Informationen
Rechtsgebiete
© Copyright 2023– BOEHMERT & BOEHMERT
Neue Standardvertragsklauseln der Kommission
Seit der EuGH das EU-US Privacy Shield im Juli 2020 für nichtig erklärte, bilden die Standardvertragsklauseln der Europäischen Kommission in der Praxis die wesentliche Grundlage für die Zusammenarbeit mit Dienstleistern und Partnern außerhalb der EU. Diese wurden nun grundlegend reformiert und sind spätestens ab dem 27. September 2021 in der neuen Form einzusetzen. Wir stellen die wichtigsten Änderungen und den hieraus resultierenden Handlungsbedarf zusammenfassend dar.
Hintergrund
Die DSGVO schützt personenbezogene Daten von EU-Bürgern auch außerhalb ihres Geltungsbereichs. So dürfen personenbezogene Daten nur dann in Länder außerhalb des Geltungsbereichs der DSGVO (sogenannte Drittländer) übermittelt werden, wenn in diesen Drittländern ein mit der DSGVO vergleichbares, angemessenes Datenschutzniveau gewährleistet ist. Für eine Reihe von Ländern, wie zuletzt auch das Vereinigte Königreich, ist das Datenschutzniveau durch einen Angemessenheitsbeschluss der Kommission positiv festgestellt. Für die meisten Länder existiert aber kein solcher Angemessenheitsbeschluss. Dies gilt auch für die USA, seit der EuGH das seit 2016 geltende EU-US Privacy Shield im Jahr 2020 für nichtig erklärte (Urt. v. 16.07.2020 – C311/18 – Schrems II). Als Alternative rückte damit insbesondere die Möglichkeit in den Fokus, ein angemessenes Datenschutzniveau durch Vereinbarung der Standardvertragsklauseln der Europäischen Kommission (auch Standarddatenschutzklauseln genannt) sicherzustellen.
Eben diese Standardvertragsklauseln überarbeitete nun die Europäische Kommission grundlegend und beschloss sie am 4. Juni 2021 in ihrer neuen Form (Durchführungsbeschluss (EU) 2021/914). Die erneuerten Standardvertragsklauseln sind ab dem 27. September 2021 auf alle Neuvereinbarungen anzuwenden. Für bis dahin begründete Rechtsverhältnisse bleiben die alten Standardvertragsklauseln für weitere 15 Monate anwendbar. Spätestens zum 27. Dezember 2022 müssen jedoch sämtliche Datentransfers in Drittstaaten auf die neuen Standardvertragsklauseln oder ein alternatives Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus umgestellt sein.
Modulares Baukastenprinzip für unterschiedliche Konstellationen
Um die unterschiedlichen Konstellationen internationaler Datentransfers abzudecken, setzen die neuen Standardvertragsklauseln auf ein modulares Baukastenprinzip anstelle der bisherigen Sets unterschiedlicher Dokumente. Dies führt einerseits zu einer erhöhten Flexibilität, zumal nunmehr auch Datentransfers zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern und zwischen Auftragsverarbeitern und Verantwortlichen zusätzlich abgedeckt sind. Andererseits gewinnt die Anwendung der Standardvertragsklauseln damit an Komplexität, zumal es bei dem Grundsatz bleibt, dass die Klauseln nur dann als geeignete Garantie zur Sicherstellung eines angemessenen Datenschutzniveaus gelten, wenn sie im Wesentlichen unverändert genutzt werden.
Muster-Auftragsverarbeitungsvereinbarung inklusive
Neben der Garantie eines angemessenen Datenschutzniveaus dienen die neuen Standardvertragsklauseln in Auftragsverarbeitungskonstellationen ausdrücklich auch der Erfüllung der Pflichten nach Art. 28 Abs. 3 und Abs. 4 DSGVO zum Abschluss einer ordnungsgemäßen Auftragsverarbeitungsvereinbarung. Sie sind damit gleichzeitig Muster-Auftragsverarbeitungsvereinbarung. Zu diesem Zweck beschloss die Europäische Kommission zu den Klauseln für Drittstaatentransfers auch separate Mustervertragsklauseln, die in Auftragsverarbeitungskonstellationen im Inland verwendet werden können (Durchführungsbeschluss (EU) 2021/915). Da die Verwendung dieser Klauseln nicht zwingend ist, bleibt abzuwarten, ob sie sich in der Praxis im Vergleich zu den zahlreichen frei verfügbaren Musterklauseln durchsetzen werden.
Neue Prüf- und Dokumentationspflichten zur Umsetzung von Schrems II
Die neuen Standardvertragsklauseln sind an unterschiedlichen Stellen erkennbar darauf ausgerichtet, die durch den EuGH in Schrems II aufgezeigten Risiken im Rahmen von Drittstaatentransfers im Hinblick auf den Zugriff auf Daten durch öffentliche Stellen zu begegnen. Allerdings lösen sie nicht die hieraus für die Anwender entstehende praktische Problematik. So fordert der EuGH von den Anwendern der Standardvertragsklauseln explizit eine Prüfung der im Empfängerland geltenden gesetzlichen Vorgaben daraufhin, ob es dem Datenempfänger überhaupt möglich ist, die Vorgaben der Standardvertragsklauseln zu erfüllen. Lassen diese Vorschriften, wie in den USA, einen aus Sicht des EuGH nicht mit den europäischen Standards vereinbaren Zugriff durch öffentliche Stellen zu, sind durch die Parteien zusätzliche organisatorische und technische Maßnahmen zu treffen, um diesen Risiken wirksam zu begegnen.
Die neuen Standardvertragsklauseln manifestieren diese Prüfpflicht, indem den Vertragsparteien eine vorherige Folgenabschätzung auferlegt wird, deren Ergebnis zu dokumentieren ist und in deren Folge beide Parteien versichern müssen, dass keine Bedenken an der Möglichkeit zur Einhaltung der europäischen Datenschutzstandards bestehen. Die Klauseln enthalten auch Pflichten des Datenempfängers zur Mitteilung über Anfragen öffentlicher Stellen und zur Ausschöpfung des Rechtswegs, wo eine solche untersagt ist.
Ausblick und Handlungsempfehlung
Die neuen Standardvertragsklauseln fügen sich zweifellos besser in die Regelungssystematik der DSGVO ein und bieten mit ihrer erhöhten Flexibilität und der vertraglichen Einbeziehung der Vorgaben des EuGH aus Schrems II auch praktische Vorteile. Die vertraglich manifestierte Folgenabschätzung im Hinblick auf die im Empfängerland geltenden gesetzlichen Vorgaben erscheint zunächst als Verschärfung, setzt aber letztlich nur die ohnehin geltende Rechtslage um. Tatsächlich könnte die unmittelbare Einbindung in die Standardvertragsklauseln die praktische Bereitschaft von Drittstaaten-Dienstleistern erhöhen, an einer entsprechenden Prüfung und der Abhilfe erkannter Risiken durch technische und organisatorische Maßnahmen mitzuwirken.
