Rechtssatz

Eine Übermittlung personenbezogener Daten (Name, E-Mail) an ein US-Unternehmen ohne gültigen Angemessenheitsbeschluss und ohne ausreichende zusätzliche Garantien verstößt gegen Art. 44 DSGVO. Standarddatenschutzklauseln und technische Maßnahmen können die Schrems-II-Defizite nicht heilen.

 

Sachverhalt

Ein österreichischer Magazinverlag übermittelte Kundendaten (Name und E-Mail-Adresse) an ein US-amerikanisches Marketing-Unternehmen, um E-Mail-Newsletter zu versenden.

Die Weitergabe erfolgte unter Standarddatenschutzklauseln und mit zusätzlichen technischen Schutzmaßnahmen (Verschlüsselung, Nutzungsbedingungen).

Der betroffene Kunde beschwerte sich bei der Datenschutzbehörde und rügte die unzulässige Datenübermittlung in die USA sowie fehlende Informationen gemäß Art. 13 DSGVO.

Die DSB stellte fest, dass der Verlag Art. 44 DSGVO verletzt hatte und auch die Informationspflicht gemäß Art. 13 DSGVO nicht erfüllt hatte.

 

Rechtliche Begründung

Das BVwG bestätigt die Entscheidung der DSB. Kernpunkte:

(1) Im März 2022 gab es keinen gültigen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA. Das EU-US-Data-Privacy-Framework trat erst im Juli 2023 in Kraft.

(2) Standarddatenschutzklauseln sind vertraglicher Natur und binden US-Behörden nicht.

(3) Zusätzliche technische, vertragliche und organisatorische Maßnahmen (wie Verschlüsselung) können die vom EuGH im Schrems-II-Urteil identifizierten Defizite nicht ausgleichen: US-Behörden behielten trotzdem die gleichen Zugriffsmöglichkeiten auf die Daten wie unter dem (ungültigen) EU-US-Datenschutzschild.

(4) Eine nachträgliche Datenmigration in europäische Rechenzentren (März 2023) ändert nichts an der zum Zeitpunkt der Verarbeitung (März 2022) rechtswidrigen Übermittlung.

(5) Bezüglich Art. 13 DSGVO: Der Verlag konnte nicht nachweisen, dass der Kunde zum Zeitpunkt der Datenerhebung die erforderlichen Informationen – insbesondere zur Übermittlung in Drittländer – aktiv erhalten hatte. Eine nachträgliche Mitteilung heilt diese Verletzung nicht, da Art. 13 DSGVO eine antraglose Selbstverantwortung des Verantwortlichen regelt.

 

Fazit

Das BVwG weist die Beschwerde des Verlags ab und bestätigt die teilweise Feststellung der DSB:
Art. 44 DSGVO und Art. 13 DSGVO wurden verletzt. Nach Schrems II ist für Datenübermittlungen in die USA ein gültiger Angemessenheitsbeschluss erforderlich oder es müssen geeignete Garantien bestehen, die den EU-Datenschutz gleichwertig schützen.

Rein technische und vertragliche Maßnahmen reichend nicht aus, um die strukturellen Mängel der US-Datenschutzgesetzgebung (insbesondere hinsichtlich staatlicher Überwachung) zu kompensieren. Die Entscheidung bekräftigt die restriktive Auslegung von Art. 46 DSGVO nach Schrems II.

 

Was bedeutet das für Verantwortliche?

Verantwortliche, die Kundendaten an US-Unternehmen übermitteln, müssen:

(1) Seit Juli 2023 das EU-US-Data-Privacy-Framework nutzen, sofern der US-Partner dieses implementiert hat;

(2) Bei anderen US-Partnern zusätzlich zu Standarddatenschutzklauseln eine Schrems-II-Folgeabschätzung durchführen und prüfen, ob tatsächlich ein gleichwertiger Datenschutz besteht;

(3) Ggf. auf europäische Dienstleister ausweichen;

(4) Sicherstellen, dass alle Informationen gemäß Art. 13 DSGVO (einschließlich Information über Drittlandübermittlung) zum Zeitpunkt der Datenerhebung aktiv, verständlich und leicht zugänglich kommuniziert werden – nicht nur auf einer Website abrufbar machen;

(5) Dokumentation und Nachweis der Informationsvermittlung führen, um die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfüllen zu können.