-Urteil über Wege und Grundlagen für den internationalen Datentransfer entschieden. Das Privacy Shield, das mit Beschluss der EU-Kommission (2016/1250 „Privacy Shield“) 2016 als Ersatz für das vom EuGH zuvor bereits als ungenügend erachtete Safe-Harbor-Abkommen etabliert worden war, hat der EuGH nun für unwirksam erklärt - mit sofortiger Wirkung und damit ohne Übergangsfrist. Auch die bestehenden Standarddatenschutzklauseln waren Gegenstand der Entscheidung des EuGH. Die Ausführungen des Gerichts ließen viele zunächst aufatmen: Die Standardvertragsklauseln sind weiterhin wirksam und können den Datentransfer in Drittstaaten grundsätzlich nach wie vor rechtssicher ermöglichen. Aber: Insbesondere für den EU-US-Transfer ergeben sich aus dem Urteil weitreichende Implikationen, sowohl was die Nutzung der Standarddatenschutzklauseln als auch die Binding Corporate Rules (BCR) angeht: Unternehmen müssen nun beim Einsatz der Standarddatenschutzklauseln im Einzelfall prüfen, ob die Gesetze des Empfängerlands den in den Klauseln enthaltenen Vertragspflichten entsprechen oder nicht. Unternehmen obliegt daher jetzt die Beurteilung, ob im Drittland das geforderte Schutzniveau für die übermittelten Daten tatsächlich eingehalten wird bzw. werden kann - nach den Ausführungen des EuGH zur Angemessenheit des Datenschutzniveaus in den USA ist das Ergebnis dieser Prüfung jedoch wohl mit negativem Ergebnis vorgezeichnet. Die Ausführungen des Gerichts lassen zu, dass - sofern das Ergebnis der Prüfung kein angemessenes Datenschutzniveau ergibt - zu den Standarddatenschutzklauseln zusätzliche Sicherungsmaßnahmen zum Schutz der Daten vereinbart werden können und müssen. Wie diese zusätzlichen Maßnahmen jedoch gestaltet werden können, ob z.B. technische Schutzmaßnahmen wie Pseudonymisierung oder zusätzliche Verschlüsselung helfen könnten, ist zurzeit völlig offen.

 

Fazit und Schlussfolgerungen

Die DS-GVO geht davon aus, dass die Übermittlung von Daten an Stellen außerhalb des EU- und EWR-Raums nur dann rechtmäßig erfolgen kann, wenn im empfangenden Drittland ein angemessenes Datenschutzniveau gewährleistet ist. Dieses Schutzniveau ist z.B. dann gewährleistet, wenn die Angemessenheit des Niveaus der Datenschutzgesetzgebung von der EU-Kommission anerkannt ist, Art. 45 DS-GVO. Ist das Datenschutzniveau eines Landes nicht durch einheitliche Gesetze gesichert, kann eine Angemessenheit i.S.d. Art. 45 DS-GVO gleichwohl dann angenommen werden, wenn eine Vereinbarung des Landes mit der EU getroffen wurde, die ein angemessenes Datenschutzniveau sicherstellt und der Übermittlungsempfänger dieser Vereinbarung beigetreten ist. Ein Beispiel hierfür war bis zum 16.7.2020 das EU-US-Privacy-Shield oder auch das Vorgängerabkommen Safe Harbor (das durch den EuGH in seiner Schrems-I-Entscheidung (ZD 2015, 549 m. Anm. Spies) im Jahr 2015 nach 15-jährigem Bestehen für ungültig erklärt wurde).

