14. September 2020
Aufsichtsbehörde Standardvertragsklausel
Datenschutzrecht

Schrems II: Reaktionen der Aufsichtsbehörden – Update #6

Follow-Up zu „Schrems II“: Stellungnahmen der Aufsichtsbehörden zu SCCs und möglichem Handlungsbedarf bei internationalen Datentransfers.

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus.

Prüfungsanforderungen: Der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger müssen einem angemessenen Datenschutzniveau entsprechen

Bei einer Übermittlung von personenbezogenen Daten mittels SCCs muss der Datenexporteur zukünftig bewerten, ob für die von Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die übertragenen Daten.

Zu bewerten sind daher:

  • der konkrete Übertragungsweg der Daten: Risiken für das Schutzniveau können sich beispielsweise aus der staatlichen Überwachung von Leitungsnetzen ergeben (so kann bei Datenübertragung in die USA mittels Überseekabel eine Überwachung durch US-amerikanische Geheimdienste stattfinden, die bei einem anderen Übertragungsweg möglicherweise nicht erfolgt);
  • die Risiken durch die Speicherung der Daten bei einem spezifischen Empfänger: Unterschiede können sich beispielsweise durch branchenspezifische Gesetzgebung ergeben, die bestimmte Empfänger (z.B. TK-Anbieter) zur Kooperation mit Geheimdiensten zwingen, wohingegen andere Datenimporteure von derartiger Gesetzgebung nicht betroffen sein müssen.
  • ob zumutbare Alternativen bestehen (etwa in der EU ansässige Dienstleister), die ohne internationalen Datentransfer auskommen.

Ergibt sich aufgrund dieser Bewertung, dass das Schutzniveau nicht mit dem europäischen vergleichbar ist, muss der Datenexporteur vor dem Transfer zusätzliche Maßnahmen ergreifen, um den Schutz der Daten zu garantieren. Falls die Maßnahmen nicht ausreichen, dürfen personenbezogenen Daten nicht mehr auf der Grundlage von SCCs übertragen werden.

Stellungnahmen der Aufsichtsbehörden

Inzwischen liegen erste Stellungnahmen der Aufsichtsbehörden zum Urteil des EuGH vor. Wir dokumentieren diese Stellungnahmen im Anschluss, um Unternehmen bei der Implementierung des Urteils eine erste Hilfestellung zu geben. In unserer Tabelle heben wir hervor, welche Anforderungen aus Sicht der Aufsichtsbehörden nach dem Urteil bei einem Datentransfer in Drittländer zu beachten sind. Durch farbliche Markierung zeigen wir, ob eine Aufsichtsbehörde hohe, durchschnittlich oder geringe Anforderungen zur Umsetzung des Urteils stellt.

Hin­weis: Dieser Bei­trag wird laufend aktualisiert, erhebt aber keinen Anspruch auf Vollständigkeit. Die ergangenen Stellungnahmen sind jeweils in chronologischer Reihenfolge verlinkt. Unsere Tabelle fasst jeweils die aktuellste Stellungnahme zusammen. Die letzte Aktualisierung erfolgte am 14. September 2020.

Behörde/ Gremium Anforderungen an Datentransfers mittels SCCs Handlungsbedarf für den Datenexporteur
Europäischer Datenschutzausschuss (EDSA)
  • Bei der Verwendung von SCCs oder Binding Corporate Rules (BCRs) haben Datenexporteur und -importeur das Schutzniveau im betreffenden Drittland zu prüfen, um festzustellen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können.
  • Andernfalls ist zu prüfen, ob zusätzliche Maßnahmen zu ergreifen sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um ihre Wirksamkeit zu verhindern.
  • Wenn die Beurteilung im Einzelfall zu dem Ergebnis führt, dass das Land des Datenimporteurs kein im Wesentlichen gleichwertiges Schutzniveau bietet, müsse der Exporteur unter Umständen zusätzliche Maßnahmen zu den in den Standardvertragsklauseln enthaltenen Maßnahmen in Betracht ziehen.
  • Der europäische Datenschutzausschuss untersucht weiter, worin diese zusätzlichen Maßnahmen bestehen könnten und wird zukünftig weitere Orientierungshilfen zur Verfügung stellen. Dafür hat er eine Arbeitsgruppe eingesetzt.

