Das Schrems II-Urteil des Europäischen Gerichtshofs und seine Bedeutung für Datentransfers in Drittländer
Hinweis: Die EU-Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss für die USA erlassen. Die Ausführungen des Europäischen Gerichtshofs im Schrems II-Urteil behalten für die Übermittlung personenbezogener Daten in andere Drittländer, für die kein Angemessenheitsbeschluss besteht, weiterhin Bedeutung.
(Stand: September 2022)
Bis zum 16. Juli 2020 konnten personenbezogene Daten auf Grundlage des Privacy Shield-Abkommens in die USA übermittelt werden. Im sogenannten Schrems II-Urteil hat der EuGH dieses Abkommen für unwirksam erklärt. Wir erläutern das Urteil und seine Folgen im Detail.
Was hat der EuGH im Schrems II-Urteil entschieden?
Personenbezogene Daten dürfen grundsätzlich nur dann an Drittländer (Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermittelt werden, wenn das durch die Datenschutz-Grundverordnung (DS-GVO) gewährleistete Schutzniveau nicht untergraben wird. Auf der Grundlage der Privacy Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Mit Urteil vom 16. Juli 2020 (Rechtssache C 311/18 – „Schrems II“) hat der EuGH diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt. Eine Übergangsfrist hat das Gericht nicht eingeräumt.
Bezüglich der Standarddatenschutzklauseln (Standardvertragsklauseln) hat der EuGH im Schrems II-Urteil entschieden, dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss tatsächlich ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.
Welche Konsequenzen hat das Urteil für Datenexporte in Drittländer?
Übermittlungen personenbezogener Daten in die USA auf der Grundlage des Privacy Shield sind unzulässig. Solche Übermittlungen müssen daher auf andere Rechtsgrundlagen umgestellt oder unverzüglich eingestellt werden.
Sofern Daten in Drittländer auf der Grundlage von Standardvertragsklauseln übermittelt werden sollen, muss der Verantwortliche bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen. Sofern das nicht der Fall ist, ist zu prüfen, ob zusätzliche Maßnahmen zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Denkbar sind rechtliche, technische oder organisatorische Maßnahmen. Die tatsächliche Wirksamkeit solcher Maßnahmen darf jedoch nicht durch die Rechtsordnung des Drittlandes beeinträchtigt werden.
Auch wenn das Urteil unmittelbar nur auf Standardvertragsklauseln bezogen ist, gelten die Anforderungen des EuGH entsprechend auch bei der Nutzung von verbindlichen internen Datenschutzvorschriften gemäß Art. 47 DS-GVO (Binding Corporate Rules, BCR). Auch hier hat der Verantwortliche zu prüfen, ob im Drittland ein gleichwertiges Schutzniveau vorherrscht oder ob gegebenenfalls zusätzliche Maßnahmen ergriffen werden können, um das angemessene Schutzniveau zu erreichen.
Welche konkreten Schritte sollten zur Umsetzung des Schrems II-Urteils unternommen werden?
1. Bestandsaufnahme über Datenexporte in Drittländer
Verantwortliche sollten prüfen, in welchen Fällen auf welcher Rechtsgrundlage personenbezogene Daten in Drittländer übermittelt werden. Bei dieser Bestandsaufnahme sind auch Auftragsverarbeiter in den Blick zu nehmen, die möglicherweise personenbezogene Daten an ein Drittland übermitteln.
Sofern bei der Bestandsaufnahme Datenexporte in die USA auf der Grundlage des für ungültig erklärten Angemessenheitsbeschlusses für die USA (Privacy Shield) identifiziert werden, muss die Übermittlung sofort eingestellt oder – soweit möglich – unverzüglich eine andere Rechtsgrundlage für den Datenexport gefunden werden.
Auch bei Datenexporten in andere Drittländer auf der Grundlage von Standardvertragsklauseln oder Binding Corporate Rules müssen die neuen Anforderungen des EuGH umgesetzt werden und geprüft werden, ob im jeweiligen Drittland ein im Wesentlichen gleichwertiges Schutzniveau besteht. Das gilt besonders im Hinblick auf den Zugriff durch Sicherheitsbehörden auf die dorthin übermittelten personenbezogenen Daten (siehe Ziffer 2 und 3).
Soweit die Bestandsaufnahme ergibt, dass Datenexporte in Drittländer auf der Grundlage bestehender Angemessenheitsbeschlüsse nach Art. 45 DS-GVO erfolgen, können diese weiter durchgeführt werden. Angemessenheitsbeschlüsse bestehen für Andorra, Argentinien, Guernsey, die Färöer-Inseln, Isle of Man, Israel, Japan, Jersey, Kanada, Neuseeland, die Schweiz, Südkorea und Uruguay und das Vereinigte Königreich.
