Was können Verantwortliche tun, wenn sie weiterhin Daten in die USA übermitteln (wollen)?

 

 

Ausgangslage:

 

Mit der Schrems II – Entscheidung des EuGH vom 16.7.2020 (C-311/18) wurde das EU-US-Privacy-Shield als Grundlage der Übermittlung von personenbezogenen Daten in die USA „ausgehebelt“, und gleichzeitig festgehalten, dass

 

-      eine Datenübermittlung von personenbezogenen Daten in die USA nur dann auf Basis von Standard-Contract-Clauses / Standard-Vertragsklauseln zulässig ist,  

-      wenn zusätzliche Maßnahmen getroffen werden,    

-      wobei derzeit nicht klar ist, welche technischen, organisatorischen oder vertraglichen Maßnahmen getroffen werden könnten.

 

Was sind die Standardvertragsklauseln?

Es handelt sich um eine „standardisierte“ vertragliche Vereinbarung zwischen dem Datenexporteur in der EU und dem Datenimporteur (Datenempfänger) in einem Drittland, wobei diese Vereinbarung sicherstellen soll, dass im Empfängerland die Prinzipien des EU-Datenschutzrechts eingehalten werden.

Auf Basis der (abgelösten) EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) erließ die Kommission bereits Standardvertragsklauseln:

Für die Übermittlung an Empfänger, die die Daten als Verantwortliche erhalten, können die

• Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (sog. Set I) (de/en) sowie die
• sog. Alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (sog. Set II) (de/en).

verwendet werden, die jeweils im „Anhang“ zu finden sind.

Für die Übermittlung personenbezogener Daten an Empfänger, die die Daten zum Zwecke der Auftragsdatenverarbeitung erhalten, sind die

• Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern (de / en).

zu verwenden, die im Anhang veröffentlicht sind.

Der Verantwortliche, der Daten übermittelt muss sich vorab klar werden, ob der Empfänger als (eigener) Verantwortlicher die Daten erhält, oder dieser als Auftragsverarbeiter für den übermittelnden Verantwortlichen tätig wird.

Die bisherigen Standardvertragsklauseln bleiben bis zu einer gegenteiligen Beschlussfassung durch die Europäische Kommission auch noch jetzt in Kraft, da diese noch nicht ersetzt wurden.

 

Zusätzliche Maßnahmen nach Schrems II?

Ziel der zusätzlichen Maßnahmen, die zu treffen sind ist es, dass Datenschutzniveau in den USA für die übermittelten personenbezogenen Daten auf ein angemessenes Datenschutzniveau zu heben.

 

Als mögliche „Maßnahmen“ bieten sich an:      

-      technische / organisatorische Maßnahmen

o   Verschlüsselung

o   Psydeudonymisierung

o   Read-Only-Zugriffe aus dem Drittland     

-      Vertragliche Maßnahmen, die jedoch den Datenzugriff nicht per se verhindern können, da diese Vereinbarungen die gesetzlichen Möglichkeiten im Drittland nicht abändern (die Bezugnahmen beziehen sich auf die Standardvertragsklauseln Set I):       

o   Informationspflicht des Vertragspartners bei Zugriffen und rechtlich bindenden Aufforderungen von Behörden zur Herausgabe von personenbezogenen Daten, wobei nicht nur der Datenexporteur (Verantwortlicher) sondern auch die betroffenen Personen informiert werden müssen.   

o   Informationspflicht gegenüber betroffenen Personen bei jeder Übermittlung (nicht nur bei Art 9 Daten) (in Abänderung der Klausel 4f der Standard-Vertragsklauseln)    

o   Sonderkündigungsrecht bei Zugriffen     

o   Verpflichtung des Vertragspartners alle Rechtsmittel bei Zugriffen auszuschöpfen und davor keine personenbezogenen Daten herauszugeben (in Abänderung von Klausel 5d)    

o   Streitfälle sollen nur in Anwendung der Klausel 7 (1) b vor Gerichten von Mitgliedsstaaten abgehandelt werden    

o   Schad- und Klagsloshaltung bei Schäden, Strafen etc…, die durch Zugriffe verursacht werden (Musterklausel; siehe vorletzte Seite)       

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit in Baden-Württemberg hat dazu (am 24.8.2020) Empfehlungen bereits ausgesprochen, und auch „Vertragsklauseln“ dazu bereits formuliert; diese finden Sie hier

 

 

Sonstige Empfehlungen für Datenübermittlungen

Art 49 DSGVO „Ausnahmen für bestimmte Fälle“ kann als Rechtsgrundlage für Datenübermittlungen in die USA uU auch verwendet werden, wobei der Europäische Datenschutzausschuss (siehe Seite 5 der Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679) unter Hinweis auf ErwG 111 die Meinung vertritt, dass dies als „Ausnahme“ restriktiv angewendet werden muss, und nur für nicht dauerhafte, gelegentliche Übermittlungen als Rechtsgrundlage dienen kann, obwohl Art 49 Abs 1 2. Unterabsatz nur davon spricht, dass eine Ausnahme für „den bestimmten Fall“ im Sinne des 1. Unterabsatzes eine taugliche Rechtsgrundlage sein kann.  

 

Grundsätzlich gäbe es daher uU die Möglichkeit, die Übermittlung der Daten in die USA auf Basis einer ausdrücklichen Einwilligung iSd Art 49 Abs (1) lit a DSGVO zu stützen, sofern ein ausreichender Risikohinweis vor Erteilung der Einwilligung und Übermittlung der Daten erfolgt.

                                           

Dieser Risikohinweis muss vor der Einwilligung erfolgen, und die betroffene Person muss über das Risiko Bescheid wissen, das bei der Datenübermittlung besteht.

 

Ein derartiger Hinweis könnte uU lauten wie folgt:

 

Es gibt derzeit in den USA besondere Risiken für die übermittelten personenbezogenen Daten, weil z.B. keine unabhängige Aufsichtsbehörde, keine ausreichenden Vorschriften zum Schutz ihrer personenbezogenen Daten, kein effektiver Rechtschutz gegen eine Verwendung ihrer personenbezogenen Daten, insbes. bei Zugriffen von Sicherheitsbehörden und Geheimdiensten besteht, und Sie ihre Betroffenenrechte, die Sie auf Basis der DSGVO haben (Auskunft, Einschränkung, Berichtigung, Löschung, Widerruf etc..) oder auch ein Beschwerderecht in den USA oder gegenüber Übermttlungsempfängern in den USA nicht erfolgreich durchsetzen können.

 

 

Weitere Rechtsgrundlagen für eine (gelegentliche, nicht dauerhafte) Übermittlung, zB bei Hotel- und Reisebuchungen, Messeteilnahmen etc.. von Mitarbeitern können im Rahmen des Art 49 DSGVO zur Verfügung stehen.