 

Historie:
17. Juli 2020: Presseerklärung
23. Juli 2020: FAQs
15. August 2020: Kurze Stellungnahme zu BCRs
4. September 2020: Ankündigung Arbeitsgruppe
Europäischer Datenschutzbeauftragter (EDPS) Der EuGH habe zwar grundsätzlich die Gültigkeit der Standardvertragsklauseln bestätigt, jedoch begrüßenswerte Klarstellungen geliefert betreffend die Verantwortlichkeit der Datenexporteure und der europäischen Datenschutzbehörden bei der Berücksichtigung der Risiken im Zusammenhang mit dem Zugriff auf personenbezogenen Daten durch die Behörden von Drittländern. Die Auswirkungen des Urteils, insbesondere auch hinsichtlich der von EU-Institutionen geschlossenen Verträge, werden im Einzelnen geprüft.
Historie:
17. Juli 2020: Erklärung
Bulgarien Verweist auf das Urteil des EuGH und stellt andere Schutzmechanismen dar. Der Datenexporteur muss auf alternative Schutzmaßnahmen wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften wechseln.
Historie:
16. Juli 2020: Pressemitteilung
Deutschland – Datenschutzkonferenz
  • Standardvertragsklauseln können für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer grundsätzlich weiterverwendet werden, allerdings nur im Falle der USA nur mit zusätzlichen Schutzmaßnahmen.
  • Die Bewertung eines gleichwertigen Datenschutzes in Drittländern obliegt dem Verantwortlichen und dem Empfänger.
  • Falls im Drittland kein entsprechender Schutz gewährleistet werden kann, sollte geprüft werden, welche alternativen Schutzmaßnahmen möglich sind.
  • Dies gelte auch für verbindliche interne Datenschutzvorschriften (BCRs). Daher müssen auch für Datenübermittlungen auf der Grundlage von BCRs ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen.
Historie:
28. Juli 2020: Presseerklärung
Deutschland – Bundesbeauftragter für Datenschutz und Informationsfreiheit
  • Standardvertragsklauseln sind weiterhin mögliche Grundlagen des Datentransfers.
  • Schließt sich FAQ des EDSA vollständig an
  • Der internationale Datenverkehr ist weiterhin möglich, wobei es für eine Übermittlung in die USA zusätzlicher Schutzmaßnahmen bedürfe.
  • Unternehmen sollen Verträge mit Dienstleistern prüfen, ob und wie diese Daten in Drittländern übermitteln
Historie:

16. Juli 2020: 1. Presseerklärung

24. Juli 2020:2. Presseerklärung

Deutschland – Baden-Württemberg
  • Standardvertragsklauseln wurden durch den EuGH nicht prinzipiell für unwirksam erklärt.
  • Hier müssten die europäischen Unternehmen und im Anschluss die Datenschutzbehörden im Einzelfall prüfen, ob sie ausreichen. Im Fall der Vereinigten Staaten liege das Ergebnis dieser Prüfung aber auf der Hand, denn praktisch kein US-amerikanisches Unternehmen könne glaubhaft garantieren, dass es vom Zugriff der Geheimdienste verschont bleiben wird.
  • Entscheidung betreffe auch andere Staaten (z.B. UK).
  • Weiterverarbeitung auf Basis des Privacy Shields führe zu Bußgeldern. Standardvertragsklauseln seien nur in seltenen Fällen denkbar.
  • Kritisiert EuGH, da dieser anderen Staaten europäische Vorstellungen von Datenschutz aufzwinge und die Entscheidung für Unternehmen nur schwer umzusetzen sei.
  • Unternehmen sollen prüfen, welche Daten sie in welche Länder exportieren. Ein Datenexport sei auch die bloße Möglichkeit des Zugriffs (z.B. bei Wartung). Anschließend müssen sie prüfen, ob es einen Angemessenheitsbeschluss für das jeweilige Land gibt und wenn nein, wie die Rechtslage in dem jeweiligen Drittland ist.
  • Datenexporte auf Basis des Privacy Shields seien umgehend einzustellen bis ein neuer Transfermechanismus gefunden sei.
  • Dieser neue Transfermechanismus sei in den Datenschutzhinweisen und in dem Verzeichnis der Verarbeitungstätigkeiten zu einzutragen.
  • Bei Standardvertragsklauseln seien in jedem Fall bestimmte Ergänzungen an den Klauseln vorzunehmen (Formulierungsvorschläge in Orientierungshilfe S. 11–13.)
  • Bei Standardvertragsklauseln seien in jedem Fall bestimmte Änderungen an den Klauseln vorzunehmen (Formulierungsvorschläge in Orientierungshilfe S. 8f.) Es bedürfe zudem maßgeschneiderter Lösungen im Einzelfall, die beispielsweise darin bestehen könnten, dass Datenexporteure (insb. Anbieter von Cloud-Diensten) die Daten nachweislich in einer Weise verschlüsseln, bei welcher allein der Datenexporteur den Schlüssel hat und die auch die Geheimdienste nicht überwinden können.
  • Zentral sei, ob zumutbare Alternativangebote ohne Transferproblematik bestehen (bspw. Vereinbarung, dass Daten in einem der Mitgliedstaaten der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird, S. 8 und 10). Wenn solche existieren, werde der LfDI Baden-Württemberg diesen Datentransfer untersagen.
Historie:
20. Juli 2020: FAZ-Interview mit Stefan Brink (LfDI BaWü)
21. August 2020: Handelsblatt-Interview mit Stefan Brink
24. August 2020: Orientierungshilfe (aktualisiert am 7. September 2020)
28. August 2020: Podcast-Interview mit Stefan Brink
Deutschland –Berlin
  • Datenexporteure und -importeure seien verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen. Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen.
  • Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen.
Besondere Prüfpflichten bestehen insbesondere bei Datenübermittlungen in Drittländer wie China, Russland oder Indien.

 

Historie:
17. Juli 2020: Presseerklärung
Deutschland – Hamburg Die Beibehaltung von Standardvertragsklauseln durch den EuGH sei nicht konsequent, da Geheimdienstaktivitäten auch diese betreffen. Die Datenschutzaufsichtsbehörden müssen die inhaltlichen Anforderungen des Urteils beachten, insbesondere das Datenschutzniveau des Empfängerstaates. EU müsse Daten nicht nur bei US-Anbietern, sondern weltweit vor staatlichen Zugriffen schützen. Besondere Prüfpflichten bestehen insbesondere bei Datenübermittlungen in Länder wie China, für die „derartige datenschutzrechtliche Vorkehrungen weit entfernt seien“, sowie im Hinblick auf den Brexit.
Historie:
16. Juli 2020: Presseerklärung
26. August 2020: Kommentar im Handelsblatt
Deutschland – Rheinland-Pfalz
  • Unternehmen können sich mit den Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen. Sie müssen sich mit den nationalen Gesetzen des Drittlandes intensiv auseinandersetzen.
  • Insbesondere sei offen, ob eine Ergänzung der Standardvertragsklauseln in der konkreten Vertragsbeziehung zur Schaffung geeigneter Garantien im Einzelfall geeignet sein könne, insbesondere z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die Standardvertragsklauseln gebunden sind.

 

 

  • Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können. Dies sei aber eine Frage des Einzelfalles. Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt.
  • Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
Historie:
16. Juli 2020: Presseerklärung und FAQs
24. Juli 2020: Presseerklärung
Deutschland – Thüringen Es sei fraglich, wie die weiterhin anwendbaren Standardvertragsklauseln der EU künftig mit „Leben erfüllt“ werden sollen.

 