Solange auf politischer Ebene keine echte Alternative zur Vereinbarung der Standardvertragsklauseln geschaffen wird, führt im Rahmen der Zusammenarbeit mit Dienstleistern in Drittstaaten, wie den USA, kein Weg an den neuen Klauseln vorbei. Die aktuelle Bedeutung und Brisanz der Thematik zeigen auch jüngste Maßnahmen der deutschen Aufsichtsbehörden, die im Juli 2021 in einer koordinierten Schwerpunktprüfung deutschlandweit Fragebögen betreffend den Umgang mit Drittstaatentransfers nach Schrems II an Unternehmen versendet haben. Entsprechende Prüfungen sind insbesondere im zeitlichen Zusammenhang mit den Umstellungsfristen für die Verwendung der neuen Standardvertragsklauseln zum 27. September 2021 und 27. Dezember 2022 zu erwarten.
Vor diesem Hintergrund sollten alle in der EU ansässigen Unternehmen vorbereitet sein, wobei folgende Maßnahmen für eine praktikable Umsetzung der rechtlichen Vorgaben empfehlenswert erscheinen:
- Durchführung eines internen Screenings auf Prozesse, die einen Transfer von Daten in Drittstaaten, wie die USA, beinhalten (z.B. im Rahmen von Website-Tracking, Softwaretools etc.);
- Prüfung geeigneter Alternativanbieter mit Sitz innerhalb der Europäischen Union;
- Vorbereitung verschiedener Fassungen der Standardvertragsklauseln nach den eigenen Bedürfnissen;
- Vorbereitung eines standardisierten Prozesses für die Folgenabschätzung zu Drittstaatentransfers und eines Kataloges geeigneter, technischer und organisatorischer Maßnahmen zur Reduzierung erkannter Risiken;
- Laufende Dokumentation und Überprüfung der getroffenen Maßnahmen, als Nachweis zur Vorlage bei der Datenschutzaufsicht.
Bei Fragen zu den neuen Standardvertragsklauseln oder allgemein zur Thematik Drittstaatentransfer sprechen Sie uns jederzeit gerne an.
Silke Freund und Dr. Sebastian Engels mit Beitrag im „International Comparative Legal Guide – Copyright Laws and Regulations 2021″
Die Global Legal Group hat eine neue Ausgabe des „International Comparative Legal Guide“ zum Thema Urheberrecht publiziert. Der Leitfaden wendet sich speziell an Unternehmensjuristen und bietet umfassende Informationen zu Urheberrechtsgesetzen und -bestimmungen für bislang 18 Länder von Australien bis Zimbabwe.
Den Part für Deutschland haben die BOEHMERT & BOEHMERT Anwälte Silke Freund und Dr. Sebastian Engels übernommen. Unter dem Titel „Germany: Copyright Laws and Regulations 2021“ vermitteln sie in ihrem Artikel einen Einblick in die deutsche Rechtslage und befassen sich in sieben Kapiteln mit allgemeinem Fragen zum Urheberrecht, zur Inhaberschaft und Rechteverwertung, zur rechtlichen Durchsetzung sowie zu Straftaten und aktuellen Entwicklungen.
Der vollständige Artikel ist online hier abrufbar und steht darüber hinaus als PDF zum Download zur Verfügung.
EuGH erklärt Privacy-Shield für unwirksam
Mit Urteil vom 16.07.2020 (C-311/18) erklärte der EuGH das EU-US-Privacy-Shield für unwirksam. Dieses war bislang für zahlreiche US-Dienstleister Grundlage einer DSGVO konformen Übermittlung von personenbezogenen Daten von EU-Bürgern. Das Urteil macht es für alle international tätigen Unternehmen aber auch für Unternehmen, die lediglich mit Dienstleistern außerhalb der EU zusammenarbeiten, erforderlich, die Datentransfers in Drittländer, insbesondere in die USA, einer tieferen Prüfung zu unterziehen.
Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH das EU-US-Privacy-Shield, welches für zahlreiche US-Dienstleister Grundlage einer DSGVO konformen Übermittlung und Verarbeitung von personenbezogenen Daten von EU-Bürgern war, für unwirksam erklärt. Auch bezüglich der Standardvertragsklauseln der Europäischen Kommission, die ein alternatives Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus im Verkehr mit Drittstaaten wie den USA darstellen, wirft die Entscheidung Fragen auf. Der Gerichtshof stellt klar, dass der bloße Abschluss der Standardvertragsklauseln kein Garant (mehr) für eine DSGVO konforme Datenverarbeitung sein kann. Das Urteil macht es damit für alle international tätigen Unternehmen aber auch für Unternehmen, die in Bezug auf personenbezogene Daten lediglich mit Dienstleistern außerhalb der EU zusammenarbeiten, erforderlich, die Datentransfers in Drittländer einer tiefergehenden Prüfung zu unterziehen.Dies gilt für die USA aber auch für alle anderen Drittstaaten, für welche kein Angemessenheitsbeschluss der Kommission existiert.
Hintergrund
Die DSGVO schützt die personenbezogenen Daten von EU-Bürgern nicht nur innerhalb der Europäischen Union. Die DSGVO verlangt auch, dass personenbezogene Daten nur dann in Länder außerhalb des Geltungsbereichs der DSGVO (sogenannte Drittländer) übermittelt werden dürfen, wenn in diesen Drittländern ein mit der DSGVO vergleichbares, angemessenes Datenschutzniveau gewährleistet ist. Für eine Reihe von Ländern ist dieses angemessene Datenschutzniveau durch einen Angemessenheitsbeschluss der Kommission positiv festgestellt. Dies galt bislang auch für die USA, allerdings mit der Besonderheit, dass der Angemessenheitsbeschluss nicht per se für die gesamte USA galt, sondern nur für Unternehmen, die sich nach den Regelungen des EU-US-Privacy-Shield zertifiziert und damit den Regelungen dieses Abkommens unterworfen hatten. Das EU-US-Privacy-Shield folgte im Jahr 2016 auf das sogenannte „Safe Harbor Abkommen“, welches der EuGH mit Urteil vom 6. Oktober 2015 (Az.: C-362/14) aufgrund Unvereinbarkeit mit den europäischen Datenschutzstandards für unwirksam erklärt hatte.
