16 November 2020 Dr. Daniel Pauly  -  Dr. Anna-Katharina Lohbeck Datenschutz

Leitlinien für Schrems II - Überarbeitete Standardvertragsklauseln

Das sogenannte „Schrems-II“-Urteil des Europäischen Gerichtshofs (EuGH) hat die Wirtschaftswelt in Aufregung versetzt. Vielen Übermittlungen personenbezogener Daten in Drittländer, allen voran den USA, wurde ein Riegel vorgeschoben. Seit diesem Urteil herrscht eine allumfassende Unsicherheit bei Banken, Versicherungen, Automobilherstellern, Tech-Konzernen und sonstigen Unternehmen, wie ein Datenaustausch mit Empfängern in den USA, China, Indien und anderen Ländern zukünftig möglich sein wird. Der Europäische Datenschutzausschuss (EDSA) hat dazu nun seine lang ersehnten Leitlinien veröffentlicht. In diesen wird anhand von sechs Schritten versucht aufzuzeigen, wie eine künftige Datenübermittlung in Drittländer rechtlich abgesichert werden könnte.

Währenddessen hat die Europäische Kommission die, vom EuGH dem Grunde nach für rechtmäßig erachteten, Standardvertragsklauseln (SCCs) überarbeitet. Im Konsultationsverfahren wird interessierten Bürgern, Unternehmen und Organisationen nun die Möglichkeit gegeben, Stellung zu nehmen.

Hintergrund

Im Rahmen seiner Entscheidung vom 16. Juli 2020 (C-311/18) hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt. 

Der EuGH begründete seine Entscheidung im Wesentlichen damit, dass die weitreichenden Überwachungsprogramme der US-Geheimdienste in der aktuellen Praxis über das erforderliche Maß hinausgingen und EU-Bürgern keine ausreichenden Rechtsschutzmöglichkeiten hiergegen zustünden. Daher sei auf Grundlage des EU-US Privacy Shield kein dem Recht der europäischen Union angemessenes Datenschutzniveau gewährleistet.

Im Gegensatz hierzu erklärte der EuGH, dass die von der EU-Kommission beschlossenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten durch Verantwortliche an Auftragsverarbeiter in Drittländer weiterhin wirksam bleiben und als Grundlage hierfür herangezogen werden können.

Gleichzeitig betonte der EuGH, dass sowohl datenexportierende Verantwortliche als auch zuständige Aufsichtsbehörden die Einhaltung der Regelungen der Standardvertragsklauseln aktiv überwachen und Übermittlungen im Einzelfall dann aussetzen oder verbieten müssen, wenn ein dem Unionsrecht entsprechendes Datenschutzniveau nicht mehr gewährleistet werde oder gewährleistet werden könne.

Die Leitlinien des EDSA

Der EuGH hat sich in seinem Urteil lediglich mit der Rechtmäßigkeit der Datenübermittlungen in die USA beschäftigt und diese, wenn sie auf Grundlage des EU-US Privacy Shields geschahen, negiert. Konkrete Lösungsvorschläge und Maßnahmen hat der EuGH nicht mitgeliefert. Dem hat sich nun der EDSA (abrufbar hier und hier) angenommen und anhand der folgenden sechs Schritten erläutert, welche Maßnahmen getroffen werden können, um eine Datenübermittlung in „unsichere“ Drittländer i.S.d. DSGVO zu legitimieren:

In einem ersten Schritt sollen die Datenexporteure ermitteln, welche Datentransfers an welche Empfänger zu welchen Zwecken in Drittländer erfolgen. Dabei soll sichergestellt werden, dass der Datentransfer auf wirklich notwendige Daten limitiert bleibt.

In Schritt zwei sollen die Unternehmen ermitteln, auf welcher rechtlichen Grundlage der Datentransfer gerechtfertigt wird. Zur Verfügung stehen die im Kapitel V der DSGVO (Art. 45 bis 49) aufgeführten Instrumente. 

Als dritter Schritt soll sichergestellt werden, dass die Rechtslage im importierenden Drittland korrekt erfasst wird. Dies dient der Ermittlung konkreter Risiken für die Betroffenen. Je nach Empfangsland kann dies abhängig von der Art des Unternehmens sein.

Die Benennung und Implementierung konkreter Maßnahmen zum Schutz der übermittelten Daten soll im vierten Schritt vollzogen werden. Notwendig wird dies lediglich, wenn man die Datenübermittlung auf Art. 46 DSGVO stützt. Der EDSA hat in seinem Anhang zu den Leitlinien einige Beispiele an Maßnahmen aufgelistet. Darin werden sowohl technische als auch organisatorische Maßnahmen aufgeführt und zudem Anwendungsfälle mit konkreten Lösungsvorschlägen für bestimmte Szenarien dargelegt. Der Vollständigkeit halber wurden auch Szenarien aufgelistet und ausgeführt, in welchen keine effektiven Maßnahmen denkbar sind.

Vorgeschlagene TOMS des EDSA

Grundsätzlich priorisiert der EDSA in seinen Vorschlägen technische Maßnahmen, da organisatorische Maßnahmen nicht den gleichen Grad an Effektivität aufweisen sollen. 

Zu den technischen Maßnahmen gehören nach Ansicht des EDSA insbesondere starke Verschlüsselungsmethoden, von Kunden verwaltete Verschlüsselungsschlüssel (CMEKs – customer managed encryption keys), die Möglichkeit der Pseudonymisierung (eine Anonymisierung wird, anders als bspw. durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, nicht in Betracht gezogen) und eine Teilung der Daten und der Datenverarbeitung auf mehrere Verantwortliche. 

Problematisiert wird vom EDSA vor allem die Nutzung von Cloud-Services und Remote-Lösungen (Fernzugriff) in und von Drittländern ohne ausreichenden Datenschutz.

