13.08.2020
Nachdem der EuGH den EU-US Privacy Shield für ungültig erklärt hat, muss nun geprüft werden, auf welcher Basis personenbezogene Daten in die USA übermittelt werden können. Zwar sind die Standardvertragsklauseln weiterhin gültig, allerdings sind diese nach Ansicht einiger Datenschutzaufsichtsbehörden ohne Weiteres nicht mehr dazu geeignet, den Datentransfer in die USA zu rechtfertigen. In diesem Beitrag fassen wir einzelne Stellungnahmen von Behörden und sonstigen Stakeholder zusammen:
Aufsichtsbehörde | Kernaussage |
Bundesbeauftragter für Datenschutz und Informationsfreiheit | Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder. Der BfDI schließt sich den FAQ des Europäischen Datenschutzausschusses an. |
Hamburg | Nach der EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung in Drittstaaten über Standardvertragsklauseln kritisch zu hinterfragen. Für den internationalen Datentransfer zögen schwere Zeiten auf. |
Rheinland Pfalz | Verantwortliche müssen sich mit der Gesetzeslage im Zielland auseinander setzen; sie müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland und ggf. dessen Unterauftragnehmer unterliegen und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer (z.B. Russland, China etc.), nicht nur in die USA. Der LfDI Rheinland-Pfalz kündigt an, im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zuzukommen, um entsprechende Darlegungen zu erhalten. |
Berlin | Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln. |
Thüringen | „Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHs nun auch die europäischen Datenschutzaufsichtsbehörden verstärkt in der Pflicht“, so der Thüringer Datenschutzbeauftragte. |
Nordrhein-Westfalen | Die deutschen und die europäischen Aufsichtsbehörden arbeiten zusammen, um das Urteil des EuGH einheitlich zu verstehen und umzusetzen. Sie arbeiten auch an Empfehlungen für die Rechtsanwender. Der Europäischen Datenschutzausschuss bietet der EU-Kommission Unterstützung an, wenn es darum geht, einen neuen Rahmen für Datenübermittlungen in die USA zu erstellen. Der Europäische Datenschutzausschuss prüft zudem, welche Zusatzmaßnahmen getroffen werden könnten für den Fall, dass Standarddatenschutzklauseln für ein bestimmtes Ziel-Land noch keine ausreichenden Garantien bieten. Insgesamt wird der Europäischen Datenschutzausschuss an Leitlinien für Rechtsanwender arbeiten, die das Urteil berücksichtigen. Die deutschen Aufsichtsbehörden arbeiten an den Entscheidungen des Europäischen Datenschutzausschusses mit und koordinieren sich in Deutschland. Mit Beschwerden von betroffenen Personen werden sich die Aufsichtsbehörden befassen und sie angemessen untersuchen. Leitlinien und allgemeine Beratung veröffentlichen wir sobald wie möglich auf unseren Internetseiten. |
Bremen | n.a. |
Bayern | n.a. |
Brandenburg | n.a. |
Schleswig-Holstein | n.a. |
Saarland | n.a. |
Mecklenburg-Vorpommern | Der LfDI MV verweist auf die Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. |
Sachsen | n.a. |
Sachsen-Anhalt | n.a. |
Niedersachsen | n.a. |
Hessen | n.a. |
Baden-Württemberg | Die Standardvertragsklausel wurden nicht für unwirksam erklärt, aber die Verantwortlichen müssen prüfen, ob ihre Vereinbarung ausreicht. Im Fall der USA liegt das Ergebnis dieser Prüfung aber auf der Hand, denn praktisch kein amerikanisches Unternehmen kann glaubhaft garantieren, dass es vom Zugriff der dortigen Geheimdienste verschont bleiben wird. |
Datenschutzkonferenz („DSK“) | Standardvertragsklausel können weiter genutzt werden, es bedarf aber einer Prüfung durch den Verantwortlichen und den Empfänger, ob die darin enthaltenen Garantien in der Praxis verwirklicht werden können. Falls nicht, müssen zusätzliche Schutzmaßnahmen vereinbart werden, deren tatsächliche Wirkung durch das Recht des Drittlands nicht vereitelt werden darf. Die Erwägungen des EuGH gelten auch für Binding Corporate Rules; diese müssen ebenfalls ggf. um weitere Schutzmaßnahmen ergänzt werden. |