Alternativ zu einem solchen Angemessenheitsbeschluss sieht die DSGVO weitere Mechanismen vor, mit denen ein angemessenes Datenschutzniveau sichergestellt werden kann. Eine praktisch besonders bedeutsame Alternative sind die Standardvertragsklauseln der Europäischen Kommission (auch Standarddatenschutzklauseln genannt), die unmittelbar zwischen dem Daten exportierenden Unternehmen und dem Daten importierenden Unternehmen abgeschlossen werden.
Das Urteil
Mit Urteil vom 16.07.2020 erklärte der EuGH nun auch den Angemessenheitsbeschluss zum EU-US-Privacy-Shield für unwirksam und entzieht damit einem Großteil der aktuell stattfindenden Datentransfers in die USA die rechtliche Grundlage. Auch in Bezug auf die alternativ nutzbaren Standardvertragsklauseln sind dem Urteil Ausführungen zu entnehmen, welche die Tauglichkeit dieses Instrumentes zur Sicherstellung eines angemessenen Datenschutzniveaus in Bezug auf Datentransfers in die USA in Frage stellen.
In Bezug auf das EU-US-Privacy-Shield kommt der EuGH zusammengefasst zu dem Schluss, dass dieses nicht mit den Vorgaben der DSGVO in Einklang zu bringen ist, da es insbesondere die den amerikanischen Sicherheitsbehörden gesetzlich zuerkannten Zugriffsrechte auf personenbezogene Daten nicht in verhältnismäßiger Weise beschränkt. Darüber hinaus eröffnet es den betroffenen Personen keinen wirksamen Rechtsweg, gegen unrechtmäßige Eingriffe durch amerikanische Behörden vorzugehen.
Im Ergebnis wurde der Angemessenheitsbeschluss zum EU-US-Privacy-Shield damit für unwirksam erklärt, so dass auf dieser Grundlage ein rechtmäßiger Datentransfer in die USA nicht mehr möglich ist.
Im Gegensatz dazu stellte der Gerichtshof zum Beschluss der Kommission über die Standardvertragsklauseln explizit fest, dass die rechtliche Prüfung keine Anhaltspunkte ergeben habe, die die Gültigkeit des Beschlusses berühren könnten. Die Standardvertragsklauseln bleiben damit als potentielle Grundlage für Datentransfers in Drittländer erhalten. Allerdings stellt das Urteil auch in Bezug auf die Standardvertragsklauseln fest, dass die Beurteilung, ob auf Grundlage der Standardvertragsklauseln ein angemessenes Datenschutzniveau besteht, sich sowohl nach den vertraglichen Verpflichtungen als auch danach richtet, ob die Rechtsordnung des Drittlandes, insbesondere im Hinblick auf den Zugriff auf Daten durch Behörden, ein angemessenes Datenschutzniveau gewährleistet. Gleichzeitig läge es in der Verantwortung der datenverarbeitenden Unternehmen zu prüfen, ob das Daten importierende Unternehmen rechtlich überhaupt in der Lage ist, die vertraglichen Verpflichtungen einzuhalten und im Zweifel den Datentransfer auszusetzen und zu unterbinden. Betrachtet man die grundsätzlichen Bedenken des Gerichtshofs, die zu der Unwirksamkeit des Privacy Shield geführt haben, bestehen damit grundlegende Zweifel an der Tauglichkeit der Standardvertragsklauseln, faktisch ein angemessenes Datenschutzniveau für Datentransfers in die USA zu gewährleisten.
Schließlich statuiert der Gerichtshof für die nationalen Datenschutzaufsichtsbehörden eine Verpflichtung, die Einhaltung der vertraglichen Regelungen zwischen den beteiligten Unternehmen zu prüfen und einzuschreiten, sollten diese nicht eingehalten werden (können).
Folgen des Urteils
Das Urteil betrifft nicht nur die Datenübermittlung in die USA, sondern alle Datenübertragungen in Drittländer, für die kein Angemessenheitsbeschluss der Kommission existiert.
Einzelvereinbarungen zwischen den beteiligten Unternehmen, Binding Corporate Rules (Verbindliche unternehmensinterne Datenschutzvorschriften) und Standardvertragsklauseln können zwar weiterhin als Grundlage für Datentransfers in Drittstaaten genutzt werden. Allerdings sollte zukünftig ein stärkeres Augenmerk darauf geworfen werden, ob die rechtlichen Vorgaben am Sitz des Datenimporteurs die Einhaltung der vereinbarten Regelungen zum Datenschutz überhaupt zulassen. In Umsetzung des Urteils des EuGH werden auch die zuständigen Datenschutzaufsichtsbehörden hierauf einen stärkeren Fokus setzen, wobei im Sinne einer einheitlichen Rechtsanwendung und höheren Rechtssicherheit die Erarbeitung einer gemeinsamen Position im Hinblick auf einzelne Drittsatten wünschenswert wäre.
Was jetzt zu tun ist
- Es ist zwar zu erwarten, dass sich die europäischen Datenschutzbehörden zeitnah zu dem Urteil des EuGH positionieren; dennoch ist schnelles Handeln geboten, denn es gibt keine Übergangsfrist.
- Jegliche Datenübermittlung, die sich allein auf das EU-US-Privacy-Shield stützt, ist seitdem 16.07.2020 unrechtmäßig und sollte umgehend ausgesetzt werden, bis eine alternative Grundlage für den Datentransfer in die USA gefunden wurde.
- Bei einem Datentransfer auf Grundlage vertraglicher Regelungen, wie den Standardvertragsklauseln der Kommission, ist insbesondere im Hinblick auf die USA kritisch zu prüfen, ob die vertraglichen Verpflichtungen im Drittland überhaupt eingehalten werden können. Eventuell kann jedenfalls für eine Übergangszeit, bis sich eine abgestimmte Position der Datenschutzbehörden herauskristallisiert, versucht werden, durch zusätzliche vertragliche Regelungen den Bedenken des Gerichtshofs gezielt entgegen zu wirken.
- Gegebenenfalls kann ein Datentransfer auch aufgrund des Ausnahmetatbestands des Art. 49 DSGVO, insbesondere auf Grundlage einer ausdrücklichen Einwilligung erfolgen, wobei die rechtlichen Anforderungen an eine wirksame Einwilligung eingehalten werden müssen, soweit kein anderer Ausnahmetatbestand einschlägig sein sollte.
Nicht zuletzt aufgrund des klaren Auftrags zum Tätigwerden, den der EuGH an die zuständigen Datenschutzaufsichtsbehörden richtet, sollte die praktische Relevanz des Urteils nicht unterschätzt werden.
