Privacy Shield, Standardvertragsklauseln, Brexit & Co.: Unter welchen Vorausetzungen ist die grenzüberschreitende Datenübermittlung in Drittländer zulässig?
Konstellationen, in denen Daten grenzüberschreitend verarbeitet werden, spielen in der Praxis eine bedeutende Rolle und nehmen stetig zu. Die Übermittlung personenbezogener Daten aus in der EU ansässigen Unternehmen in Drittländer als solche ist allerdings nur unter besonderen Voraussetzungen zulässig. Sichergestellt werden soll dabei im Grundsatz die Einhaltung eines angemessenen Datenschutzniveaus. Dazu werden verschiedene Instrumente angeboten und es sind sogar Ausnahmen vorgesehen. Nicht alle eignen sich aber gleichermaßen für Unternehmen in der Praxis und bei der Auswahl sind verschiedene Risiken bei der Umsetzung einzubeziehen.
Zwei-Stufen-Prüfung
Drittländer sind solche Länder, die weder Mitglied der EU, noch des Europäischen Wirtschaftsraums sind, wie zum Beispiel die USA. Die Länder des Europäischen Wirtschaftsraums Island, Liechtenstein und Norwegen sind keine Drittländer, da hier die DSGVO unmittelbar gilt und somit die Anforderungen an das Datenschutzniveau wie in Ländern der EU erfüllt werden.
Ob Sie als Unternehmen einen externen Hosting-Anbieter mit Servern in einem Drittland oder auch nur eine Software nutzen, in deren Rahmen personenbezogene Daten in ein solches Land übermittelt werden – zur Prüfung der Datenschutzkonformität ist nach Art. 44 DSGVO eine so genannte „Zwei-Stufen-Prüfung“ erforderlich. Auf der ersten Stufe ist unabhängig der Vorschriften der in den Art. 45 ff. DSGVO geregelten Datenübermittlung in Drittländer die Einhaltung der Anforderungen der Datenschutz-Grundverordnung und dabei insbesondere die Rechtmäßigkeit der Verarbeitung zu überprüfen. Sofern diese gegeben ist, folgt dann auf der zweiten Stufe die Prüfung der spezifischen Anforderungen der Datenübermittlung in Drittländer nach den Art. 45 ff. DSGVO.
Der Begriff der Übermittlung ist dabei sehr weit zu verstehen und umfasst jegliche Offenlegung von personenbezogenen Daten gegenüber Empfängern in Drittländern. Nicht nur etwa die Speicherung oder weitere Verarbeitung von Daten auf Servern im Drittland, sondern bereits die Abrufbarkeit von Daten in einem Drittland oder die Zugänglichmachung kann eine solche darstellen. In Fällen der Verarbeitung personenbezogener Daten, in denen ein Drittland beteiligt ist, muss folglich sorgfältig deren Zulässigkeit geprüft werden.
Verschiedene Instrumente
Die Datenschutz-Grundverordnung sieht verschiedene Instrumente vor, mit denen die zweite Stufe der Übermittlung datenschutzkonform gestaltet werden kann. So kann die Europäische Kommission nach Art. 45 DSGVO Angemessenheitsbeschlüsse erlassen, mit denen sie den Drittländern ein angemessenes Schutzniveau attestiert. Angemessen ist das Schutzniveau dann, wenn es der Sache nach dem innerhalb der Union gewährleisteten Schutzniveau gleichwertig ist. Daneben können nach Art. 46 DSGVO geeignete Garantien ein angemessenes Schutzniveau gewährleisten, wobei den betroffenen Personen zusätzlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen müssen. Zu den geeigneten Garantien gehören insbesondere Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen. Besonders praxisrelevant sind hier die Standardvertragsklauseln der Europäischen Kommission. Zuletzt sind nach Art. 49 DSGVO Ausnahmetatbestände vorgesehen, bei deren Vorliegen unabhängig vom Vorliegen eines Angemessenheitsbeschlusses und geeigneter Garantien die Datenübermittlung zulässig ist. Dazu gehören insbesondere die Einwilligung und die Erforderlichkeit zur Vertragserfüllung.
