Grundsätzlich bedürfen nach der Datenschutz-Grundverordnung (DSGVO) Datenübermittlungen an Dritte einer Rechtsgrundlage. Auch wenn für die Übermittlung von Daten an Dritte eine solche Rechtsgrundlage besteht, bedarf es für die Übermittlung in ein Land außerhalb der EU bzw. des EWR – sog. Drittland — einer weiteren Rechtsgrundlage. Dafür stellt die DSGVO eine Reihe von Instrumentarien zur Verfügung, die eine solche Übermittlung ermöglichen. So ist eine Übermittlung zum Beispiel möglich, wenn
es für das entsprechende Drittland einen Beschluss der EU-Kommission gibt, dass ein angemessenes Datenschutzniveau besteht;
die Übermittlung mittels durch Beschluss der EU erlassenen Standardvertragsklauseln erfolgt.
Für die Übermittlung von Daten in die USA bestand ein Beschluss der EU-Kommission, nachdem in der USA ansässige Unternehmen, die nach dem Privacy Shield Abkommen zwischen der EU und den USA zertifiziert sind, ein angemessenes Datenschutzniveau gewährleisten. Die Übermittlung an solche Unternehmen war demnach möglich. Das Privacy Shield Abkommen ist der Nachfolger des Safe Harbour Abkommens, welches bereits im Jahre 2015 vom EuGH als unwirksam angesehen wurde.
Die Schrems II Entscheidung des EuGHs vom 16. Juli 2020 — C‑362/14
In Bezug auf eine Datenübermittlung in die USA vertritt der EuGH in dieser Entscheidung die Auffassung, dass insbesondere zwei Vorschriften der US-Gesetzgebung einem angemessenen Schutz der personenbezogenen Daten nach der DSGVO entgegenstehen.
Basierend auf einer dieser Vorschriften werden in den USA Überwachungsprogramme zur Abwehr von Terrorismus genutzt, die unter bestimmten Voraussetzungen
zum einen die Anbieter von Internetdiensten verpflichten, der NSA (National Security Agency) die gesamte Kommunikation vorzulegen, die von überwachten Nicht-US-Bürgern, versandt oder empfangen wurden
und zum anderen Telekommunikationsunternehmen, die z.B. das Netz von Kabeln, Switches und Routern betreiben, die die Funktion des Internets ermöglichen, verpflichten, der NSA zu gestatten, die Internetverkehrsflüsse zu kopieren und zu filtern, um Zugang zu der Kommunikation von Nicht-US-Bürgern zu erlangen.
Die andere Vorschrift erlaubt der NSA den Zugang zu Daten, die „auf dem Weg“ in USA sind. Die NSA kann insoweit Zugriff auf die am Grunde des Atlantiks verlegten Seekabel nehmen und entsprechende Daten sammeln und speichern bevor sie in den USA ankommen.
Diese Regelungen, so der EuGH, seien mit dem Schutz der Privatsphäre und der personenbezogenen Daten nach den Grundsätzen der EU nicht vereinbar, da zum einen den Betroffenen keine adäquaten Rechtsbehelfe gegen solche Maßnahmen zustünden, und um anderen der Grundsatz der Verhältnismäßigkeit bei der Datensammlung nicht gewahrt würde.
Auf Grund dieser Feststellungen gelangt der EuGH zu der Auffassung, dass der Beschluss der EU-Kommission zum Privacy Shield Abkommen unwirksam ist.
Die durch die EU-Kommission erlassenen Standardvertragsklauseln sieht der EuGH jedoch grundsätzlich als wirksam an. Allerdings stellt der EuGH an die Nutzung dieser Standardvertragsklauseln zur datenschutzrechtlichen Zulässigkeit hohe Anforderungen. So muss nach dem EuGH für jede Datenübermittlung, die auf Standardvertragsklauseln gestützt werden soll, geprüft werden, ob in dem entsprechenden Drittland rechtliche Bestimmungen existieren, die gegebenenfalls dem Schutz der Privatsphäre und der personenbezogenen Daten der EU entgegenstehen.
Ist dies der Fall, so können die Standardvertragsklauseln nur genutzt werden, wenn gegebenenfalls durch zusätzliche Vereinbarungen sichergestellt wird, dass die entsprechenden Gesetze keinen Einfluss auf die Datenübermittlung haben. Erfolgt dies nicht oder ist dies für die entsprechende Datenübermittlung nicht möglich, so kann eine solche Datenübermittlung nicht datenschutzkonform auf die Standardvertragsklauseln gestützt werden.
Auswirkungen der Entscheidung auf die Praxis?
Datenübermittlung in die USA
Datenübermittlungen in die USA auf Basis des Privacy Shields sind nicht mehr möglich und müssen daher sofort beendet werden.
Bei Datenübermittlungen auf Basis von Standardvertragsklauseln, muss überprüft werden, ob die vom EuGH zitierten Vorschriften, auf sie Anwendung finden und wenn ja, ob ggf. durch zusätzliche Vereinbarungen sichergestellt werden kann, dass die entsprechenden Vorschriften keinen Einfluss auf die jeweilige Datenübermittlung haben. Eine solche Überprüfung muss auch für andere Vorschriften in den USA vorgenommen werden, die ggf. dem Schutz der Privatsphäre und der personenbezogenen Daten der EU entgegenstehen.
Datenübermittlungen in andere Drittländer
Auch hier muss nun nach den Vorgaben des EuGHs geprüft werden, ob in dem jeweiligen Drittland rechtliche Bestimmungen existieren, die gegebenenfalls dem Schutz der Privatsphäre und der personenbezogenen Daten der EU entgegenstehen. Ist dies der Fall, so können die Standardvertragsklauseln nur genutzt werden, wenn gegebenenfalls durch zusätzliche Vereinbarungen sichergestellt wird, dass die entsprechenden Gesetze keinen Einfluss auf die jeweilige Datenübermittlung haben.
Auswirkungen auf andere Übermittlungsformen
Nach der DSGVO sind auch Übermittlung auf der Grundlage von verbindlichen internen Datenschutzvorschriften möglich. Dabei handelt es sich um Vorgaben zum Datenschutz, die für Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, verbindlich und von der zuständigen Aufsichtsbehörde genehmigt sind.
Auch für solche gelten die Vorgaben des EuGHs, es muss daher auch hier eine Überprüfung nach obigem Muster und ggf. eben eine Nachbesserung der internen Datenschutzvorschriften und entsprechende Freigabe durch die Aufsichtsbehörden erfolgen.