Silke Freund und Dr. Sebastian Engels mit Beitrag im „International Comparative Legal Guide – Digital Business 2020“
Die Global Legal Group hat die erste Ausgabe des „International Comparative Legal Guide – Digital Business 2020“ veröffentlicht. Der Leitfaden wendet sich speziell an Unternehmensjuristen und bietet eine rechtsvergleichende Analyse der aktuellen rechtlichen Vorgaben und Themen für digitale Geschäftsfelder.
Unter dem Titel „Digital Business Laws and Regulations – Germany“ geben die BOEHMERT & BOEHMERT Anwälte Silke Freund und Dr. Sebastian Engels einen Einblick aus deutscher Perspektive.
In elf Kapiteln befassen sie sich dabei mit Vorschriften für den elektronischen Geschäftsverkehr, Datenschutz, Cybersicherheit, kulturellen Normen, Markenrecht im Onlinebereich, Cloud-Computing sowie weiteren digitalen Themengebieten.
Der vollständige Artikel ist hier online oder auch als PDF abrufbar.
Brexit und Datenschutzrecht – falls das UK ungeregelt zu einem Drittland wird
Im Falle eines ungeregelten harten Brexit würde auch das EU-Datenschutzrecht mit voller Härte zuschlagen: Das Vereinigte Königreich würde von heute auf morgen zu einem „normalen“ Drittland und datenschutzrechtlich auch so behandelt. Eine Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich wäre nur unter Einhaltung besonderer Bedingungen zulässig.
Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein unionsweites einheitliches Datenschutzniveau begründet, was einen freien Datenaustausch zwischen Stellen innerhalb der EU erlaubt: Da in sämtlichen EU-Mitgliedsstaaten (grundsätzlich) dasselbe Datenschutzrecht gilt, dürfen personenbezogene Daten innerhalb der Union (binnen-) grenzüberschreitend ohne besondere Bedingungen übermittelt werden, denn sie sind hier wie dort über die DSGVO gleichermaßen gut geschützt.
Datentransfer in Drittländer: Nur unter besonderen Voraussetzungen
Sobald das Vereinigte Königreich die EU verlässt, wird es von einem Tag auf den anderen zu einem Drittland. In ein Drittland dürfen nach den Vorgaben der DSGVO personenbezogene Daten anders als innerhalb der Union nur dann übermittelt werden, wenn besondere Voraussetzungen erfüllt sind, auf die unten näher eingegangen wird.
Erfolgt der Brexit ungeregelt, d. h. ohne besondere Vereinbarung zwischen der Union und dem Königreich, gilt dies auch für das UK – sofort und unmittelbar, und zwar ab dem 29. März 2019 um 0:00 Uhr MEZ, ohne jede Übergangsfrist, wie sie noch in dem am 15. Januar 2019 von dem britischen Unterhaus abgelehnten Übergangsabkommen vom 14. November 2018 in dem dortigen Artikel 71 vorgesehen war: Bis Ende des Jahres 2020 sollte die DSGVO fortgelten. Für die Zeit danach sollte ein nationales britisches Recht etabliert werden, das im Wesentlichen denselben Datenschutz in dem Vereinigten Königreich gewähren soll, wie innerhalb der Union.
Was bedeutet dies für Unternehmen mit Sitz in der EU?
Ein ungeregelter Brexit trifft datenschutzrechtlich vor allem die „Hinterbliebenen“ in der EU, nämlich die dort ansässigen Unternehmen, die mit dem UK Daten austauschen möchten: Sie sind dann sog. „Datenexporteure“ und deshalb auch diejenigen, welche die Voraussetzungen für eine datenschutzkonforme Übermittlung schaffen müssen. Werden die Voraussetzungen nicht erfüllt, darf eine Datenübermittlung in das Drittland nicht erfolgen. Erfolgt sie dennoch, begehen in erster Linie sie einen Datenschutzverstoß. Es liegt also im unmittelbaren eigenen Interesse der EU-Unternehmen, die Vorgaben der DSGVO für einen Drittlandtransfer einzuhalten.
Die Sondervorschriften der DSGVO für den Datenexport in Drittländer verfolgen das Ziel, die personenbezogenen Daten und die Personen, auf die sie sich beziehen, auch im Drittland so gut wie möglich zu schützen. Der Drittlandtransfer ist nur zulässig, wenn
- die Europäische Kommission in Bezug auf das konkrete Drittland durch Angemessenheitsbeschluss festgestellt hat, dass dort ein angemessenes Datenschutzniveau gewährleistet wird,
- oder besondere geeignete Garantien vorgesehen sind,
- oder die Übermittlung über eine der Ausnahmevorschriften gerechtfertigt werden kann.
Im Einzelnen:
- Angemessenheitsbeschluss der Kommission
In Bezug auf einige Drittländer hat die Europäische Kommission im Beschlusswege festgestellt, dass dort ein angemessenes Datenschutzniveau besteht. Hierzu zählen z. B. Kanada, Japan, die Schweiz und Israel. In diese Länder dürfen personenbezogene Daten übermittelt werden, ohne zusätzliche Voraussetzungen zu schaffen.
In Bezug auf das UK existiert kein Angemessenheitsbeschluss der Kommission, und es ist auch nicht damit zu rechnen, dass ein derartiger Beschluss zeitnah ergehen wird. In einer Mitteilung der Kommission vom 13. November 2018 hieß es hierzu schlicht: „ (…) the adoption of an adequacy decision is not part of the Commission’s contingency planning.“
- Vorsehen „geeigneter Garantien“
Ein Datenexport in Drittländer ist zulässig, wenn von dem Datenexporteur „geeignete Garantien“ vorgesehen werden, die ein ausreichendes Datenschutzniveau herstellen. Hierzu zählt vor allem der Einsatz der von der Kommission genehmigten „EU-Standardvertragsklauseln“ zwischen dem Datenexporteur und dem Dritten im Drittland. Diese Musterverträge sind aktuell wohl grundsätzlich, in modifizierter Form, noch einsetzbar, aber auch nicht frei von Bedenken. Sie stehen im Rahmen eines beim EuGH anhängigen Verfahrens auf dem Prüfstand, wobei es nicht unwahrscheinlich ist, dass diese Klauseln dasselbe Schicksal ereilen könnte wie einst das Safe-Harbor-Abkommen, das vom EuGH für unzulässig erklärt wurde.
Als „geeignete Garantien“ gelten z. B. auch verbindliche interne Datenschutzvorschriften (sog. Bindung Corporate Rules) innerhalb von Konzernen, die allerdings zuvor von den Aufsichtsbehörden zu genehmigen sind.
