Julia Storkenmaier

GESCHRIEBEN VON

Julia Storkenmaier
Rechtsanwältin Julia Storkenmaier ist Associate bei der Hamburger Anwaltskanzlei CMS Hasche Sigle, wo sie nationale und internationale Klienten in Sachen IT-Vertragsrecht unterstützt. Spezielle Kenntnisse besitzt sie im Datenschutz und im Recht der neuen Medien, wo sie außer zum Domain- und Internetrecht auch zu den Themenfeldern Social Media, Games und Digital Business berät. So unterstützt sie beispielsweise bei der rechtskonformen Umsetzung von Online-Marketing-Projekten und dem Einsatz von Messenger-Diensten.

Datenschutz 2021: Rechtssichere Datenübertragung in USA und UK

Geschrieben von Julia Storkenmaier

Das Jahr 2020 stellte uns nicht nur in persönlicher Hinsicht vor neue, ungeahnte Herausforderungen. Auch im Datenschutzrecht gab es weitrechende neue Entwicklungen, die sich bis in das Jahr 2021 ziehen. Die die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU – insbesondere in die USA aufgrund des Wegfalls des sogenannten Privacy Shields -, wesentlich erschwert.

Privacy Shield und Datenübermittlung in Länder außerhalb der EU

Wer personenbezogenen Daten aus der EU in ein Land außerhalb der EU (=Drittland) übermittelt, benötigt hierfür stets eine besondere Rechtsgrundlage. Der Grund dafür: Der europäische Gesetzgeber geht davon aus, dass personenbezogene Daten in der EU wegen der Geltung der eher strengen DSGVO besonders gut geschützt werden. Dieses Schutzniveau soll auch bei einer Übertragung außerhalb der EU aufrechterhalten bleiben. Unterschiedliche Rechtsgrundlagen sind möglich:

  • Angemessenheitsbeschluss: Die EU-Kommission kann einen Angemessenheitsbeschluss erlassen, wenn sie der Ansicht ist, dass personenbezogenen Daten in einem Drittland ausreichend geschützt werden. Das Privacy Shield war ein solcher Angemessenheitsbeschluss für die USA.
  • Standardvertragsklauseln: Derjenige, der Daten in der EU verarbeitet (=Datenexporteur) und diese an ein Unternehmen außerhalb der EU (=Datenimporteur) überträgt, kann Standardvertragsklauseln der EU-Kommission nutzen. Dabei handelt es sich um Musterverträge der EU-Kommission (Standard Contractual Clauses (SCC) | EU-Kommission (europa.eu)), die eins zu eins übernommen werden müssen und nur bei den vorgesehen Freifeldern individuelle Regelungen enthalten dürfen. Außerdem dürfen in Zusatzvereinbarungen zu den Standardvertragsklauseln Regelungen vereinbart werden, die einen weitergehenden Schutz personenbezogener Daten ermöglichen, nicht jedoch solche, die den Schutz beeinträchtigen oder den Regelungen in den Standardvertragsklauseln widersprechen.

Kennen Sie Ihre Datenflüsse?

Viele Unternehmen wissen jedoch gar nicht so genau, wo die personenbezogenen Daten, die sie verarbeiten, überhaupt hinfließen und auf welcher Rechtsgrundlage dies geschieht. Das sog. „Data Mapping“, d.h. die übersichtliche Aufstellung ihrer Datenflüsse ist für einige noch Neuland.

Wissen Sie etwa, wo die personenbezogenen Daten Ihrer Kunden verarbeitet werden? Wird die IP-Adresse Ihrer Website-User ausschließlich in der EU genutzt und verarbeitet oder wird sie zu einem anderen Unternehmen in die USA übertragen? Haben Sie sich einmal die Nutzungsbedingungen und Datenschutzerklärungen der von Ihnen eingesetzten Tools (z.B. Google Analytics, Mailchimp u.v.m.) dahingehend genauer angeschaut? Wenn nicht, wird es höchste Zeit.

EuGH entscheidet in Schrems II: Das Privacy Shield ist unwirksam

Doch warum all die Eile und Besorgnis? Der Europäische Gerichtshof (EuGH) in Luxemburg hat bereits im Juli 2020 in der „Schrems II-Entscheidung“ entschieden, dass die rechtliche Grundlage für die Übertragung von personenbezogenen Daten aus der EU in die USA, das sogenannte „Privacy Shield“ unwirksam ist. (Verweise auf das Privacy Shield in den Datenschutzerklärungen auf Ihrer öffentlichen Unternehmens-Website sollten spätestens jetzt entfernt werden – hierbei besteht ein erhöhtes Bußgeld- und Abmahnrisiko.)

Standardvertragsklauseln können genutzt werden, aber…

In seiner Schrems II-Entscheidung stellte der EuGH ausdrücklich klar, dass trotz der Unwirksamkeit des Privacy Shields für einen Datentransfer in die USA weiterhin Standardvertragsklauseln genutzt werden können. Die umfangreichen Überwachungsmöglichkeiten der US-Geheimdienste erfordern jedoch, dass personenbezogene Daten, die von den Überwachungsmaßnahmen betroffen sein können, durch weitergehende zusätzliche vertragliche, organisatorische und technische Maßnahmen (z.B. Verschlüsselung) geschützt werden.