Insbesondere sei unklar, wie Datenexporteur und -empfänger bei der Prüfung der Schutzmaßnahmen der SCCs und ihrer Einhaltung im Fall der USA zu einem EU-datenschutzkonformen Prüfergebnis gelangen sollen.
Historie:
17. Juli 2020: Presseerklärung
Dänemark Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
20. Juli 2020: Presseerklärung
Estland Die Verantwortung zur Prüfung der Frage, ob der Schutz personenbezogener Daten durch Standardvertragsklauseln (auch in Zukunft) gewährleistet werden könne, liege nunmehr bei Datenexporteur und -importeur. Kann der Schutz personenbezogener Daten nicht gewährleistet werden, müsse die Datenübertragung ausgesetzt werden. Soll die Übertragung fortgesetzt werden, müsse auf alternative Schutzmechanismen zurückgegriffen werden.
Historie:
17. Juli 2020: Presseerklärung
Frankreich Standardvertragsklauseln seien durch den EuGH als rechtmäßig bewertet worden. Hinsichtlich der Konsequenzen des Urteils werde derzeit eine genaue Analyse des Urteils durchgeführt, um schnellstmöglich Schlussfolgerungen ziehen zu können.
Historie:
17. Juli 2020: Presseerklärung
Irland Die Anwendung der Standardvertragsklauseln auf die Übermittlung personenbezogener Daten in die USA sei fragwürdig, da Datenübermittlungen zwischen der EU und den USA – unabhängig vom rechtlichen Transfermechanismus im Einzelfall – „von Grund auf problematisch seien. Zumindest bei Facebook sind Standardvertragsklauseln keine angemessene Garantie (selbst mit zusätzlichen Schutzmaßnahmen). Insbesondere die Frage der Zulässigkeit von Datentransfers in die USA aufgrund von Standardvertragsklauseln bedürfe einer weiteren und sorgfältigen Prüfung.
Historie:
16. Juli 2020: Eigene Presseerklärung
9. September 2020: Presseerklärung von Facebook
Italien Verweist auf FAQs des Europäischen Datenschutzausschusses (s.o.) Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
29. Juli 2020: Presseerklärung
Liechtenstein Daten können nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO wie insbesondere Standarddatenschutzklauseln in die USA übermittelt werden. Bis ein anderes Abkommen der EU-Kommission mit den USA geschlossen werde, müssen sich Verantwortliche auf solche alternativen Instrumente stützen. Das Urteil werde weitergehend analysiert und weitere Handlungsanweisungen in Kürze veröffentlicht.
Historie:
17. Juli 2020: Presseerklärung und Leitfaden
Litauen Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
20. Juli 2020: Presseerklärung
Niederlande Standardvertragsklauseln seien nach wie vor eine gültige Grundlage zur Datenübermittlung in Länder außerhalb der EU, sofern ein gleichwertiges Schutzniveau gewährleistet werden könne. Dabei wird u.a. Bezug genommen auf die Erwägungen des EuGH, wonach die Nachrichten- und Sicherheitsdienste nach US-Recht weitreichende Zugriffsbefugnisse hinsichtlich der Daten von EU-Bürgern haben, die „nicht auf streng notwendige Daten beschränkt“ seien. Die praktischen Konsequenzen des Urteils werden– im Rahmen des EDSA – noch untersucht.
Historie:
20. Juli 2020: Presseerklärung
Norwegen
  • Schutzmaßnahmen müssen im Einzelfall geprüft werden.
  • i.d.R. werden Transfers in die U.S.A. illegal sein. Amerikanische Überwachungsgesetze (z.B. FISA Sec. 702 und EO 12333) machen wirksame Schutzmaßnahmen häufig unmöglich
  • Keine Übergangsfrist
  • Absprache mit Datenempfänger, welche Gesetze und Bedingungen in dessen Drittland gelten
  • Prüfung, ob zusätzliche Schutzmaßnahmen ergriffen werden können
  • Sonst Zusammenarbeit mit jeweiligem Datenempfänger beenden und Daten bei diesem löschen
Historie:
16. Juli 2020: Presseerklärung
27. Juli 2020: FAQ
Polen Die für die Verarbeitung verantwortlichen Datenexporteure und -importeure müssen nicht nur die Vereinbarkeit der vertraglichen Bestimmungen mit EU-Recht überprüfen, sondern auch Zugriffsmöglichkeiten von Behörden eines Drittlands auf diese Daten. Sofern das Schutzniveau der personenbezogenen Daten nicht dem der EU entspricht, könne die Übermittlung von Daten in ein Drittland auch auf andere Mechanismen gestützt werden, sofern diese ein gleichwertiges Schutzniveau wie in der EU gewährleisten.
Historie:
20. Juli 2020: Presseerklärung
Rumänien Es wird auf alternative Transfermechanismen für Datenübermittlungen in die USA hingewiesen. Demnach stehen hierfür neben Standardvertragsklauseln auch verbindliche interne Datenschutzvorschriften (BCRs), Verhaltenskodexe und Zertifizierungsmechanismen zur Verfügung. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
20. Juli 2020: Presseerklärung
Slowenien Es wird darauf hingewiesen, dass als rechtliche Grundlage anstelle des Privacy-Shield-Beschlusses Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften (BCRs) dienen können. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
16. Juli 2020: Presseerklärung
Spanien Das Urteil stelle einen Wendepunkt für die rechtlichen Grundlagen der Datenübermittlung in die USA dar. Standardvertragsklauseln seien dabei weiterhin als gültig zu beurteilen. Bisher keine Hinweise zu weiterem Handlungsbedarf.