- Ausnahmen für bestimmte Fälle
Die DSGVO sieht eine Reihe von „Ausnahmen für bestimmte Fälle“ vor, in denen eine Datenübermittlung in ein Drittland auch ohne Angemessenheitsbeschluss und ohne „geeignete Garantien“ zulässig ist. Hierzu zählt vor allem der Fall, dass die betroffene Person, nach einer obligatorischen Aufklärung über die möglichen Risiken in die Übermittlung, ausdrücklich in die Übermittlung eingewilligt hat. Auch dürfen bspw. personenbezogene Daten in ein Drittland übermittelt werden, sofern dies für die Erfüllung eines mit der betroffenen Person geschlossenen oder im Interesse dieser Person geschlossenen Vertrages erforderlich ist.
Ob der Transfer mit den Ausnahmen gerechtfertigt ist, sollte im Einzelfall sorgfältig geprüft werden.
Zu beachten ist, dass nicht nur die Rechtmäßigkeit des Drittlandtransfers sicherzustellen ist, sondern er auch im Rahmen der Informationspflichten Berücksichtigung findet. Die Betroffenen sind über den geplanten Drittlandtransfer ebenso zu informieren, wie darüber, wie das angemessene Datenschutzniveau sichergestellt werden soll.
Was bedeutet dies für Unternehmen mit Sitz im UK?
Die DSGVO ist Unionsrecht und gilt unmittelbar in sämtlichen EU-Mitgliedsstaaten. Man möchte meinen, dass sie somit nach dem EU-Austritt des Königreichs für Unternehmen mit Sitz im UK keine Rolle mehr spielt. Dies jedoch ist nicht der Fall: Auch Unternehmen mit Sitz in Drittländern unterfallen vollständig den Regeln der DSGVO jedenfalls dann, wenn sie vom UK aus in der Union Waren oder Dienstleistungen anbieten und in diesem Zusammenhang personenbezogene Daten von Personen verarbeiten, die sich in der Union befinden. Ein britischer Online-Shop bspw., der in die EU hinein Waren anbietet und verkauft, unterliegt uneingeschränkt den Spielregeln des EU-Datenschutzrechts. Dasselbe gilt, wenn aus dem Drittland heraus das Verhalten von Personen in der EU beobachtet wird (z. B. über ein Webtracking).
Für derartige UK-Unternehmen bedeutet der ungeregelte Brexit also: Sie unterliegen einerseits aufgrund ihrer Aktivitäten in der EU den strengen EU-Datenschutzregeln, kommen aber andererseits als Unternehmen in einem Drittland nicht (mehr) in den Genuss des freien Datenverkehrs.
Prüfungsstufe 1 nicht vergessen
Die Frage, ob und unter welchen Voraussetzungen die Übermittlung von Daten in ein Drittland zulässig ist, betrifft die Stufe 2 der Prüfung, ob die Daten von einer Stelle an eine andere übermittelt werden dürfen. Unabhängig davon, ob der Empfänger der Daten nun innerhalb oder außerhalb der Union sitzt, ist zusätzlich auf der ersten Stufe zu prüfen, ob die Übermittlung an einen Dritten überhaupt statthaft ist. Hierfür bedarf es immer zusätzlich einer entsprechenden Rechtsgrundlage.
Fazit
Ein ungeregelter Brexit muss insbesondere auch von Unternehmen mit Sitz in der EU, die personenbezogene Daten in das Vereinigte Königreich übermitteln wollen, vorbereitet werden. Es ist zu prüfen, auf welcher rechtlichen Grundlage der Drittlandtransfer ab dem Stichtag des Brexit datenschutzkonform erfolgen kann, und es müssen entsprechende Maßnahmen ergriffen werden.
Countdown zur Datenschutzgrundverordnung –Informationspflichten unter der DSGVO
Mit der DSGVO sind neue und teilweise abweichende Regelungen in Bezug auf datenschutzrechtliche Informationspflichten eingeführt worden. Unternehmen sollten hier insbesondere ihre Datenschutzerklärungen und Einwilligungsprozesse prüfen, um Bußgelder und Abmahnungen zu vermeiden. Dabei kann man die Umstellung auf die DSGVO durchaus als Chance betrachten, bisherige Schwachstellen in Bezug auf die Transparenz in der Datenverarbeitung und die Wirksamkeit bestehender Einwilligungserklärungen zu beseitigen.
Transparenz im Umgang mit personenbezogenen Daten ist ein integraler Bestandteil des Datenschutzes. Betroffene sollen stets die Möglichkeit haben, nachzuvollziehen, wer welche Daten wann zu welchem Zweck verarbeitet. Entsprechend enthält das Datenschutzrecht eine Vielzahl von Informationspflichten, die eine entsprechende Transparenz der Datenverarbeitung sicherstellen sollen.
Informationspflichten bei Erhebung von Daten
Die seit dem 25. Mai 2018 geltende DSGVO enthält einen umfangreichen Katalog an Informationspflichten, die sich unter anderem in Artikel 13 und Artikel 14 DSGVO wiederfinden. Zusätzlich enthält Artikel 12 DSGVO konkrete Vorgaben zur Form der Information, die in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
Art. 13 und Art. 14 DSGVO enthalten eine Auflistung der Informationen, die dem Betroffenen zwingend mitgeteilt werden müssen. Dabei ist von besonderer Relevanz, dass gemäß Art. 14 DSGVO eine entsprechende Information der Betroffenen gerade auch dann erfolgen muss, wenn die Daten nicht unmittelbar beim Betroffenen, sondern aus einer anderen Quelle, z.B. aus dem Internet oder über einen Lead Provider, erhoben werden. Von diesem Grundsatz sieht Art. 14 zwar eine Reihe von engen Ausnahmen vor, die jedoch insbesondere bei der Erhebung von personenbezogenen Daten zum Zwecke der gewerblichen Nutzung regelmäßig nicht einschlägig sein dürften.
Weitere Informations- und Auskunftspflichten
Neben Art. 13 und Art. 14 DSGVO enthält die Datenschutzgrundverordnung weitere Auskunfts- und Informationspflichten, die teilweise über die bisherigen Verpflichtungen hinausgehen. So hat die verantwortliche Stelle etwa gemäß Art. 15 DSGVO dem Betroffenen auf Anfrage umfassend Auskunft über die zu ihm gespeicherten Daten und deren Verarbeitung zu erteilen. Soweit sich eine verantwortliche Stelle für die Datenverarbeitung auf ein berechtigtes Interesse beruft, ist der Betroffene gemäß Art. 21 Abs. 4 DSGVO über sein Widerspruchsrecht zu informieren.