Wie genau haben die zusätzlichen Maßnahmen auszusehen?

Wie genau die Maßnahmen im Einzelnen auszusehen haben, definierte der EuGH nicht, sondern überlässt dies den betroffenen Unternehmen und schließlich auch den Aufsichtsbehörden. Genau diese sind nämlich dafür zuständig, einen Datentransfer in ein Drittland zu untersagen, wenn die vom EuGH aufgestellten Grundsätze nicht eingehalten werden.

Die aktuellsten und von allen europäischen Aufsichtsbehörden konsolidierten Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zur Umsetzung der zusätzlichen vertraglichen, organisatorischen und technischen Maßnahmen sind seit November 2020 aufrufbar (edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf (europa.eu)).

Schrems II hat nicht nur Auswirkungen auf die Datenübermittlung in die USA

Obwohl es beim Schrems II-Urteil um eine Datenübermittlung in die USA ging, gelten die vom EuGH aufgestellten Grundsätze für sämtliche Datenübermittlungen in Drittländer. Besteht kein wirksamer Angemessenheitsbeschluss (im Detail siehe https://datenschutz.hessen.de/) , müssen Standardvertragsklauseln abgeschlossen und rechtlich geprüft werden, ob das Datenschutzniveau in dem Drittland demjenigen in der EU entspricht. Kann dies trotz der in den Standardvertragsklauseln enthaltenen Garantien nicht sichergestellt werden, muss der Datenexporteur zusätzliche Maßnahmen umsetzen.

Können personenbezogene Daten ausnahmsweise ohne Angemessenheitsbeschluss und ohne Standardvertragsklauseln in die USA übertragen werden?

Ausnahmsweise kann auch eine Einwilligung der Kunden für eine Datenübermittlung in ein Drittland wie die USA herangezogen werden. Für Unternehmen, die regelmäßig personenbezogene Daten in Drittländer übermitteln, dürfte diese Alternative jedoch wenig reizvoll sein. Eine solche Einwilligung müsste nämlich für jede einzelne Übertragung eingeholt werden und der Kunde müsste ausführlich über das Datenschutzniveau in dem Drittland informiert werden. Ein Cookie-Banner wird hierdurch häufig überfrachtet und die Einwilligung müsste wohl bei jedem Website-Besuch erneut eingeholt werden.

Welche Auswirkungen hat der Brexit auf Datenübermittlungen in das UK?

Durch den Brexit ist das Vereinigte Königreich (UK) aus der EU ausgetreten und wurde – nach Ablauf einer Übergangsfrist bis zum 31.12.2020 – schließlich auch in datenschutzrechtlicher Hinsicht ein Drittland. Wäre nicht ein Weihnachtswunder geschehen, bedürfte Übermittlung personenbezogener Daten aus der EU in das UK bereits jetzt einer zusätzlichen Rechtsgrundlage (z.B. Angemessenheitsbeschluss, Standardvertragsklauseln, Einwilligung).

Pünktlich zu Heiligabend, am 24. Dezember 2020, konnten sich die EU und das UK in einem Handels- und Kooperationsabkommen (https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:22020A1231(01)&from=EN) darauf einigen, das UK für eine weitere Übergangszeit von vier Monaten, die um weitere zwei Monate verlängert werden kann, für den Bereich des Datenschutzrechts so zu behandeln, als wäre es kein Drittland. Dies gilt solange das UK während dieses Zeitraums sein geltendes Datenschutzsystem nicht ändert.

Sollte die EU-Kommission jedoch nicht bis spätestens zum 30. Juni 2021 einen Angemessenheitsbeschluss erlassen, müssen andere, aufwändigere Rechtsgrundlagen wie Standardvertragsklauseln für eine Datenübermittlung in das UK herangezogen werden.

Viele Beobachter haben bereits Anfang des Jahres in der erneuten Einräumung einer Übergangsfrist die klare politische Intention der EU-Kommission gesehen, einen Angemessenheitsbeschluss zu erlassen. Immerhin wird in dem Handelsabkommen klargestellt, dass die Übergangsfrist frühzeitig endet, sollte vor dem 30. Juni 2021 ein Angemessenheitsbeschluss der EU-Kommission umgesetzt werden. Diese Beobachter wurden nicht enttäuscht. Die EU-Kommission hat am 19.02.2021 das Verfahren zur Annahme eines Angemessenheitsbeschlusses zwischen dem UK und der EU eingeleitet.

Bis zur Annahme des Angemessenheitsbeschlusses sollten Unternehmen  bereits jetzt prüfen, ob Datenflüsse in das UK stattfinden und in Datenschutzerklärungen bezüglich der Rechtmäßigkeit der Übermittlung auf das Handels- und Kooperationsabkommen zwischen der EU und dem UK verweisen. Ab Geltung des Angemessenheitsbeschlusses ist ein Verweis auf den Angemessenheitsbeschluss erforderlich.

Zusammenfassung

Im Ergebnis hat das EuGH-Urteil zu Schrems II und die Unwirksamkeit des Privacy Shield-Abkommens Unternehmen, die personenbezogene Daten in Drittländer wie die USA übermitteln, vor neue Herausforderungen gestellt. Eine solche Datenübermittlung ist nicht ausgeschlossen, sollte im Einzelfall aber genau geprüft werden.