In Reaktion auf das „Schrems II“-Urteil des EuGH gibt der Europäische Datenschutzausschuss (EDSA) mit seinen Empfehlungen zu ergänzenden Maßnahmen für Transferinstrumente zur Gewährleistung des europäischen Datenschutzniveaus vom 10.11.2020 nun Hinweise, wie der internationale Datentransfer datenschutzkonform gestaltet werden kann. Flankiert werden diese Empfehlungen durch Guidelines zu grundlegenden europäischen Garantien für Überwachungsmaßnahmen. Seit dem „Schrems II“-Urteil, das den Beschluss 2016/1250 „Privacy Shield“ für ungültig und die Übermittlung von personenbezogenen Daten in die USA auf dieser Grundlage für unzulässig erklärt hatte, besteht ein hohes Maß an Rechtsunsicherheit bei der Übermittlung von personenbezogenen Daten in Drittländer im Sinne des Art. 44 DSGVO. Die europäischen Datenschutzaufsichtsbehörden, allen voran der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg, haben bereits Hinweise gegeben, wie der internationale Datentransfer fortan rechtskonform gestaltet werden kann. Diese Hinweise hat der EDSA mit seinen Empfehlungen konkretisiert und dadurch die bestehende Rechtsunsicherheit zumindest teilweise beseitigt.
I. Auswirkungen von „Schrems II“
Mit seinem Urteil hat der EuGH nicht nur der Übermittlung von personenbezogenen Daten in die USA auf Grundlage des EU-US Privacy Shields eine Absage erteilt, sondern darüber hinaus jeden denkbaren Datentransfer in Drittländer in Frage gestellt. Er hat damit Datenexporteuren vor jeder Übermittlung von personenbezogenen Daten in Drittländer die Pflicht zur Prüfung auferlegt, ob in diesen ein Datenschutzniveau herrscht, das dem durch die DSGVO vorgegebenen Schutzniveau im Wesentlichen gleichwertig ist. Ist dies etwa wegen Zugriffsmöglichkeiten von (Sicherheits-) Behörden des Empfängerstaates nicht der Fall, muss der Datenexporteur angemessene zusätzliche Maßnahmen zum Datenschutz treffen. Können auch zusätzliche Maßnahmen das erforderliche Datenschutzniveau nicht gewährleisten, darf eine Übermittlung von personenbezogenen Daten nicht erfolgen bzw. muss diese unverzüglich eingestellt werden. Es ist also selbst bei strikter Befolgung der Empfehlungen des EDSA denkbar, dass Übermittlungen in ein Drittland unzulässig sind und zu unterbleiben haben.
II. Empfehlungen des EDSA
Laut dem EDSA ist für eine Übermittlung von personenbezogenen Daten in Drittländer – unabhängig davon, auf welches Transferinstrument diese gestützt wird – im Drittland kein identisches, aber ein im Wesentlichen dem europäischen Datenschutzrecht entsprechendes Schutzniveau erforderlich. Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen, empfiehlt der EDSA eine Bewertung bzw. Prüfung von geplanten Übermittlungen in sechs Stufen. Dabei betont er, dass jede Prüfung einzelfallbezogen erfolgen und für die Zwecke des Nachweises der Einhaltung der Regelungen der DSGVO auf Anfrage der Datenschutzaufsichtsbehörde akribisch dokumentiert werden muss.
III. Prüfschritte und zusätzliche Maßnahmen
1. Status-Quo-Analyse der Datenübermittlungen
In einem ersten Schritt sind die geplanten Datentransfers ggfs. unter Zuhilfenahme eines bestehenden Verarbeitungsverzeichnisses zu analysieren. Bei dieser Überprüfung sind auch Datenübermittlungen eines Auftragsverarbeiters des Datenexporteuers an Unterauftragsverarbeiter im selben oder in andere Drittländer und Fälle des Einsatzes von Supportdienstleistern zu berücksichtigen, die aus Drittländern auf in der EU bzw. dem EWR gespeicherte personenbezogene Daten Zugriff nehmen.
2. Auswahl geeigneter Transferinstrumente
Im zweiten Schritt ist zu prüfen, welche Transferinstrumente als Grundlage der Datenübermittlung in Betracht kommen. Neben einem wirksamen Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO, der dem Drittland ein ausreichendes Datenschutzniveau attestiert, können dies sämtliche in Art. 46 DSGVO genannten Transferinstrumente oder die Übermittlung aufgrund einer Ausnahme nach Art. 49 DSGVO sein. Typischerweise werden hier die Standardvertragsklauseln gewählt, für welche die EU-Kommission am 12.11.2020 einen neuen Entwurf veröffentlicht hat.