Die Einwilligung nach der DSGVO
Von besonderer Bedeutung ist die Transparenz der Datenverarbeitung auch im Zusammenhang mit der Einholung einer Einwilligung zur Datenverarbeitung, was von den verantwortlichen Stellen häufig übersehen wird. Dabei ist die Einhaltung der Transparenzregeln und Informationspflichten gerade in diesem Zusammenhang wichtig, da mangelnde Transparenz hier im Zweifel zu einer Unwirksamkeit der Einwilligung und damit zur Rechtswidrigkeit der auf Grundlage der Einwilligung erfolgten Datenverarbeitung insgesamt führen kann.
Insbesondere bei der Einholung der Einwilligung durch vorformulierte Texte ist darauf zu achten, dass aus dem Einwilligungstext in verständlicher, klarer und einfacher Sprache die Art, der Zweck und der Umfang der Datenverarbeitung deutlich wird, um die erforderliche „Informiertheit“ der Einwilligung sicherzustellen. Darüber hinaus ist der Betroffene zwingend auf sein Recht zum Widerruf der Einwilligung hinzuweisen. Die Einwilligung muss schließlich aktiv erteilt werden, sodass eine stillschweigende Annahme der Erklärung nicht in Betracht kommt.
Praktische Relevanz weist die Frage auf, inwieweit in der Vergangenheit, d. h. vor dem 25. Mai 2018, eingeholte Einwilligungen unter Geltung der DSGVO weiterhin wirksam sind. Aus dem Erwägungsgrund 171 der DSGVO ergibt sich, dass bestehende Einwilligungen wirksam bleiben, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Entsprechend sieht auch der Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz (Düsseldorfer Kreis) bisher rechtswirksame Einwilligungen zumindest grundsätzlich als weiterhin wirksam an, wenn sie im Einklang mit den Voraussetzungen des BDSG in der alten Fassung eingeholt wurden. Dies gilt aber nicht für Einwilligungen von Minderjährigen, die bei Erteilung der Einwilligung das sechszehnte Lebensjahr noch nicht vollendet hatten, denn unter Geltung der DSGVO können Minderjährige unter sechzehn Jahren eine Einwilligung nicht ohne Zustimmung der Erziehungsberechtigten erteilen.
Vor dem Hintergrund der verschärften Haftung für Datenschutzverstöße unter der DSGVO empfehlen wir jedoch, bestehende Einwilligungen in jedem Fall nochmals kritisch auf ihre Vereinbarkeit mit den Anforderungen der DSGVO zu prüfen. Insoweit ist auch zu berücksichtigen, dass die Bereitschaft von betroffenen Kunden zur Abgabe einer Einwilligung im Zusammenhang mit der Umstellung auf die DSGVO deutlich erhöht sein dürfte. Entsprechend ist die Umstellung auf die DSGVO auch als Chance zu sehen, in Bezug auf die datenschutzrechtlichen Einwilligungen „nachzubessern“ und rechtliche Risiken für die Zukunft zu vermeiden.
Fazit
Die DSGVO bringt neue und teilweise abweichende Regelungen in Bezug auf Informationspflichten. Unternehmen sollten hier insbesondere ihre Datenschutzerklärungen und Einwilligungsprozesse prüfen, um zukünftig Bußgelder und Abmahnungen zu verhindern. Dabei ist die Umstellung auf die DSGVO durchaus als Chance zu betrachten, bisherige Schwachstellen in Bezug auf die Transparenz in der Datenverarbeitung und die Wirksamkeit bestehender Einwilligungserklärungen zu beseitigen.
Countdown zur Datenschutzgrundverordnung
In weniger als sieben Monaten am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung in Kraft. Diese bringt neben einer Reihe neuen Pflichten und veränderten Vorgaben für datenverarbeitende Unternehmenauch erheblich verschärfte Bußgeldvorschriften mit sich. Mit unserer Informationsreihe „Countdown zur Datenschutzgrundverordnung“ möchten wir als Grundlage für eine rechtzeitige Überprüfung der eigenen Datenverarbeitungsprozesse einen Überblick zu den praktisch relevantesten Neuerungen im zukünftigen Datenschutzrecht geben.
Unternehmen, die persönliche Daten ihrer Mitarbeiter oder Kunden in der Europäischen Union erheben oder nutzen, sollten sich den 25. Mai 2018 im Kalender markieren, und dies am besten in roter Farbe, denn an diesem Tag wird ein juristischer Hebel umgelegt:
Das alte Datenschutzrecht geht, das neue kommt. Für Unternehmen geht hiermit ein erheblicher Umstellungsbedarf einher, und wer bislang das Thema Datenschutzrecht nicht auf der Agenda hatte, sollte dies spätestens jetzt nachholen. Betroffen sind nicht nur Unternehmen, bei denen der Umgang mit personenbezogenen Daten Gegenstand ihres Geschäftsmodells ist, sondern letztlich jedes Unternehmen.
Den 25. Mai 2018 im Kalender zu markieren genügt aber nicht, denn die Umstellungzum neuen Datenschutzrecht muss vorbereitet werden. Da die Datenschutzgrundverordnung keine Übergangsfrist vorsieht, müssen zum Stichtag sämtliche Datenverarbeitungsvorgänge den neuen Vorschriften entsprechen.
In diesem Sonderartikel möchten wir überblicksweise einige wichtige Aspekte und neue Regelungen anreißen. In den nächsten Newsletterausgaben werden wir unter der Überschrift „Countdown zur DSGVO“ einzelne besonders relevante Themen, aus denen sich unbedingter Umstellungsbedarf ergibt, näher beleuchten.
Neue Gesetze, neues Datenschutzrecht
Grundlage des neuen Datenschutzrechts ist die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), die ab dem 25. Mai 2018 in sämtlichen EU-Mitgliedsstaaten einheitlich anzuwenden ist. Durch die unmittelbare Anwendbarkeit der DSGVO in sämtlichen EU-Mitgliedsstaaten sollen die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht, also das EU-Datenschutzrecht harmonisiert werden.
Die Regelungen der DSGVO ersetzen unmittelbar das noch bis zum 24. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG); dieses tritt außer Kraft und ist ab diesem Tag nicht mehr anwendbar. Obschon die DSGVO bezweckt, das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen, enthält es an verschiedenen Stellen sogenannte „Öffnungsklauseln“, die es den EU-Mitgliedsstaaten erlauben, hinsichtlich einzelner Aspekte unterschiedliche Wege zu gehen, das heißt bestimmte Bereiche individuell auszugestalten. Dies erfolgt in Deutschland durch ein grundlegend neues Bundesdatenschutzgesetz, das auch so heißen und wieder mit BDSG abgekürzt werden wird.
Ab dem 25. Mai 2018 werden also die Regelungen der DSGVO einerseits und die des neuen BDSG andererseits gleichzeitig zu berücksichtigen sein.
