cepStudie 26. Januar 2021 Unzulässigkeit der Datenübermittlung in die USA Das EuGH-Urteil „Schrems II“ und seine Folgen Anja Hoffmann © iStock Nach dem „Schrems II“-Urteil des EuGH dürfen Transfers personenbezogener Daten in die USA nicht mehr auf den „Pri- vacy-Shield“-Beschluss gestützt werden, weil die USA keinen ausreichenden Datenschutz bieten. Derzeit werden Da- tentransfers daher meist auf Standardvertragsklauseln gestützt, deren Nutzung grundsätzlich zulässig bleibt. Kernthesen Auch auf Standardvertragsklauseln und unternehmensinterne Datenschutzregelungen dürfen Datentransfers in die USA nicht gestützt werden, wenn die dortigen Datenempfänger den US-Überwachungsgesetzen unterliegen und Zugriff auf die Dateninhalte im Klartext haben. In diesen Fällen können auch ergänzende Datenschutzmaßnahmen Zugriffe der US-Behörden nicht wirksam verhin- dern. Insbesondere Transfers an Cloud-Dienste und Transfers innerhalb von Unternehmensgruppen in die USA sind daher in diesen Fällen rechtswidrig. Der Datenexporteur – oder die Aufsichtsbehörde – muss den Datentransfer stoppen. Weder ein reformierter „Privacy Shield“ noch die von der EU-Kommission im November 2020 vorgeschlagenen geän- derten Standardvertragsklauseln ändern etwas hieran, solange die USA ihre Überwachungsgesetze nicht auf das nach EU-Recht zulässige Maß begrenzen und EU-Bürgern keine wirksamen Rechtsbehelfe gewähren. Das Gleiche gilt für Datentransfers in andere Drittländer, soweit deren Überwachungsgesetze mit dem Datenschutz der EU kollidieren. Dies muss in jedem Einzelfall geprüft werden. II cepStudie Unzulässigkeit der Datenübermittlung in die USA Kernpunkte Zum „Schrems II“-Urteil des EuGH Transfers personenbezogener Daten aus der EU in die USA dürfen nicht länger auf den „Privacy- Shield“-Beschluss der EU-Kommission gestützt werden. Der Europäische Gerichtshof (EuGH) hat diesen Beschluss im „Schrems II“-Urteil zu Recht für ungültig erklärt, weil der „Privacy Shield“ kei- nen im Vergleich zur EU gleichwertigen Datenschutz bietet. Datentransfers in ein Drittland auf der Basis von Standardvertragsklauseln (SDPC) – das sind von der EU-Kommission freigegebene Datenschutz-Musterklauseln, die zwischen Datenexporteur und Datenempfänger vereinbart werden – sind weiterhin grundsätzlich zulässig. Datenexporteur und -empfänger müssen aber prüfen, ob das Recht des Drittlands und die SDPC insgesamt einen dem EU-Niveau im Wesentlichen gleichwertigen Schutz für die Daten gewährleisten, und die Be- troffenen, deren Daten übermittelt werden, durchsetzbare Rechte und wirksame Rechtsbehelfe haben. Zur Umsetzung des „Schrems II“-Urteils Der Europäische Datenschutzausschuss (EDSA) hat nach dem Urteil zwei Empfehlungsentwürfe ver- öffentlicht. Danach sind bei der Prüfung des Schutzniveaus im Drittland alle Umstände des spezifi- schen Datentransfers – u.a. Kategorien und Format der übermittelten Daten – zu berücksichtigen, nicht aber die subjektive Einschätzung der Wahrscheinlichkeit behördlicher Zugriffe. Darüber hinaus müssen sich Datenexporteur und Datenempfänger nach den SDPC vergewissern, ob das Recht im Drittland es dem Datenempfänger erlaubt, die SDPC auch einzuhalten. Problema- tisch sind insbesondere Datentransfers an Empfänger, denen das Recht des Drittlands Verpflichtun- gen auferlegt, die den SDPC widersprechen und deren Garantie untergraben. Die Pflicht des Datenempfängers, Behörden im Drittland Daten offenzulegen oder Zugriff auf diese zu gewähren, steht laut dem EDSA der Einhaltung der SDPC nicht entgegen, wenn das Drittland bei seinen Überwachungsmaßnahmen die „wesentlichen europäischen Garantien“ einhält. Überwachungsmaßnahmen erfüllen die „wesentlichen europäischen Garantien“ des EDSA, wenn sie auf klaren Regeln für die Datenverarbeitung beruhen, die Eingriffe erforderlich und angemessen sind und im Drittland eine unabhängige Aufsicht und wirksame Rechtsbehelfe existieren. Halten die Überwachungsmaßnahmen die Garantien nicht ein – was bei den US- Überwachungsgesetzen der Fall ist –, fehlt es an einem im Wesentlichen gleichwertigen Schutzni- veau. Die SDPC allein reichen dann nicht aus; vielmehr muss der Datenexporteur zusätzlich ergän- zende Datenschutzmaßnahmen vorsehen. Es besteht Rechtsunsicherheit, welche zusätzlichen Maßnahmen der Datenexporteur ergreifen muss, um die Schutzlücken zu schließen. Die Aufsichtsbehörden schlagen hierzu technische Maß- nahmen wie die Anonymisierung, Verschlüsselung, Pseudonymisierung oder Aufspaltung der Da- ten, ergänzende Vertragsklauseln und organisatorische Maßnahmen vor. Verschärfte Vertragspflichten, z.B. über Datenzugriffe zu informieren oder diese rechtlich anzugrei- fen, und organisatorische Maßnahmen wie interne Richtlinien erhöhen den Schutz, reichen aber allein nicht aus und müssen durch technische