Das Urteil des Europäi­schen Gerichtshofs (EuGH) vom 16.07.2020 in der Rechts­sache C‑311/18 („Schrems II“) hat für viel Aufregung gesorgt. Manche sprechen gar von einer Zäsur im Daten­schutz­recht. Künftig könnte die Übertragung perso­nen­be­zo­gener Daten in die USA und zahlreiche außer­eu­ro­päische Länder danach rechts­widrig sein. Das betrifft aktuell etwa alle Unter­nehmen, die Cloud-Services namhafter US-ameri­ka­ni­scher Techno­lo­gie­kon­zerne nutzen.

In Teil 1 unserer News beschäf­tigen wir uns mit dem Hinter­grund und Inhalt der Entscheidung. In Teil 2 erläutern wir die prakti­schen Folgen und aktuellen Anfor­de­rungen der Behörden an Daten­transfers in „unsichere Dritt­staaten“, insbe­sondere die Durch­führung eines sog. „Transfer Impact Assessment“.

1. Worum ging es bei „Schrems II“? 

Im Rahmen des „Schrems II“ Verfahrens hatte der EuGH zu entscheiden, ob eine Daten­über­mittlung auf Grundlage der sog. Standard­ver­trags­klauseln (engl. Standard Contractual Clauses, “SCCs“) und des sog. Privacy Shields einen Verstoß gegen die Grund­rechts­charta der Europäi­schen Union darstellt.

Der öster­rei­chische Daten­schutz­ak­tivist Maximilian Schrems hatte bereits 2013 eine Beschwerde bei der irischen Daten­schutz­auf­sichts­be­hörde eingelegt mit dem Antrag, Facebook Irland die Übermittlung seiner perso­nen­be­zo­genen Daten an den Mutter­konzern, Facebook Inc., mit Sitz in den USA zu unter­sagen. Herr Schrems begründete seine Beschwerde mit dem Argument, dass das US-Recht keinen ausrei­chenden Schutz vor dem Zugriff der US-Behörden auf seine in die USA übermit­telten Daten gewährleiste.

Der EuGH gab dem Beschwer­de­führer recht und erklärte zunächst das Safe-Harbor-Abkommen, den Vorläufer des Privacy Shields, für unwirksam („Schrems I‑Urteil“).

Im weiteren Fortgang des Beschwer­de­ver­fahrens stellte Herr Schrems die Recht­mä­ßigkeit der Daten­über­mittlung auf Grundlage der SSCs in Frage, auf deren Basis Facebook mit Wegfall des Safe Harbor-Abkommens den Daten­transfer in die USA fortsetzte. Zudem wurde die Frage der Wirksamkeit des Privacy Shields aufge­worfen, das im Juli 2016 als Nachfolger des Safe-Harbour-Abkommens in Kraft getreten war.

Hierzu entschied der EuGH in seinem Urteil „Schrems II“ zusam­men­ge­fasst wie folgt:

• Auch das Privacy Shield ist unwirksam. Daten­über­mitt­lungen in die USA sind auf der Basis dieses Trans­fer­me­cha­nismus‘ daher nicht mehr zulässig.
• Die SCCs sind grund­sätzlich weiterhin gültig. Aller­dings muss ein Schutz­niveau für perso­nen­be­zogene Daten sicher­ge­stellt sein, das dem der EU entspricht. In diesem Zusam­menhang treffen den Verant­wort­lichen (i.d.R. das Unter­nehmen) folgende Pflichten:
  • 1. Einzel­fall­be­zogene Angemes­sen­heits­prüfung: Es ist für den Einzelfall zu prüfen, ob im jewei­ligen Drittland — insbe­sondere unter Berück­sich­tigung der dortigen natio­nalen Sicher­heits­ge­setze — tatsächlich ein angemes­senes Daten­schutz­niveau existiert.
    2. Supple­mentary Measures: Besteht kein angemes­senes Daten­schutz­niveau, ist zu prüfen, ob ein solches mittels „zusätz­licher Maßnahmen“ sicher­ge­stellt werden kann. Der EuGH ließ dabei offen, welche konkreten Maßnahmen dies sein können.
• Wenn der Verant­wort­liche trotz zusätz­licher Maßnahmen keinen angemes­senen Schutz gewähr­leisten kann, muss der Daten­transfer gestoppt werden. Auch besteht eine Pflicht der Daten­schutz­be­hörden, die Daten­über­mitt­lungen auszu­setzen oder zu verbieten, wenn sie der Auffassung sind, dass ein angemes­senes Schutz­niveau nicht gewähr­leistet ist.