Was wird sich ändern?
Viele datenschutzrechtliche Mechanismen und Grundsätze, die aus dem bisherigen Datenschutzrecht bekannt sind, finden sich auch im neuen Datenschutzrecht.
Dies gilt beispielsweise für den auch künftig geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt: Die Benutzung personenbezogener Daten ist weiterhin grundsätzlich verboten und nur dann erlaubt, wenn die Datenverarbeitung entweder von einer Einwilligung des Betroffenen oder aber (ausnahmsweise) von einer ausdrücklichen gesetzlichen Erlaubnis gedeckt ist.
Das neue Datenschutzrecht bringt aber auch eine ganze Reihe von Änderungen mit sich, von denen nachfolgend exemplarisch nur einige genannt werden sollen:
Räumliche Anwendbarkeit
Die DSGVO ist in räumlicher Hinsicht auch auf außereuropäische Datenverarbeiter anwendbar, wenn Daten von EU-Bürgern betroffen sind und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder aber zur Beobachtung des Verhaltens von EU-Bürgern erfolgt. Ein in den USA ansässiges Unternehmen beispielsweise, das Daten von EU-Bürgern erhebt und verarbeitet, unterfällt zukünftig unmittelbar dem EU-Datenschutzrecht.
Rechenschaftspflicht / Accountability
Ab Ende Mai 2018 trifft die Unternehmen ein erhöhtes Maß an Verantwortlichkeit beim Umgang mit personenbezogenen Daten. Unternehmen haben eine nicht delegierbare Verantwortung im Hinblick auf die Einhaltung der datenschutzrechtlichen Bestimmungen. Das Unternehmen muss dabei nicht nur die Einhaltung der datenschutzrechtlichen Bestimmungen (die sogenannte Datenschutz-Compliance) gewährleisten, sondern auch jederzeit in der Lage sein, dies im Rahmen einer echten Rechenschaftspflicht gegenüber Behörden nachzuweisen. Unternehmen treffen zukünftig weitreichende Risikoanalyse- und auch Dokumentationspflichten. So haben Unternehmen z. B. Verzeichnisse über sämtliche Datenverarbeitungsvorgänge mit gesetzlich vorgegebenen Angaben zu führen sowie unter bestimmten Voraussetzungen sogenannte Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIA) vorzunehmen.
„Joint Controllership“ und Auftragsdatenverarbeitung
Generell ist die Verantwortlichkeit beim Umgang mit personenbezogenen Dateneine „goldene Kuh“ des Unionsdatenschutzrechts. Für Datenverarbeitungsvorgänge können durchaus auch mehrere gemeinschaftlich verantwortlich sein („Joint Controllership“).
Eine gerade im digitalen Umfeld alltägliche Konstellation ist die Auftragsdatenverarbeitung, bei der ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragnehmer) mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Die Anwendungsfälle sind mannigfaltig und umfassen z. B. einfache Hostingverträge, IT-Wartungsverträge, HR-Dienstleistungen und Zahlungsdienstleistungen. Praktisch jedes Unternehmen, das externe Dienstleistungen in Anspruch nimmt, hat heute mit entsprechenden Konstellationen zu tun.
Eine Auftragsdatenverarbeitung (gemeinhin in Deutschland mit ADV abgekürzt), wie sie in der Praxis sehr häufig auf der Grundlage des bisherigen § 11 BDSG praktiziert wird, wird es auch unter Geltung der DSGVO unter der Bezeichnung „Auftragsverarbeitung“ geben. Sie kann anders als bisher sogar auch außerhalb der EU stattfinden. Die Mechanismen der ADV und der Auftragsverarbeitung sind dem Grunde nach sehr vergleichbar, allerdings gibt es auch Unterschiede:
Wenngleich auch künftig die Hauptverantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmungen bei dem Auftraggeber liegen wird, nimmt die DSGVO den Auftragnehmer weitaus stärker in die Haftung als dies unter Geltung des jetzigen BDSG der Fall ist. Gegenüber Betroffenen haftet der Auftragnehmer gemeinsam mit dem Auftraggeber für Datenschutzverstöße während der Datenverarbeitung im Auftrag.
Die Änderungen haben damit sowohl aus Sicht des Auftraggebers als auch aus Sicht des Auftragnehmers Auswirkungen auf die Vertragsausgestaltung; bestehende Verträge müssen ersetzt, zumindest aber überarbeitet werden.
Informationspflichten und Stärkung der Betroffenenrechte
Betroffene, also Personen, deren Daten verarbeitet werden, müssen künftig deutlich ausführlicher über die Datenverarbeitungsvorgänge sowie die Betroffenenrechte informiert werden. Transparenz und Information bilden eine wichtige Säule des Datenschutzrechts. Verbraucher werden unter Geltung der DSGVO auch deutlich umfassender geschützt als zuvor. So steht den Betroffenen z. B. ein „Recht auf Vergessenwerden“ ebenso zu wie ein Recht auf „Datenportabilität“.
Die Ausweitung der Informationspflichten hat unmittelbaren Einfluss auf die Praxis. Dies fängt bereits bei den datenschutzrechtlichen Hinweisen auf der Homepage an, die überarbeitet und ergänzt werden müssen. Aber auch die Anforderungen an eine „informierte“ Einwilligung, die von vielen Unternehmen als Grundlage für eine Erhebung und Nutzung von Kundendaten genutzt wird, werden erhöht, so dass die bestehenden Einwilligungsprozesse überprüft werden müssen.
Sanktionen und Meldepflichten
Der Verordnungsgeber meint es ernst und will dies auch verstanden wissen, was sich in den Sanktionsmöglichkeiten widerspiegelt. Verstöße gegen die DSGVO können ab dem 25. Mai 2018 mit Geldbußen von bis zu EUR 20 Millionen oder, im Fall eines Unternehmens, von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Hierdurch sollen auch Großkonzerne zur Datenschutz-Compliance angehalten werden. Verletzungen des Schutzes personenbezogener Daten (sog. „Datenpannen“) sind den Aufsichtsbehörden, unter besonderen Umständen sogar sämtlichen Betroffenen, unverzüglich zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die verbleibende Zeit
Bis zur Umstellung auf das neue Datenschutzrecht verbleiben noch knapp sieben Monate. Diese Zeit sollte dazu genutzt werden, die datenschutzrechtlichen Konzepte und Prozesse auf ihre Vereinbarkeit mit der DSGVO hin zu prüfen und mit Blick auf die Rechenschaftspflichten zu dokumentieren. Ferner sind bestehende Verträge und bereits erteilte Einwilligungen im Hinblick auf die neue Rechtslage zu analysieren und anzupassen.
