Um diverse Fragen, die an die verschiedenen lokalen Aufsichtsbehörden regelmäßig herangetragen werden zu beantworten, hat der Europäische Datenschutzausschuss („EDSA“) „Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems“ veröffentlicht. Eine eindeutige Antwort auf die Frage der Eignung von Standardvertragsklauseln für Übermittlungen in die USA gibt der EDSA (noch) nicht.
Die kürzlich ergangene Entscheidung des EuGH mit der das Privacy Shield für ungültig erklärt wurde (siehe dazu im Detail hier) sorgt für erhebliche Unsicherheit bei allen die an Datenverarbeitungen mit USA-Bezug beteiligt sind.
Das Urteil betrifft nämlich nicht nur die großen Player wie Google oder Facebook selbst, sondern im Prinzip jeden, der Anbieter heranzieht, die ihre Hauptniederlassung in den USA haben. Auch wenn diese in den meisten Fällen europäische Niederlassungen haben die als Vertragspartner europäischer Verantwortlicher agieren, so muss jedem dieser Verantwortlichen bewusst sein, dass die europäische Niederlassung die Datenverarbeitung selten selbst durchführt, sondern die personenbezogenen Daten zu diesem Zweck an die in den USA ansässigen Gesellschaften als Subauftragsverarbeiter weiterleitet.
Dafür bedien(t)en sich die Anbieter meistens dem Instrument der Privacy Shield Zertifizierung und konnten Daten so bislang problemlos in den USA verarbeitet werden. Im Wissen der Ungültigkeit des Privacy Shields haben europäische Verantwortliche nun aber sicherzustellen, dass eine etwaige (Sub-)Verarbeitung auch weiterhin rechtlich zulässig ist. Dafür müssen die Dienstleister nachweisen, dass geeignete Garantien iSd Art 46 DSGVO für die Datenverarbeitung in den USA vorgesehen sind, bspw. Standardvertragsklauseln („SCC“) zwischen Datenexporteur und Datenimporteur abgeschlossen wurden.
Inwieweit SCC tatsächlich sinnvoll sind und überhaupt geeignete Garantien iSd Art 46 DSGVO begründen können, bleibt offen. Im Lichte der Ausführungen des EuGH im Zuge der Beurteilung des Privacy Shields erscheint dies mehr als fraglich. Um diese aber auch weitere Fragen zu beantworten, hat der EDSA daher erste FAQs veröffentlicht, die als Orientierungshilfe dienen sollen.
Der EDSA stellt in diesen FAQs klar, dass der Beschluss der Europäischen Kommission über SCC zwar weiterhin gültig ist und diese daher grundsätzlich ein taugliches Instrument zur Datenübermittlung in die USA wären. So wird betont, dass die Gültigkeit der SCC davon abhängt, ob der Beschluss über SCC wirksame Mechanismen enthält, die es in der Praxis ermöglichen, die Einhaltung des Schutzniveaus sicherzustellen, das dem in der EU durch die DSGVO garantierten im Wesentlichen gleichwertig ist, und dass die Übermittlung personenbezogener Daten gemäß diesen Klauseln ausgesetzt oder untersagt wird, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können.
Der Beschluss über die SCC verpflichtet Datenexporteur und Datenimporteur tatsächlich vor jeder Datenübermittlung und unter Berücksichtigung der Umstände der Datenübermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird. Der Datenimporteur ist auch dazu verpflichtet den Datenexporteur darüber zu informieren, wenn er nicht in der Lage ist, die SCC einzuhalten, wobei der Datenexporteur dann seinerseits verpflichtet ist, die Übermittlung der Daten auszusetzen und/oder den Vertrag mit dem Datenimporteur zu beenden.
Auch wenn der EDSA dies nicht explizit festhält, so lassen die FAQs aber durchklingen, dass folglich auch SCC wohl keine geeigneten Garantien bieten können. So beantwortet der EDSA die Frage, ob das das Urteil des EuGH auch Auswirkungen auf andere Übermittlungsinstrumente als den Datenschutzschild hat, mit einem Verweis auf das vom EuGH angeführte US-Recht (insbesondere die Überwachungsprogramme), das für sämtliche Übermittlungen in die USA gilt, unabhängig davon, welches rechtliche Übermittlungsinstrument für die Übermittlung verwendet wird.