2. Überprüfung der Datenexporte auf der Grundlage von Standardvertragsklauseln
Sofern Standardvertragsklauseln (Art. 46 Abs. 2c DS-GVO) für die Datenexporte genutzt werden sollen, ist zu prüfen, ob im Drittland ein Schutzniveau besteht, das dem in der EU durch die DS-GVO im Licht der Grundrechte-Charta garantierten Niveau der Sache nach gleichwertig ist (vgl. Kriterien in Art. 45 Abs. 2 DS-GVO). Für die USA ist der EuGH im Anwendungsbereich der US-Auslandsaufklärungsprogramme der Auffassung, dass das Schutzniveau nicht dem in der EU entspricht, u. a. da EU-Bürgerinnen und -Bürger keine wirksamen Rechtsbehelfe gegen die weitreichenden Zugriffsbefugnisse von US-Behörden auf personenbezogene Daten hätten. Die deutschen Datenschutz-Aufsichtsbehörden haben die Ergebnisse eines externen Gutachtens zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden veröffentlicht.
Falls nach dem Ergebnis der Prüfung kein gleichwertiges Schutzniveau besteht, ist zu prüfen, ob durch zusätzliche Maßnahmen ein Schutzniveau erreicht werden kann, das dem in der Europäischen Union entspricht. Es kommen zusätzliche rechtliche, organisatorische oder technische Maßnahmen in Betracht. Der Europäische Datenschutzausschuss (EDSA) hat hierzu die Empfehlungen 01/2020 zu Maßnahmen veröffentlicht, die die Transfer-Tools ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten.
Ein gleichwertiges Schutzniveau fehlt, sofern Behörden des Drittlandes trotz dieser zusätzlichen Maßnahmen auf die exportierten Daten in unverhältnismäßiger Art und Weise zugreifen können und es keinen wirksamen Rechtsschutz dagegen gibt.
Sofern ein Verantwortlicher zu dem Schluss gelangt, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, besteht die Verpflichtung, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden.
3. Überprüfung der Datenexporte auf der Grundlage von Binding Corporate Rules
Für Datenexporte, die auf Binding Corporate Rules gestützt werden, gilt das zu Ziffer 2 Gesagte entsprechend.
4. Datenexporte auf der Grundlage von Ausnahmen nach Art. 49 DS-GVO
Falls weder ein Angemessenheitsbeschluss besteht noch eine geeignete Garantie im Sinne von Art. 46 DS-GVO genutzt werden kann, kann in Erwägung gezogen werden, die Ausnahmevorschrift des Art. 49 DS-GVO zu nutzen, sofern deren Tatbestandsvoraussetzungen erfüllt sind. Die sonstigen Bestimmungen der DS-GVO, insbesondere die Artikel 5 und 6 DS-GVO sind in jedem Fall einzuhalten. Die Leitlinien des EDSA zu den Ausnahmen nach Artikel 49 DS-GVO sind weiterhin gültig und unverändert anzuwenden. Grundsätzlich ist die Ausnahmevorschrift des Art. 49 DS-GVO restriktiv anzuwenden, weil die personenbezogenen Daten auf dieser Grundlage ohne jegliche datenschutzrechtlichen Schutzvorkehrungen übermittelt werden.
5. Überprüfung und ggf. Aktualisierung der Dokumentation und der Informationspflichten
Sofern die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht, müssen Änderungen dort eingetragen werden (z. B. wenn keine personenbezogenen Daten mehr in die USA übermittelt werden oder wenn die Daten in ein anderes Drittland übermittelt werden, siehe Art. 30 Abs. 1 Satz 2 lit. d und e und Abs. 2 lit. c DS-GVO).
Außerdem müssen die Informationspflichten nach Art. 13 Abs. 1 lit. f DS-GVO überprüft und ggf. aktualisiert werden (z. B. wenn Übermittlungen vom Privacy Shield auf andere Rechtsgrundlagen umgestellt werden).
Die strukturierte Überprüfung der Rechtmäßigkeit des Datentransfers in Drittländer muss für die Aufsichtsbehörde nachprüfbar dokumentiert sein.
6. Meldepflicht gegenüber der Aufsichtsbehörde
Falls ein Verantwortlicher zu dem Schluss gelangt, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind und er gleichwohl beabsichtigt, die personenbezogenen Daten weiterhin auf der Grundlage der Standardvertragsklauseln zu übermitteln, ist dies der zuständigen Aufsichtsbehörde mitzuteilen (vgl. Klausel 4 lit. g Beschluss 2010/87/EU [Verantwortlicher an Auftragsverarbeiter], Klausel 5 lit. a Beschluss 2001/497/EG [Verantwortlicher an Verantwortlichen, Set I], Anhang Set II, Ziffer II. lit. c des Beschlusses 2004/915/EG [Verantwortlicher an Verantwortlichen].
Dementsprechend ergibt sich bei der Verwendung von Binding Corporate Rules grundsätzlich eine Meldepflicht aus den jeweiligen BCR (vgl. die Checkliste der inhaltlichen Anforderungen für BCR für Verantwortliche, Ziffer 6.3 des WP 256 Rev. 01 sowie für BCR für Auftragsverarbeiter die Vorgaben in Ziffer 6.3 des WP 257 Rev. 01).
Weitere Informationen zum Schrems II-Urteil finden Sie auf der Internetseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Außerdem wird auf die vom Europäischen Datenschutzausschuss erarbeitete Zusammenstellung häufig gestellter Fragen (FAQ) zum Urteil sowie auf die Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten (Version 2.0 vom 18.06.2021) verwiesen.