Schrems II: Konsequenzen aus dem EuGH-Urteil zum Privacy Shield

Der EuGH verkündete ein Urteil, das den Datenschutz bei Drittlandtransfer von personenbezogenen Daten massiv betrifft. Hier möchten wir Sie über die Kernpunkte des Urteils, die Hintergründe und das weitere Vorgehen informieren. Weitere Informationen finden Sie auch in unserem Info-Brief UIMCommunication  07/2020 und 09/2020.

Was sind die Kernpunkte des Urteils?

  1. Das Privacy Shield, auf welches Datentransfers zwischen Unternehmen aus EU-Mitgliedstaaten und den USA bislang oftmals gestützt werden konnten, wurde für UNGÜLTIG erklärt. Dies bedeutet: Datentransfers von Verantwortlichen aus der EU/EWR in die USA auf Basis des Privacy Shield sind nicht mehr möglich.
  2. Standardvertragsklauseln können weiterhin abgeschlossen werden. ABER: Dies gilt jedoch auch nur noch dann, wenn Verantwortlicher und Auftragsverarbeiter gewährleisten können, dass die Klauseln des Vertrages eingehalten werden können. Dies ist abhängig von den jeweiligen nationalen Gesetzen in den Drittländern.
  3. Den Aufsichtsbehörden kommt die Befugnis bzw. Pflicht zu, Datentransfers zu prüfen und ggf. zu untersagen, wenn ein sicheres Datenschutzniveau nicht durch entsprechende Garantien gewährleistet werden kann.

Wann ist das Urteil für uns relevant?

Sobald Ihr Unternehmen personenbezogene Daten in Länder außerhalb der EU/EWR transferiert, kann das Urteil für Sie relevant sein (Ausnahmen: siehe unten). Dies ist oftmals in folgenden Fällen gegeben:

  • Nutzung von Dienstleistern
  • Nutzung von Cloud-basierter Software
  • Nutzung von Internet-Diensten
  • Datenübermittlung an Tochtergesellschaften
  • Konzern-interner Datentransfer
  • Konzern-interne Dienstleistungen („Shared Services“)

Was sind die rechtlichen Hintergründe?

Gemäß Artt. 44 ff DSGVO müssen Verantwortliche und Auftragsverarbeiter auch bei Datentransfers in Drittländer ein angemessenes Datenschutzniveau gewährleisten. Drittländer sind alle Länder außerhalb der EU/EWR. Hierbei ist zwischen sicheren und unsicheren Drittländern zu unterscheiden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan. In diese ist die Datenübermittlung daher ausdrücklich gestattet.

Bislang zählte hierzu auch die USA, wenn der Empfänger dem Privacy Shield angehört. Dies änderte sich mit dem EuGH-Urteil.

Was sind die Konsequenzen aus dem Urteil?

Grundsätzlich gilt, dass aktuell davon auszugehen ist, dass kein Datentransfer in die USA (und vermutlich auch in andere Länder mit Massenüberwachungsgesetzen) zulässig ist bzw. Datenschutz-Aufsichtsbehörden keinen Datentransfer als zulässig erachten werden. Durch Maßnahmen können die Risiken für die Rechte und Freiheiten der betroffenen Personen aber reduziert werden, was – sofern dies stattfinden sollte – die Bewertung einer Datenschutz-Aufsichtsbehörde verbessern kann, was sich wiederum auf eine etwaige Bußgeldbemessung positiv auswirken könnte.

Tipp 1: Prüfung, ob Datentransfers in die USA oder andere Drittstaaten stattfinden

Erstellen Sie eine Liste der Datentransfers (Tipp: Schauen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis):

  1. Gesellschaften innerhalb des Unternehmensverbunds
  2. Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
  3. Sub-Dienstleister (insbesondere Cloud- und SaaS-Anbieter)

Tipp 2: Beurteilung der Notwendigkeit

Beurteilung der Notwendigkeit der betroffenen Verarbeitungen und der Unersetzbarkeit des Dienstleisters [inkl. Dokumentation]:

1. Ist die Datenverarbeitung/DV bzw. die Art der DV zwingend erforderlich?

  • So ist ein ERP-System wesentlich bedeutsamer als ein Newsletter-Versand-Tool und z. T. sogar unersetzlich für den Unternehmenserfolg.
  • Falls nein: Datenverarbeitung (zumindest temporär) stoppen

2. Ist im Rahmen der Datenverarbeitung ein Datentransfer in Drittstaaten erforderlich?

  • In einem in globale Strukturen einer internationalen Unternehmensgruppe kann übergreifendes (z. B. cloudbasiertes) CRM-System weniger gut auf internationale Zugriffsmöglichkeiten verzichtet werden als bei ein internen HR-/Personalverwaltungs-System, welches auch nur lokal bzw. innerhalb der EU betrieben werden.
  • Falls nein: Datentransfer (zumindest temporär) stoppen

3. Kann der aktuell genutzte Dienstleister/Systemanbieter durch einen anderen Dienstleister innerhalb der EU/EWR ersetzt werden?

  • Ein tief in die Unternehmensprozesse integriertes ERP-System ist wesentlich schwieriger austauschbar als ein nicht mit anderen Prozessen verzahntes System wie beispielsweise Website-Tracking-Tool.
  • Falls ja: Dienstleister-Wechsel vorbereiten

Tipp 3: Kontaktaufnahme mit dem Dienstleister

Bei Feststellung der Erforderlichkeit und Unersetzbarkeit (Dokumentation nicht vergessen): Kontaktaufnahme mit dem Dienstleister

1. Versand des Fragebogens [siehe Praxishilfen in unserem eCollege; Account erforderlich]

2. Erörterung der Möglichkeit, des Abschlusses von ergänzten Standardvertragsklauseln (SCC+; Rechtswirksamkeit unter Aufsichtsbehörden derzeit noch umstritten)

  • Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.

3. Sofern der Vertragspartner eine EU-Gesellschaft ist und nur der Sub-Dienstleister in Drittstaaten sitzt: Erörterung der Möglichkeit, sich vertraglich zusichern zu lassen, dass ein Drittlandtransfer ausgeschlossen werden kann

  • Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.

4. Erörterung der Möglichkeit, die Inhaltsdaten so zu verschlüsseln, dass eine Einsichtnahme durch den Dienstleister/Sub-Dienstleister nicht möglich ist

  • Ist dies nicht möglich, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.