BfDI | Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen. |
Data Protection Commission (DPC), Irland | Die irische Datenschutzaufsichtsbehörde betont, dass es im jeden Einzelfall einer Prüfung bedarf, ob die nun grundsätzlich auch unter Verwendung der Standardvertragsklauseln zweifelhaft erscheinende Datenübermittlung in die Vereinigten Staaten zulässig sein kann. Sie sieht der Entwicklung einer gemeinsamen Position der EU-Aufsichtsbehörden entgegen, um dem Urteil eine sinnvolle und praktische Wirkung zu verleihen. |
Commission Nationale de l'Informatique et des Libertés (CNIL), Frankreich | Die französische Aufsichtsbehörde hält sich zurück: “Beyond the summary shared by the CJEU in its press release, the CNIL is currently conducting a precise analysis of the judgment, together with its European counterparts assembled within the European Data Protection Board. This joint work aims at drawing conclusions as soon as possible on the consequences of the ruling for data transfers from the European Union to the United States”. |
Information Commissioner’s Office (ICO), Großbritannien | Der ICO verweist auf die FAQ des EDSA und hat Verständnis für die Herausforderungen, die sich nun für viele Unternehmen aus dem Vereinigten Königreich stellen. |
Europa | |
EU-Kommission | Die Kommission habe bereits intensiv an einem breiten Instrumentarium für internationale Datenübertragungen gearbeitet und dabei auch die Modernisierung der Standardvertragsklauseln berücksichtigt. Dieses soll nun zügig in Absprache mit dem Europäischen Datenschutzrat Datenschutzbehörden zum Abschluss gebracht werden. „Das heutige Urteil gibt uns weitere wertvolle Hinweise, und wir werden dafür sorgen, dass das aktualisierte Instrument voll und ganz im Einklang damit steht.“ |
European Data Protection Board („EDPB“) | Die Standardvertragsklauseln bleiben gültig, aber in der Praxis müssen Verantwortlicher und Empfänger prüfen, ob durch ihre Anwendung tatsächlich ein angemessenen Schutzniveau im Drittland erreicht werden kann. Das macht eine Prüfung des Schutzniveaus im Drittland unter Berücksichtigung der nicht abschließend in Art. 45 Abs. 2 DSGVO genannten Aspekte erforderlich. Dies gilt auch für den Fall der Verwendung von Binding Corporate Rules. Der EDPB hat ein FAQ zum Urteil veröffentlicht. |
European Data Protection Supervisor („EDPS“) | As the supervisory authority of the EU institutions, bodies, offices and agencies, the EDPS is carefully analysing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies. The example of the recent EDPS’ own-initiative investigation into European institutions’ use of Microsoft products and services confirms the importance of this challenge. |
Stakeholder | Kernaussage |
Microsoft | Daher möchten wir klarstellen: Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen. |
Unternehmen sollten insbesondere ihre Datenübermittlungen in die USA überprüfen und sofern Datenverarbeitungen lediglich auf dem EU-US Privacy Shield basieren, schnellstmöglich die Standardvertragsklauseln als alternative geeignete Garantie vereinbaren. Aber auch wenn bereits Standardvertragsklauseln bestehen, muss jeweils geprüft werden, ob diese unter Beachtung der Gesetzeslage im Zielland im Hinblick auf die Zugriffsmöglichkeiten von staatlichen Behörden (insb. Nachrichtendienste) eingehalten werden können, um das fehlende Schutzniveau im Empfängerland auszugleichen. Falls nicht, müssen neben den Standardvertragsklauseln zusätzliche Maßnahmen vereinbart werden, um ein ausreichendes Datenschutzniveau herzustellen oder der Datentransfer muss ausgesetzt werden.
Dr. Christian Rabe
Senior Associate
Hamburg
christian.rabe@luther-lawfirm.com
+49 40 18067 14946