In Anbetracht des erheblich gesteigerten Sanktionsrisikos, aber auch mit Blick auf drohende Abmahnungen von Wettbewerbern, empfehlen wir allen betroffenen Unternehmen, die bislang keine entsprechenden Maßnahmen getroffen haben, umgehend damit zu beginnen und die betrieblichen Datenschutzbeauftragten mit den erforderlichen zeitlichen Mitteln für die rechtzeitige Umstellung der Datenverarbeitungsprozesse auszustatten.
Land in Sicht? – Update zur rechtmäßigen Datenverarbeitung in den USA
Im Anschluss an die Unwirksamerklärung der Safe Harbor Regelung durch den EuGH im Oktober 2015 (vgl. unsere Sonderausgabe des B&B Bulletin, Oktober 2015) hat die Kommission am 2. Februar 2016 den Abschluss eines Nachfolgeabkommens, nämlich des „EU-US Datenschutzschilds“, bekannt gegeben. Dieses soll nach Ansicht der Kommission sämtlichen betroffenen Unternehmen, die aus der Europäischen Union personenbezogene Daten an ein Unternehmen oder einen Server mit Sitz in den USA übermitteln (z.B. bei Nutzung US-amerikanischer Cloudservices und sonstiger IT-bezogener Dienstleistungen), eine neue rechtssichere Grundlage für ihr Handeln bieten.
Nationale Regelungen auf Grundlage der ADR-Richtlinie
Die ADR-Richtlinie sollte von der Bundesregierung bis zum 09.07.2015 in deutsches Recht umgesetzt werden. Das betreffende Verbraucherstreitbeilegungsgesetz (VSBG) befindet sich aktuell im Gesetzgebungsverfahren, ist allerdings erheblich im Verzug. Voraussichtlich werden die Regelungen des VSBG Anfang 2017 in Kraft treten.
Laut ADR-Richtlinie haben die Mitgliedstaaten dafür zu sorgen, dass für inländische und grenzübergreifende Streitigkeiten zwischen in der EU wohnhaften Verbrauchern und in der EU niedergelassenen Unternehmen aus Kauf- und Dienstleistungsverträgen außergerichtliche Schlichtungsstellen geschaffen werden. Für Streitigkeiten zwischen Unternehmern ist das Streitbeilegungsverfahren nicht vorgesehen, da zwingend ein Verbraucher beteiligt sein muss. Die Richtlinie normiert die Mindestanforderungen für das Streitbeilegungsverfahren sowie für die Organisation und Ausstattung der unabhängigen und unparteiischen Schlichtungsstellen fest. Das Schlichtungsverfahren soll darüber hinaus transpar
Status Quo für Datentransfers in die USA
Mit Urteil vom 6. Oktober 2015 (Az.: C-362/14) hatte der Gerichtshofs der Europäischen Union (EuGH) das bisherige Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA (das „Safe Harbor Abkommen“) für unwirksam erklärt. Die Artikel 29 Datenschutzgruppe, deren Auffassung für die praktische Durchsetzung europäischen Datenschutzrechts eine entscheidende Rolle zukommt, setzte der Kommission und den betroffenen Unternehmen daraufhin eine „Schonfrist“ bis Ende Januar 2016, in welcher die Kommission zu einer bilateralen Lösung mit den USA kommen und die betroffenen Unternehmen ihre Datenschutzpraxis überarbeiten sollten. Sowohl die Artikel 29 Datenschutzgruppe, als auch die Kommission gehen davon aus, dass ein Datentransfer in die USA weiterhin, insbesondere mit ausdrücklicher Einwilligung der Betroffenen oder unter Nutzung der EU-Standardvertragsklauseln, zulässig sein sollte, obwohl in Bezug auf die EU-Standardvertragsklauseln teilweise Bedenken bestehen. Über weitere potentielle Möglichkeiten für einen rechtskonformen Datentransfer in die USA hatten wir in unserer Sonderausgabe zum B&B Bulletin berichtet.
Neues EU-US Datenschutzschild
Nur kurz nach Ablauf der gesetzten Schonfrist verkündete die Kommission am 2. Februar 2016 per Pressemitteilung nun den Abschluss eines neuen Datenschutzabkommens mit den USA, das EU-US Datenschutzschild. Das EU-US Datenschutzschild soll nach Aussage der Kommission die Antwort auf die Forderungen darstellen, die der EuGH in seinem Urteil vom 6. Oktober 2015 gestellt hatte, indem es strengere Auflagen an die datenverarbeitenden US Unternehmen stellt, höhere Transparenzauflagen für den Zugriff von US Behörden auf die Daten von EU-Bürgern vorsieht und wirksame Rechtsbehelfe für EU Bürger in den USA enthält. Nähere Informationen zu dem neuen Abkommen mit den USA sind bislang nicht bekannt. Die Kommission wird jedoch in den nächsten drei Monaten einen Kommissionsbeschluss entwerfen, der die näheren Vorgaben des EU-US Datenschutzschilds regeln wird. Gleichzeitig wird dieser Beschluss die Vergleichbarkeit des Datenschutzniveaus auf Grundlage der Vorgaben des EU-US Datenschutzschilds mit den europäischen Datenschutzregelungen feststellen. Der EuGH hat in seinem Urteil vom 6. Oktober 2015 allerdings ausdrücklich festgestellt, dass ein Urteil über die Rechtmäßigkeit der Kommissionsentscheidung zur Feststellung eines vergleichbaren Datenschutzniveaus allein dem Gerichtshof und nicht den nationalen Datenschutzbehörden oder Gerichten obliegt. Unabhängig von der Frage, ob die neue Vereinbarung tatsächlich den Vorgaben des EuGH entspricht, wird ein solcher Kommissionsbeschluss aber, jedenfalls bis zu einem erneuten sich hiermit befassenden Urteil des EuGH, das frühestens in einigen Jahren zu erwarten wäre, eine rechtssichere Grundlage für den Datentransfer in die USA darstellen.
Ausblick
Mit Spannung darf also abgewartet werden, welche konkreten Vorgaben der Beschluss der Kommission zum EU-US Datenschutzschild enthalten wird. Da davon auszugehen ist, dass er jedenfalls auf absehbare Zeit eine rechtsichere Grundlage für den rechtlich problematischen, jedoch faktisch häufig unumgänglichen Datentransfer in die USA bildet, sollten sich Unternehmen mit Rechtsbeziehungen in die USA hiermit befassen. Es ist zu erwarten, dass sich eine Zusammenarbeit auf Grundlage des EU-US Datenschutzschilds in vielen Fällen als effektiver und praktikabler erweisen wird, als die momentan bestehenden Alternativen.