Angemessenheitsbeschluss der Europäischen Kommission
Prinzipiell unproblematisch ist die Übermittlung in Drittländer dann, wenn die Europäische Kommission für das Drittland einen Angemessenheitsbeschluss nach Art. 45 Abs. 1 DSGVO erlassen hat und diesem damit ein angemessenes Schutzniveau bescheinigt. In diesem Fall sind zumindest grundsätzlich keine weiteren Maßnahmen von den Unternehmen erforderlich. Ein solcher Beschluss liegt bisher allerdings nur für wenige Länder vor, namentlich Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, Schweiz, Uruguay und – mit besonderen Einschränkungen – auch für die USA und Kanada. Allerdings gibt es auch hier Besonderheiten, denn die inhaltliche Reichweite dieser Beschlüsse kann sektoral beschränkt sein. So ist beispielsweise der Angemessenheitsbeschluss für Kanada beschränkt auf kommerzielle Organisationen. Für den besonders relevanten Fall der Übermittlung von Daten in die USA gilt der Beschluss nur für solche Unternehmen, welche nach dem EU-US Privacy Shield Abkommen zertifiziert sind.
EU-US Privacy Shield
Nach dem EU-US Privacy Shield dürfen US-Unternehmen dann personenbezogene Daten verarbeiten, die ihnen von Verantwortlichen aus der EU übermittelt wurden, wenn sie sich nach den Vorgaben des amerikanischen Rechts zur Einhaltung der Prinzipien des Privacy Shields verpflichten und daher ausreichende Schutzgarantien bieten. Der Privacy Shield ist jedoch als Nachfolgeabkommen des vom Europäischen Gerichtshofs (EuGH) für unwirksam erklärten Safe Harbor-Abkommens von Beginn an Gegenstand scharfer Kritik gewesen und es existierte stets die Befürchtung, dass dieser durch den EuGH ebenfalls für unwirksam erklärt werden könnte. Aufgrund dieser Unsicherheit wird bisher in der Praxis auch von Privacy Shield zertifizierten Unternehmen die Datenübermittlung oft zusätzlich auf Standardvertragsklauseln gestützt. Diese zusätzliche Absicherung ist auch aktuell noch empfehlenswert, kann aber derzeit aufgrund eines anhängigen Vorabentscheidungsverfahrens am EuGH, welches die Wirksamkeit der Standardvertragsklauseln der Europäischen Kommission für die Übermittlung an Auftragsverarbeiter in Drittländer zum Gegenstand hat, nicht als vollkommen unproblematisch bezeichnet werden.
Standardvertragsklauseln
Standardvertragsklauseln der Europäischen Kommission nach Art. 46 Abs. 2 lit. c DSGVO stellen ein weiteres vergleichsweise unkompliziertes Instrument dar, um ein angemessenes Schutzniveau zu gewährleisten. Derzeit bestehen Vertragsmuster für die Übermittlung eines Verantwortlichen in der EU (sog. Datenexporteur) an Verantwortliche in Drittländern (sog. Datenimporteur) sowie für die Übermittlung eines Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (auch hier sog. Datenimporteur). Für die Umsetzung müssen Datenexporteur und Datenimporteur diese in unveränderter Weise verwenden, womit sie die dort festgelegten Rechte und Pflichten anerkennen. Eine zusätzliche Genehmigung durch die Aufsichtsbehörde ist nicht erforderlich. Gerade aufgrund dieser unkomplizierten Handhabung werden diese oftmals zusätzlich zu anderen Instrumenten abgeschlossen.
Gegenstand des derzeit anhängigen und vom irischen High Court ersuchten Vorabentscheidungsverfahrens sind die Standardvertragsklauseln für die Übermittlung eines Verantwortlichen an Auftragsverarbeiter aus dem Jahr 2010. Diesem ging eine Beschwerde von Max Schrems gegen Facebook Ireland voraus, welches auf Grundlage der Standardvertragsklauseln Daten in die USA übermittelt. Am 19. Dezember 2019 hat sich der Generalanwalt Henrik Saugmandsgaard Øe in seinen Schlussanträgen für die Gültigkeit der Standardvertragsklauseln ausgesprochen. Der Generalanwalt geht daher davon aus, es bedürfe keiner Entscheidung über die Wirksamkeit des Beschlusses der Kommission zum EU-US Privacy Shield. Gleichwohl zweifelt er im Gegensatz zu den Standardvertragsklauseln dessen Wirksamkeit an, da Beeinträchtigungen hinsichtlich der Rechte auf Achtung des Privatlebens, auf den Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf zu befürchten seien.