Maßnahmen ergänzt werden. Denn auch verschärfte Vertragspflichten können weder die Behörden im Drittland binden noch effektive Rechtsbehelfe für EU-Bürger schaffen. Technische Maßnahmen können unverhältnismäßige behördliche Zugriffe nach Ansicht des EDSA allenfalls dann wirksam verhindern, wenn selbst der Datenempfänger nicht fähig ist, die Daten zu entschlüsseln, zu de-pseudonymisieren oder zu rekonstruieren. Dies kommt nur in wenigen Fällen in Betracht, etwa wenn Daten allein zu Sicherungszwecken im Drittland gespeichert werden. cepStudie Unzulässigkeit der Datenübermittlung in die USA III Hat oder benötigt der Datenempfänger zur Verarbeitung Zugriff auf den Klartext der Daten, schüt- zen auch technische Maßnahmen nicht effektiv vor behördlicher Überwachung. Ist der Empfänger im Besitz des Schlüssels, könnte er verpflichtet sein, diesen an die Behörden herauszugeben. Auch aktuell diskutierte „Hintertüren“ in Verschlüsselungssoftware würden den Schutz vereiteln. Kann der Datenexporteur durch zusätzliche Maßnahmen keinen dem EU-Niveau gleichwertigen Da- tenschutz gewährleisten, muss er – oder in zweiter Linie die Aufsichtsbehörde – die Datenübermitt- lung stoppen. Bei Transfers in die USA sind aber gar keine Maßnahmen ersichtlich, die behördliche Zugriffe auf Basis der dortigen Überwachungsgesetze wirksam verhindern könnten, soweit dem Datenempfänger der Zugriff auf die Daten nicht versperrt ist. Auch die von der Kommission im November 2020 vorgeschlagenen geänderten SDPC können aus den genannten Gründen nur zusammen mit technischen Maßnahmen einen gleichwertigen Daten- schutz bieten. Um zusätzliche Unklarheiten zu vermeiden, sollten die neuen SDPC genauer mit den Empfehlungen des EDSA abgestimmt werden. Schlussfolgerungen für Transfers personenbezogener Daten in die USA Alle Datentransfers in die USA an Empfänger, die den US-Überwachungsgesetzen unterliegen und die Zugriff auf die Dateninhalte im Klartext haben, sind daher derzeit unzulässig. Betroffen sind u.a. Transfers an Anbieter von Cloud-Diensten und Transfers innerhalb von Unternehmensgruppen zur Erbringung von Personaldienstleistungen. Die EU-Datenschutzaufsichtsbehörden sollten Hilfestellung bei der Auslegung geben, welche Da- tenempfänger unter die US-Überwachungsgesetze fallen und welche Transfers daher kritisch sind. Solange die USA ihre Überwachungsgesetze nicht auf das nötige Maß begrenzen und EU-Bürgern keine wirksamen Rechtsbehelfe gewähren, helfen weder ergänzte SDPC noch ein neuer, „verbes- serter“ „Privacy Shield“. Konsequenzen für andere Transferinstrumente und Datentransfers in andere Drittländer Die Ausführungen des EuGH zu den SDPC sind auf andere Transferinstrumente wie verbindliche unternehmensinterne Datenschutzregelungen (BCR) übertragbar. Deren Nutzung birgt daher bei Datentransfers in die USA vergleichbare Risiken, wenn die Empfänger dortigen Überwachungsge- setzen unterliegen. Überwachungsgesetze, die mit den SDPC kollidieren, können auch in anderen Drittländern beste- hen. Datenexporteure müssen daher auch bei Datentransfers in andere Länder, für die kein Ange- messenheitsbeschluss besteht, das Schutzniveau prüfen und die SDPC ggf. ergänzen. Datentrans- fers in das Vereinigte Königreich bleiben zumindest vorläufig zulässig. Die EU-Kommission muss bestehende Angemessenheitsbeschlüsse für andere Drittländer kritisch daraufhin überprüfen, ob sie die vom EuGH aufgestellten Anforderungen (noch) erfüllen. Fazit Die rechtssicherste Lösung ist, von den beschriebenen Datentransfers in Drittländer abzusehen, die Daten so in der EU zu speichern, dass US-Unternehmen oder ihre Tochtergesellschaften keine Kon- trolle darüber haben, und ausschließlich entsprechende europäische Provider zu nutzen. Die hohen Anforderungen an den Datenschutz in der EU und die derzeitige Transferpraxis fallen auseinander. Datenexporteure, die rechtswidrige Datentransfers nicht einstellen, riskieren hohe Bußgelder. Auch die Entwürfe der Empfehlungen des EDSA und der geänderten SDPC der EU- Kommission versprechen allenfalls für eine begrenzte Zahl der Fälle eine rechtssichere und zugleich praxistaugliche Lösung des Dilemmas. Das „Schrems II“-Urteil bietet die Chance, hochwertige und sichere Dienste (z.B. Clouds) in der EU zu stärken. Nur dann ist der Wechsel zu EU-Dienstleistern langfristig eine Alternative. Die Schaffung von Gaia-X als erster europäischer Cloud kann ein richtiger Schritt in diese Richtung werden. IV cepStudie Unzulässigkeit der Datenübermittlung in die USA Inhaltsverzeichnis Einleitung ..................................................................................................................................... 1 1 Welche Voraussetzungen gelten für Datenübermittlungen in Drittländer? .............................. 1 1.1 Angemessenheitsbeschlüsse