Für die Umsetzung des Urteils in den EU-Ländern sei jedenfalls eine einheitliche europäische Herangehensweise erforderlich.

Historie:
22. Juli 2020: Presseerklärung
Schweiz Auch das Swiss-U.S. Privacy Shield biete kein ausreichendes Datenschutzniveau. Ein Datentransfer in die USA könne daher nicht mehr auf dieses gestützt werden. Dies stehe unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte. Vertragliche Garantien wie Standardvertragsklauseln (SCCs und Binding Corporate Rules (BCRs) gelten weiter. Die Risiken seien jedoch wie unter der DSGVO im Einzelfall zu abzuwägen.
  • Verantwortliche sollen von Swiss-U.S. Privacy Shield auf SCCs oder BCRs umstellen.
  • Unternehmen müssen prüfen, ob der Datenim-porteur in der Lage ist die vom Schweizer Recht vorgesehene Mitwirkung zu leisten.
  • Ergänzung der Standardvertragsklauseln sei erwägenswert (wobei keine Formulierungsbeispiele geliefert werden).
  • Zusätzliche Schutzmaßnahme seien erforderlich, wenn andernfalls das angemessene Datenschutzniveau nicht gewahrt werden könne (z.B. Verschlüsselung).
  • Andernfalls sei ein Verzicht auf den Datenexport zu empfehlen.
  • Es würden noch weitere Hinweise für Verantwortliche folgen.

 

Historie:
16. Juli 2020: Presseerklärung
8. September 2020: Stellungnahme zum Swiss-U.S. Privacy Shield
Tschechische Republik Die Anforderungen für eine weitere Verwendung von Standardvertragsklauseln bei Transfers in die USA seien hoch. Die Risiken seien im Einzelfall zu bewerten. Dabei müsse insbesondere auch der CLOUD Act berücksichtigt werden. Rücksprache mit Datenempfänger halten, inwieweit dieser von dem EuGH-Urteil betroffen sei.

Zusätzliche Sicherheitsmaßnahmen prüfen (z.B. Verschlüsselung ohne Hintertür, Metadaten nur in der EU).

Historie:
16. Juli 2020: Presseerklärung
7. August 2020: Hinweise für Verantwortliche
Vereinigtes Königreich Der EuGH habe bestätigt, dass EU-Datenschutzstandards mit den Daten „mitreisen“ müssen, wenn sie ins Ausland übermittelt werden. Das Urteil habe weitreichendere Auswirkungen als nur die Ungültigkeitserklärung des EU-US-Datenschutzschildes. Es sei ein Urteil, das die Bedeutung von Schutzmaßnahmen für persönliche Daten bestätigt, die aus dem Vereinigten Königreich transferiert werden. Weitere Arbeiten der Europäischen Kommission und des EDSA seien im Gange, um eine umfassendere Anleitung für zusätzliche Maßnahmen zu geben, die möglicherweise zu ergreifen sind. In der Zwischenzeit sollten Unternehmen eine Bestandsaufnahme der von Ihnen vorgenommenen internationalen Transfers vornehmen und umgehend reagieren, sobald Leitlinien und Ratschläge verfügbar werden. Angesichts der Herausforderungen für Unternehmen werde weiterhin praktische und pragmatische Beratung und Unterstützung angeboten.
Historie:
27. Juli 2020: Erklärung des ICO (Update zur Erklärung vom 17. Juli 2020)

Tags: Aufsichtsbehörde EU-US Privacy Shield SCC Schrems Standardvertragsklausel


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.