Die Schlussanträge entfalten keine rechtlich bindende Wirkung, beeinflussen allerdings regelmäßig die Entscheidung des EuGH. Wie weitgehend der EuGH schließlich entscheiden wird, bleibt allerdings abzuwarten.
Weiterhin bleibt abzuwarten, ob in naher Zukunft ein neues Set an Standardvertragsklauseln den Genehmigungsprozess passiert, das an die Gegebenheiten der DSGVO angepasst ist und auch die Konstellation eines Auftragsverarbeiters in der EU und eines Sub-Auftragsverarbeiters im Drittland abbildet.
Weitere geeignete Garantien
Internationale Unternehmensgruppen haben als weitere geeignete Garantien nach Art. 46 Abs. 2 lit. b DSGVO die Möglichkeit, verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, BCR) nach Art. 47 DSGVO festzulegen. Dieses Verfahren ist allerdings mit hohem Aufwand verbunden. Die Unternehmensrichtlinien binden in Gestalt eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten und sind damit ausschließlich für die unternehmensinterne Datenübermittlung verwendbar. Die Richtlinien müssen allerdings vorab durch die zuständige Aufsichtsbehörde genehmigt werden. Letztlich werden verbindliche interne Datenschutzvorschriften damit nur sehr begrenzt einsetzbar sein.
Ähnliches gilt für genehmigte Verhaltensregeln nach Art. 40 DSGVO (sog. Code of Conduct) und genehmigte Zertifizierungsmechanismen nach Art. 42 DSGVO, die nach Art. 46 Abs. 2 lit. e und f DSGVO geeignete Garantien darstellen. Aufgrund des hohen Aufwands und des Genehmigungserfordernisses haben diese bisher in der Praxis keine besondere Bedeutung erlangt.
Ausnahmetatbestände
Die in Art. 49 DSGVO genannten Ausnahmetatbestände umfassen abschließende Fälle, in denen kein Angemessenheitsbeschluss und keine geeigneten anderweitigen Garantien erforderlich sind. Diese sind jedoch besonders eng auszulegen. Zu ihnen gehören unter anderem die Einwilligung, Erforderlichkeit zur Vertragserfüllung, Schutz lebenswichtiger Interessen oder Wahrung zwingender berechtigter Interessen. In der unternehmerischen Praxis dürften jedoch aufgrund der hohen zusätzlichen Anforderungen der Ausnahmetatbestände nur wenige Fälle tatsächlich auf diese Ausnahmen gestützt werden können.
Abschließende Handlungsempfehlungen
Nach wie vor ist zur Gewährleistung geeigneter Garantien insbesondere der Abschluss von Standardvertragsklauseln zu empfehlen. Auch im Falle von Privacy Shield zertifizierten Unternehmen sollte sicherheitshalber zusätzlich auf diese zurückgegriffen werden. Gleichzeitig muss die weitere Entwicklung und hier insbesondere die anstehende Entscheidung des EuGH genauestens beobachtet werden, um auf Änderungen reagieren zu können. Daneben sollte geprüft werden, ob andere Mechanismen genutzt werden können, um die Zulässigkeit der Datenübermittlung sicherstellen zu können.
Besonderheiten ergeben sich für die Übermittlung in das Vereinigte Königreich aufgrund des inzwischen vollzogenen „Brexit“. Grundsätzlich ist durch den Austritt aus der EU das Vereinigte Königreich nun als Drittland einzustufen. Aufgrund des geregelten Austritts besteht jedoch ein Übergangszeitraum bis Ende 2020, in welchem das Unionsrecht und somit die Datenschutz-Grundverordnung weiter gilt. Dieser könnte grundsätzlich noch um bis zu zwei Jahre verlängert werden. Möglich ist auch, dass bis zum Ende des Zeitraums ein Angemessenheitsbeschluss durch die Kommission ergeht. Um auf der sicheren Seite zu sein, sollte die politische Entwicklung verfolgt werden und vor Ablauf des Übergangszeitraums die Übermittlung über dessen Ende hinaus sichergestellt werden. So kann es sich beispielsweise empfehlen, vorsorglich Standardvertragsklauseln abzuschließen.