3. Beurteilung der Wirksamkeit des gewählten Transferinstruments
Im nächsten Schritt ist zu prüfen, ob das gewählte Transferinstrument in datenschutzrechtlicher Hinsicht auch faktisch die Sicherheit bietet, die erforderlich ist, um ein im Wesentlichen vergleichbares Datenschutzniveau zu gewährleisten. Einzubeziehen in die Beurteilung sind insbesondere gesetzliche Regelungen im Drittland, die einen Zugriff von Behörden auf personenbezogene Daten festlegen. Sind derartige Rechte auf das beschränkt, was in einem demokratisch geprägten Land erforderlich und angemessen ist, ist dies ein Anhaltspunkt dafür, dass ein vergleichbares Datenschutzniveau gegeben ist. Als Beurteilungsgrundlage für eine derartige Beschränkung dienen neben den Hinweisen des EDSA zu grundlegenden europäischen Garantien für Überwachungsmaßnahmen insbesondere die Rechtslage, Gerichtsentscheidungen von Gerichten des Drittlandes, des EuGH oder des EGMR sowie Berichte von zwischenstaatlichen Organisationen wie dem UN-Menschenrechtsrat. Bestehen gesetzliche Regelungen für den behördlichen Zugriff auf personenbezogene Daten im Drittland nicht, muss untersucht werden, ob es objektive Anhaltspunkte etwa in Form von derartigen Vorfällen gab.
4. Ergreifen zusätzlicher Maßnahmen zum Datenschutz
Hat die Beurteilung in Stufe 3 keine ausreichende Wirksamkeit des gewählten Transferinstruments ergeben, ist zu prüfen, ob ein effektiver Schutz personenbezogener Daten durch zusätzliche Maßnahmen, welche rechtlicher, technischer oder organisatorischer Art sein können, erreicht werden kann. Dabei stellen vertragliche und organisatorische Maßnahmen im Verhältnis zum Datenimporteur allein oft keinen ausreichenden Schutz dar, besonders vor dem Hintergrund staatlicher Zugriffsmöglichkeiten. Zusätzlich müssen dann technische Maßnahmen wie die Pseudonymisierung oder die Verschlüsselung von personenbezogenen Daten angewandt werden. Beispiele für vertragliche, organisatorische und technische Maßnahmen sind in der Anlage 2 zu den Empfehlungen des EDSA beschrieben.
5. Einbeziehung der Datenschutzaufsichtsbehörde
Bei den in der Regel zum Einsatz kommenden Standardvertragsklauseln ist eine Einbeziehung der Datenschutzaufsichtsbehörde nicht erforderlich, da diese keiner vorherigen Genehmigung bedürfen. Nach Aussage des EDSA wäre dies jedoch bei der Verwendung von Binding Corporate Rules nach Art. 47 DSGVO denkbar, wobei der EDSA dazu noch nicht ausdrücklich Stellung genommen hat.
6. Regelmäßige Überprüfung der Beurteilung
Entscheidet sich der Datenexporteur für einen internationalen Datentransfer, so sind die rechtlichen und tatsächlichen Rahmenbedingungen im Drittland in regelmäßigen Abständen daraufhin zu überprüfen, ob immer noch ein im Wesentlichen vergleichbares Datenschutzniveau gegeben ist.
IV. Empfehlung
Angesichts der klaren Aussagen der deutschen Datenschutzaufsichtsbehörden, dass es für die Umsetzung der im „Schrems II“-Urteil dargelegten Verpflichtungen von Datenexporteuren keine Karenzfrist gibt, sollte jedes Unternehmen seine Datenschutzprozesse daraufhin überprüfen, ob eine Übermittlung von personenbezogenen Daten in Drittländer erfolgt und diese unter Berücksichtigung der Empfehlungen des EDSA im Einklang mit dem aktuellen Stand des Datenschutzrechts steht. Auch wenn im Nachhinein von einer Datenschutzbehörde die Unzulässigkeit einer Datenübermittlung festgestellt würde, schafft die akribisch dokumentierte Befolgung der Prüfschritte für Unternehmen Sicherheit und stellt ein gewichtiges Argument gegen eine Bußgeldfestsetzung dar, es sei denn, dass das Ergebnis der Prüfungsschritte zu einer offensichtlichen und eindeutigen Unzulässigkeit der Übermittlung führt.