Während das Vorliegen eines Angemessenheitsbeschlusses die wohl aus praktischen Gründen einfachste Grundlage für die Datenübermittlung in ein Drittland darstellt, hält die DS-GVO für international tätige Unternehmen aber darüber hinaus die auch schon unter der Datenschutzrichtlinie (DS-RL) bekannten Rechtstatbestände zur Datenübermittlung in Drittstaaten bereit, wenn für das Empfängerland kein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO vorliegt und die Datenverarbeitung nicht unter einen gesetzlichen Ausnahmetatbestand nach Art. 49 DS-GVO fällt. Die relevantesten Tatbestände nach Art. 46 DS-GVO (Datenübermittlung vorbehaltlich geeigneter Garantien) sind dabei die Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften wie BCR und teilweise neue wie genehmigte Verhaltensregeln (Codes of Conduct) sowie genehmigte Zertifizierungsmechanismen.

Da mit der Schrems-II-Entscheidung sowohl die Standardvertragsklauseln als auch die BCR nach Art. 46 DS-GVO für die Datenübermittlung in die USA ins Wanken geraten sind, gerät nun vor allem die Ausnahmevorschrift des Art. 49 DS-GVO in den Fokus, die die Übermittlung in ein Drittland ohne angemessenes Datenschutzniveau absichern kann. Die weit wichtigsten Anwendungsfälle des Art. 49 DS-GVO sind die Übermittlung zur Vertragserfüllung und die ausdrückliche Einwilligung des Betroffenen.

Eine Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau ist ausnahmsweise zulässig, wenn zwischen Betroffenen und Verantwortlichen ein Vertrag vorliegt, für dessen Erfüllung die Datenübermittlung erforderlich ist, Art. 49 Abs. 1 S. 1 lit. b DS-GVO. Dasselbe gilt, wenn die Datenübermittlung zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist. Praktische Beispiele hierfür finden sich vor allem im Reise- und Tourismusbereich, bei Zahlungsabwicklungen oder Arbeitsverträgen. Anders gelagert, aber in der Wirkweise ähnlich erlaubt daneben Art. 49 Abs. 1 S. 1 lit. c DS-GVO die Datenübermittlung, wenn diese zur Erfüllung eines Vertrags notwendig ist, der entsprechende Vertrag aber nicht vom Betroffenen selbst mit dem Verantwortlichen geschlossen wurde, sondern im Interesse des Betroffenen zwischen dem Verantwortlichen und einem Dritten gehandelt wird.

Auf das EuGH-Urteil folgten schnell auch Stellungnahmen und FAQs der europäischen Aufsichtsbehörden, in denen häufig auf die Notifikationspflicht der zuständigen Aufsicht verwiesen wurde. Anders als noch die DS-RL enthält die DS-GVO nämlich eine neue Rechtsgrundlage für einen Datentransfer auf Basis zwingender berechtigter Interessen des Verantwortlichen, die allerdings nur bei außergewöhnlichen Umständen unter bestimmten Voraussetzungen genutzt werden kann. In diesen Fällen muss dann die Aufsichtsbehörde über den Datentransfer in Kenntnis gesetzt werden (Art. 49 Abs. 1 UAbs. 2, Abs. 6 DS-GVO). Anwendungsbeispiele werden vor allem im Bereich Fernwartung und Support z.B. bei Sicherheitsvorfällen gesehen. In solchen Fällen könnte der Dienstleister im entsprechenden Drittland die Serviceleistung erbringen, auch wenn der Verantwortliche bisher keine Standarddatenschutzklauseln abgeschlossen hat bzw. nicht schnell genug abschließen konnte.

Das Thema „globale Datenflüsse“ war auf Grund seiner weitreichenden Bedeutung für digital arbeitende Unternehmen auch eines der wichtigsten Themen auf der diesjährigen Bitkom Privacy Conference am 28. und 29.9.2020. Die diesjährige Konferenz fand online und in englischer Sprache statt. Live-Sessions mit Vorträgen, Workshops und Panel-Diskussionen mit hochkarätigen Speakern ermöglichten den Austausch mit rund 500 internationalen Expertinnen und Experten aus Aufsichtsbehörden, Politik und Wirtschaft.

Die Bitkom Privacy Conference 2021 wird im September 2021 stattfinden.