EuGH kippt Privacy Shield - Hintergründe zur Datenübertragung in Drittländer

17.07.2020

Die Datenübertragung in sogenannte Drittländer unterliegt aufgrund eines aktuellen Urteils des EuGH einer erneuten datenschutzrechtlichen Bewertung. Der Sachverhalt im Einzelnen: 
 
Die Übertragung von personenbezogenen Daten in Drittländer bedarf besonderer Regelungen, da bei diesen Drittländern davon ausgegangen wird, dass sie im Verhältnis zu Mitgliedsstaaten der EU kein angemessenes Datenschutzniveau aufweisen. Dieses muss daher durch zusätzliche Maßnahmen hergestellt werden.  
Drittländer sind in diesem Zusammenhang alle Länder, die nicht Mitglied der EU oder des EWR sind und keinen Angemessenheitsbeschluss der EU-Kommission besitzen (einen solchen besitzen: Andorra, Argentinien, Kanada (commercial organisations), Faröer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay). 
 
Wir beschreiben diese Maßnahmen hier im Einzelnen: 
 
 
Der EU – U.S. – Privacy Shield 
 
Für die Datenübertragung in die USA hatte sich in den letzten Jahren der sogenannte „EU – U.S. – Privacy Shield“ etabliert. Unternehmen, die diesem beigetreten waren, besaßen durch diese Mitgliedschaft einen Angemessenheitsbeschluss, eine Datenübertragung zu diesen Unternehmen war also genauso möglich, als handele es sich um Unternehmen innerhalb der EU. Dieser „Privacy Shield“ wurde jetzt aber durch das EuGH Urteil gekippt, eine Datenübertragung auf dieser Basis ist also nicht mehr möglich, man muss einen anderen Weg gehen. (Da der „Privacy Shield“ nur die Übertragung in die USA betraf, waren bezüglich anderer Drittländer andere Wege schon immer notwendig.) 
 
Fazit: Auf ausschließlicher „Privacy Shield“-Basis dürfen ab sofort keine personenbezogenen Daten mehr übertragen werden. 
 
 
Die EU-Standardvertragsklauseln (SCCs) 
 
Ein anderer Weg ist der Abschluss sogenannter SCCs. Hierbei handelt es sich um von der EU-Kommission vorgefertigte Verträge, die, wenn sie unverändert von beiden Parteien unterzeichnet werden, einen Datentransfer auch in Drittländer ermöglichen. Diese SCCs existieren grundsätzlich in zwei Varianten, je nachdem, ob es sich um eine Übertragung zwischen zwei verantwortlichen Verarbeitern (controller to controller) oder zwischen einem Verantwortlichen und einem Auftragsverarbeiter (controller to processor) handelt. Eine korrekte Wahl ist also wichtig. 
 
Da diese SCCs jedoch sehr generisch gehalten und zudem auch noch sehr alt sind, können sie alleine noch keinen Datentransfer in Drittländer begründen. Man benötigt zudem noch ein Dokument, das die genauen Umstände der Übertragung und der die Übertragung begründenden Verarbeitung vereinbart. Dieses Dokument heißt im englischen Sprachgebrauch üblicherweise data processing addendum (DPA). 
 
Das Werkzeug der SCCs in Verbindung mit DPAs wird von den meisten der großen Anbieter für die meisten ihrer Dienste genutzt. 
Ob es jedoch im Rahmen des neuen Urteils noch rechtssicher ist, gilt zumindest als fraglich. Der EuGH hat nämlich festgelegt, dass die Einhaltung der in den SCCs und DPAs getroffenen Vereinbarungen durch den verantwortlichen Verarbeiter (also das europäische Unternehmen) sichergestellt werden muss. Das gestaltet sich aber schwierig, wenn das nationale Recht des Empfängerlandes den Vereinbarungen nach europäischem Datenschutzstandard widerspricht. 
 
Fazit: Die Rechtssicherheit einer Datenübertragung auf Basis von SCCs ist fraglich. Wie weit die Pflichten des verantwortlichen Verarbeiters tatsächlich gehen und ob das Instrument Bestand haben wird, wird die Praxis der nächsten Monate zeigen. 
 
 
Binding Corporate Rules (BCRs) 
 
Hierbei handelt es sich um spezifische datenschutzrechtliche Regelungen, die zwischen den beteiligten Unternehmen ausgehandelt werden und dem europäischen Datenschutzniveau genügen müssen. Diese BCRs haben erst dann Gültigkeit, wenn sie von den zuständigen Aufsichtsbehörden geprüft und für ausreichend befunden worden sind. Bezüglich des Sicherstellens der getroffenen Vereinbarungen im Drittland unterliegen BCRs grundsätzlich ähnlichen Schwierigkeiten wie die zuvor genannten SCCs. 
 
Fazit: Statt Standardregelungen werden hier individuelle Absprachen getroffen, daher benötigt man keine DPAs. Allerdings ist der zugehörige Prüfprozess langwierig und die Schwierigkeiten bei der Kontrolle bleiben bestehen. Das ist zumindest keine kurzfristig zu implementierende Lösung. 
 
 
Ausnahmefälle 
 
Über die genannten Möglichkeiten hinaus existieren noch eine Anzahl von Ausnahmefällen, in denen eine Übertragung in ein Drittland möglich ist. Einer dieser Ausnahmefälle ist die Einwilligung der betroffenen Person. Derzeit wird verschiedentlich diskutiert, ob sich hier ein Ausweg bieten könnte. Die anderen gelisteten Ausnahmen lassen sich nicht gezielt herbeiführen und stellen demnach auch keine generelle Möglichkeit dar. 
 
Fazit: Im Einzelfall kann eine Einwilligung Abhilfe schaffen, grundsätzlich ist das aber (auch wegen des Aufwandes, der notwendigen Freiwilligkeit sowie der Widerrufbarkeit) kein praktischer Weg.  
 
 
Aktuelle Bewertung 
 
Die einzige Methode, personenbezogene Daten legal in ein Drittland ohne Angemessenheitsbeschluss der EU-Kommission zu übertragen, scheint daher zurzeit die Verwendung von SCCs in Verbindung mit entsprechenden DPAs zu sein. Bezüglich der Durchsetzbarkeit der Vereinbarungen existiert jedoch auch hier eine Unsicherheit. Andererseits: Ohne die Möglichkeit der SCCs ist eine Datenübertragung in Drittländer zunächst gar nicht mehr möglich und eine kurzfristige Abhilfe scheint nicht in Sicht zu sein. Es spricht also einiges dafür, die Datenübertragung auf SCCs zu stützen und die diesbezüglichen Urteile und Entscheidungen aufmerksam zu beobachten. 
Natürlich besteht eine weitere Möglichkeit darin, ganz auf eine Übertragung in ein Drittland zu verzichten, zum Beispiel indem man auf europäische Anbieter ausweicht oder bei US-Anbietern auf Verträge setzt, die einen Datenverbleib in der EU garantieren.