Den Schluss, dass durch diese Überwachungsprogramme dann eigentlich auch die SCC unterlaufen werden würden, zieht der EDSA selbst nicht, sondern wälzt diese Beurteilung auf den Verantwortlichen bzw. Datenexporteur über. Dieser müsse, falls er zu dem Schluss kommt, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, die Übermittlung personenbezogener Daten aussetzen oder beenden.
Im Ergebnis heißt das aber wohl, dass bei Übermittlungen in die USA auch SCC keine geeigneten Garantien bieten können.
Alternativen?
Als alternatives Übermittlungsinstrument nennt der EDSA (unter Verweis auf seine Leitlinien zu Art 49 DSGVO) die Einwilligung, sofern diese ausdrücklich abgegeben wird, für den bestimmten Fall der betreffenden Datenübermittlung bzw. Reihe von Übermittlungen erteilt wird und in Kenntnis der Sachlage erfolgt.
In Bezug auf Übermittlungen, die für die Erfüllung eines Vertrags zwischen Betroffenem und Verantwortlichem erforderlich sind‚ ist nach Ansicht des EDSA zu berücksichtigen, dass personenbezogene Daten nur dann übermittelt werden dürfen, wenn die Übermittlung bloß gelegentlich erfolgt. Gemäß den Leitlinien des EDSA zu Art 49 DSGVO sind regelmäßige Datenübermittlungen im Rahmen einer dauerhaften Beziehung aber als systematisch und wiederholt anzusehen und gehen damit über einen „gelegentlichen“ Charakter hinaus.
In einem solchen Fall können daher viele im Rahmen einer Geschäftsbeziehung erfolgende Datenübermittlungen nicht auf Art 49 Absatz 1 lit b) DSGVO gestützt werden. Dies trifft daher wohl auch auf die regelmäßige Überlassung von personenbezogenen Daten durch europäische Niederlassungen an ihre amerikanischen (Mutter-)Gesellschaften zur Durchführung der eigentlichen Datenverarbeitung zu.
Andere Länder
Die vom EuGH aufgestellten Grundsätze und Schwellenwerte für Übermittlungen in die USA gelten nach Ansicht des EDSA auch für jedes andere Drittland. Diesbezüglich wird der EDSA, um Kohärenz zu gewährleisten, ausarbeiten, wann Übermittlungen in Drittländer verboten werden müssen. Im Wesentlichen führt dies aber zu einer weiteren Aufsplittung der gesetzlichen Regelung, wonach es mangels Angemessenheitsbeschluss anderer geeigneter Garantien bedarf, um personenbezogene Daten übermitteln zu dürfen.
In Zukunft wird es daher wohl drei Abstufungen geben: (i) Angemessenes Datenschutzniveau – Übermittlung unbeschränkt zulässig; (ii) Kein angemessenes Datenschutzniveau, aber geeignete Garantien (z.B. SCC) können eingehalten werden; (iii) Geeignete Garantien unmöglich – Übermittlung verboten. Letzteres wird neben der USA wohl insbesondere für Länder wie China gelten müssen, aber unter Bezugnahme auf die geheimdienstliche Tätigkeit auch bspw. für Großbritannien.
Zusammenfassung
Auch wenn der EDSA dies (noch) nicht explizit sagt, so bieten wohl auch SCC keine geeigneten Garantien für eine Übermittlung personenbezogener Daten in die USA. Demnach sind SCC auch für Übermittlungen in andere Länder ungeeignet, in denen ein nicht kontrollier- und bekämpfbarer Zugriff auf Daten durch Behörden und Geheimdienste erfolgt, wie bspw. China.
Der EDSA wird aber prüfen, welche zusätzlichen Maßnahmen ergriffen werden könnten um Daten dennoch basierend auf SCC in derart unsichere Drittländer zu übermitteln.