Für die Praxis bedeutet das, dass Unter­nehmen für Geschäfts­pro­zesse mit Dritt­staa­ten­bezug eine Risiko­be­ur­teilung (risk assessment) vorzu­nehmen haben, in der das Risiko eines Daten­zu­griffs durch die Sicher­heits­be­hörden im Land des Daten­im­por­teurs (z.B. USA) zu analy­sieren und zu bewerten ist.

2. Wie betrifft mich das? 

Die Schrems II-Entscheidung hat eine enorme praktische Auswirkung auf den inter­na­tio­nalen Daten­transfer. Betroffen sind hiervon nicht nur inter­na­tional agierende Unter­nehmen, die Kunden‑, Mitar­beiter- oder sonstige perso­nen­be­zogene Daten innerhalb des Konzerns mit Stand­orten in „unsicheren Dritt­ländern“ austau­schen. Betroffen sind ebenso Unter­nehmen, die bestimmte Geschäfts­pro­zesse outsourcen, wie etwa:

• Einsatz von US-Cloud-Anbietern, z.B. AWS, Google, Microsoft, Apple;
• Einsatz von US-Service-Providern, z.B. für CRM-Systeme;
• Perso­nal­ma­nagement, Office-Pakete (Office 365), Video­kon­fe­renzen, etc.;
• Einsatz von europäi­schen Dienst­leistern, deren Sub-Dienst­leister in den USA sitzen.

Soweit perso­nen­be­zogene Daten Bestandteil dieser Geschäfts­pro­zesse sind, hat das Unter­nehmen die vom EuGH gefor­derte Einzel­fall­prüfung, auch als Transfer Impact Assessment bezeichnet, durch­zu­führen und entspre­chend zu dokumentieren.

Für die praktische Durch­führung eines solchen Transfer Impact Assess­ments hat der Landes­be­auf­tragte für Datenschutz und Infor­ma­ti­ons­freiheit Baden-Württemberg (LfDI) eine Orien­tie­rungs­hilfe veröf­fent­licht (Was jetzt in Sachen inter­na­tio­naler Daten­transfer?). Zudem hat der Europäische Daten­schutz­aus­schuss („EDSA“) ein Empfehlung 01/2020 (zu den sog. ‚zusätz­lichen Maßnahmen‘) veröf­fent­licht, die Unter­nehmen und andere Daten­ex­por­teure ggf. ergreifen müssen, wenn sie perso­nen­be­zogene Daten in Dritt­länder übermitteln wollen.

3. Wie hilft mir LUCID dabei?

Mit unserer prakti­schen inter­na­tio­nalen Erfahrung im Risiko­ma­nagement und im Datenschutz sind wir in der Lage, Ihr Unter­nehmen pragma­tisch und effizient bei der Umsetzung der Schrems II-Anfor­de­rungen zu unter­stützen. Auf Grundlage der Empfehlung des EDSA und der Orien­tie­rungs­hilfe des LfDI zu Schrems II begleiten wir Sie bei der Imple­men­tierung und Dokumen­tation der erfor­der­lichen Maßnahmen. Einen ersten Überblick zu den konkreten Anfor­de­rungen möchten wir Ihnen in Teil 2 unseres News-Beitrags geben.