(Bild: © AndreyPopov) 
Um diverse Fragen, die an die verschiedenen lokalen Aufsichtsbehörden regelmäßig herangetragen werden zu beantworten, hat der Europäische Datenschutzausschuss („EDSA“) „Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems“ veröffentlicht. Eine eindeutige Antwort auf die Frage der Eignung von Standardvertragsklauseln für Übermittlungen in die USA gibt der EDSA (noch) nicht.
Die kürzlich ergangene Entscheidung des EuGH mit der das Privacy Shield für ungültig erklärt wurde (siehe dazu im Detail hier) sorgt für erhebliche Unsicherheit bei allen die an Datenverarbeitungen mit USA-Bezug beteiligt sind.
Das Urteil betrifft nämlich nicht nur die großen Player wie Google oder Facebook selbst, sondern im Prinzip jeden, der Anbieter heranzieht, die ihre Hauptniederlassung in den USA haben. Auch wenn diese in den meisten Fällen europäische Niederlassungen haben die als Vertragspartner europäischer Verantwortlicher agieren, so muss jedem dieser Verantwortlichen bewusst sein, dass die europäische Niederlassung die Datenverarbeitung selten selbst durchführt, sondern die personenbezogenen Daten zu diesem Zweck an die in den USA ansässigen Gesellschaften als Subauftragsverarbeiter weiterleitet.
Dafür bedien(t)en sich die Anbieter meistens dem Instrument der Privacy Shield Zertifizierung und konnten Daten so bislang problemlos in den USA verarbeitet werden. Im Wissen der Ungültigkeit des Privacy Shields haben europäische Verantwortliche nun aber sicherzustellen, dass eine etwaige (Sub-)Verarbeitung auch weiterhin rechtlich zulässig ist. Dafür müssen die Dienstleister nachweisen, dass geeignete Garantien iSd Art 46 DSGVO für die Datenverarbeitung in den USA vorgesehen sind, bspw. Standardvertragsklauseln („SCC“) zwischen Datenexporteur und Datenimporteur abgeschlossen wurden.
Inwieweit SCC tatsächlich sinnvoll sind und überhaupt geeignete Garantien iSd Art 46 DSGVO begründen können, bleibt offen. Im Lichte der Ausführungen des EuGH im Zuge der Beurteilung des Privacy Shields erscheint dies mehr als fraglich. Um diese aber auch weitere Fragen zu beantworten, hat der EDSA daher erste FAQs veröffentlicht, die als Orientierungshilfe dienen sollen.
Der EDSA stellt in diesen FAQs klar, dass der Beschluss der Europäischen Kommission über SCC zwar weiterhin gültig ist und diese daher grundsätzlich ein taugliches Instrument zur Datenübermittlung in die USA wären. So wird betont, dass die Gültigkeit der SCC davon abhängt, ob der Beschluss über SCC wirksame Mechanismen enthält, die es in der Praxis ermöglichen, die Einhaltung des Schutzniveaus sicherzustellen, das dem in der EU durch die DSGVO garantierten im Wesentlichen gleichwertig ist, und dass die Übermittlung personenbezogener Daten gemäß diesen Klauseln ausgesetzt oder untersagt wird, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können.
Der Beschluss über die SCC verpflichtet Datenexporteur und Datenimporteur tatsächlich vor jeder Datenübermittlung und unter Berücksichtigung der Umstände der Datenübermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird. Der Datenimporteur ist auch dazu verpflichtet den Datenexporteur darüber zu informieren, wenn er nicht in der Lage ist, die SCC einzuhalten, wobei der Datenexporteur dann seinerseits verpflichtet ist, die Übermittlung der Daten auszusetzen und/oder den Vertrag mit dem Datenimporteur zu beenden.
Auch wenn der EDSA dies nicht explizit festhält, so lassen die FAQs aber durchklingen, dass folglich auch SCC wohl keine geeigneten Garantien bieten können. So beantwortet der EDSA die Frage, ob das das Urteil des EuGH auch Auswirkungen auf andere Übermittlungsinstrumente als den Datenschutzschild hat, mit einem Verweis auf das vom EuGH angeführte US-Recht (insbesondere die Überwachungsprogramme), das für sämtliche Übermittlungen in die USA gilt, unabhängig davon, welches rechtliche Übermittlungsinstrument für die Übermittlung verwendet wird.
Den Schluss, dass durch diese Überwachungsprogramme dann eigentlich auch die SCC unterlaufen werden würden, zieht der EDSA selbst nicht, sondern wälzt diese Beurteilung auf den Verantwortlichen bzw. Datenexporteur über. Dieser müsse, falls er zu dem Schluss kommt, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, die Übermittlung personenbezogener Daten aussetzen oder beenden.
Im Ergebnis heißt das aber wohl, dass bei Übermittlungen in die USA auch SCC keine geeigneten Garantien bieten können.
Alternativen?
Als alternatives Übermittlungsinstrument nennt der EDSA (unter Verweis auf seine Leitlinien zu Art 49 DSGVO) die Einwilligung, sofern diese ausdrücklich abgegeben wird, für den bestimmten Fall der betreffenden Datenübermittlung bzw. Reihe von Übermittlungen erteilt wird und in Kenntnis der Sachlage erfolgt.
In Bezug auf Übermittlungen, die für die Erfüllung eines Vertrags zwischen Betroffenem und Verantwortlichem erforderlich sind‚ ist nach Ansicht des EDSA zu berücksichtigen, dass personenbezogene Daten nur dann übermittelt werden dürfen, wenn die Übermittlung bloß gelegentlich erfolgt. Gemäß den Leitlinien des EDSA zu Art 49 DSGVO sind regelmäßige Datenübermittlungen im Rahmen einer dauerhaften Beziehung aber als systematisch und wiederholt anzusehen und gehen damit über einen „gelegentlichen“ Charakter hinaus.
In einem solchen Fall können daher viele im Rahmen einer Geschäftsbeziehung erfolgende Datenübermittlungen nicht auf Art 49 Absatz 1 lit b) DSGVO gestützt werden. Dies trifft daher wohl auch auf die regelmäßige Überlassung von personenbezogenen Daten durch europäische Niederlassungen an ihre amerikanischen (Mutter-)Gesellschaften zur Durchführung der eigentlichen Datenverarbeitung zu.
Andere Länder
Die vom EuGH aufgestellten Grundsätze und Schwellenwerte für Übermittlungen in die USA gelten nach Ansicht des EDSA auch für jedes andere Drittland. Diesbezüglich wird der EDSA, um Kohärenz zu gewährleisten, ausarbeiten, wann Übermittlungen in Drittländer verboten werden müssen. Im Wesentlichen führt dies aber zu einer weiteren Aufsplittung der gesetzlichen Regelung, wonach es mangels Angemessenheitsbeschluss anderer geeigneter Garantien bedarf, um personenbezogene Daten übermitteln zu dürfen.
In Zukunft wird es daher wohl drei Abstufungen geben: (i) Angemessenes Datenschutzniveau – Übermittlung unbeschränkt zulässig; (ii) Kein angemessenes Datenschutzniveau, aber geeignete Garantien (z.B. SCC) können eingehalten werden; (iii) Geeignete Garantien unmöglich – Übermittlung verboten. Letzteres wird neben der USA wohl insbesondere für Länder wie China gelten müssen, aber unter Bezugnahme auf die geheimdienstliche Tätigkeit auch bspw. für Großbritannien.
Zusammenfassung
Auch wenn der EDSA dies (noch) nicht explizit sagt, so bieten wohl auch SCC keine geeigneten Garantien für eine Übermittlung personenbezogener Daten in die USA. Demnach sind SCC auch für Übermittlungen in andere Länder ungeeignet, in denen ein nicht kontrollier- und bekämpfbarer Zugriff auf Daten durch Behörden und Geheimdienste erfolgt, wie bspw. China.
Der EDSA wird aber prüfen, welche zusätzlichen Maßnahmen ergriffen werden könnten um Daten dennoch basierend auf SCC in derart unsichere Drittländer zu übermitteln.