An organisatorischen und vertraglichen Maßnahmen nennt der EDSA unter anderem eine Verpflichtung zur transparenten Darlegung der staatlichen Zugriffe auf Daten, Verpflichtungen zertifizieren zu lassen, dass keine tatsächlichen Hintertüren für staatlichen Datenzugriff nachträglich implementiert wurden und werden und weitreichende Prüfrechte des Verantwortlichen gegenüber den Datenimporteuren. Darüber hinaus werden an organisatorischen Maßnahmen interne Richtlinien zur Kompetenz- und Verantwortlichkeitsteilung bei staatlichen Zugriffsanfragen, deren Dokumentation und eine strenge Datenminimierung vorgeschlagen.

Dabei wird betont, dass vertragliche Maßnahmen, mangels Bindungswirkung der importierenden Staaten, nur bedingt wirkungsvoll sind.
Im fünften Schritt sollen die für die Implementierung der zusätzlichen Maßnahmen erforderlichen formellen Prozesse ausgeführt werden. Eine Rücksprache mit der jeweils zuständigen Datenschutzbehörde könnte bei der Implementierung gewisser Maßnahmen notwendig sein. Eine Anfrage bei der zuständigen Aufsichtsbehörde, wenn die SCCs ergänzt werden, ist explizit nicht vorgesehen.

Der sechste und letzte Schritt sieht eine regelmäßige Überprüfung der getroffenen Maßnahmen vor, um sicherzustellen, dass das Datenschutzniveau weiterhin gewährleistet wird.

Bewertung der Leitlinien des EDSA

Ein Vorteil der Leitlinien liegt sicherlich darin, dass diese als klare Positionsbestimmung der im EDSA versammelten Aufsichtsbehörden zu verstehen ist. Insbesondere der mehrfache Hinweis auf die Verantwortlichkeit und Rechenschaftspflicht der Verantwortlichen in den Richtlinien lässt keinen Zweifel daran, dass die Behörden den Wortlaut des Schrems-II-Urteils sehr ernst nehmen und Übermittlungen, die ihrer Ansicht nach in Widerspruch zu den Ausführungen des EuGH stehen, sanktionieren würden.

Ein weiterer Vorteil sind die in Annex 3 beschriebenen Anwendungsfälle. Bei diesen handelt es sich offensichtlich um konkrete Situationen, mit denen sich die Aufsichtsbehörden in der Verwaltungspraxis bereits auseinandergesetzt haben und die dementsprechend durchdacht sind. Auch wenn die Lösung des ein oder anderen Anwendungsfalls hinter den Erwartungen zurückbleibt und eher enttäuschend ist, so wird jedoch klar, was die Behörden in den genannten Situationen erwarten.

Positiv anzumerken ist schließlich, dass der EDSA explizit von einer Genehmigungspflicht vertraglicher Zusatzmaßnahmen neben den SCCs absieht (Rz. 56).

Inhaltlich erscheinen die Leitlinien demgegenüber teilweise praxisfern. Auch werden für viele wichtige Fragestellungen und Konstellationen keine Lösungen geboten oder sogar explizit als nicht zu rechtfertigend abgelehnt. Werden beispielsweise Klardaten in einer Cloud in den USA gespeichert oder bestehen internationale Zugriffsberechtigungen auf diese, so besteht laut EDSA keine Möglichkeit einer rechtmäßigen Lösung (Rz. 88 ff.). Dies gelte sogar, wenn die Daten die EU nicht verlassen, sondern lediglich aus Drittländern auf diese Daten zugegriffen werden kann (Rz. 13). Auch eine Risikoeinschätzung soll nur anhand objektiver Faktoren wie der Rechtslage stattfinden und nicht mittels subjektiver Faktoren wie der Wahrscheinlichkeit, dass Behörden tatsächlich auf die Daten zugreifen (Rz. 42). Eine Begründung dafür wird leider nicht geboten. Bemerkenswert ist darüber hinaus, dass die Menge oder die Art der Daten für die Bewertung potenzieller Risiken und darauffolgender Maßnahmen irrelevant zu sein scheint.

EU-Kommission startet öffentliche Konsultation zu überarbeiteten Standardvertragsklauseln

Während der EDSA Leitlinien zum Umgang mit dem Urteil des Europäischen Gerichtshofs zu „Schrems II“ veröffentlichte, startete die Europäische Kommission das Konsultationsverfahren zu den von ihr überarbeiteten Standardvertragsklauseln (abrufbar hier und hier) (SCCs). Die Frist für etwaige Rückmeldungen läuft bis zum 10. Dezember 2020.

Konsultationsverfahren

Im Rahmen eines Konsultationsverfahrens erhalten interessierte Bürger, Unternehmen und Organisationen die Möglichkeit, Feedback zu dem Entwurf abzugeben. So gewährleistet die Europäische Kommission, dass die Rechtsetzungsvorschläge mit den Vorstellungen derjenigen korrespondieren, die am stärksten davon betroffen sind. Ziel ist es dabei auch, unnötigen bürokratischen Aufwand zu vermeiden.

Die neuen, modernisierten SCCs sollen dem Umstand Rechnung tragen, dass sich in den letzten Jahren die Digitalisierung kontinuierlich weiterentwickelt hat. Gelingen soll dies durch einen flexibleren Ansatz, der es ermöglichen soll, den neuen Parteistrukturen, Parteimehrheiten und Verarbeitungssituationen gerecht zu werden.

Die neuen Standardvertragsklauseln

Die neuen SCCs sind modular aufgebaut und sorgen damit für Übersichtlichkeit. Neu sind insbesondere die lang ersehnten Konstellationen des „Processor-to-Processor“ (P2P) und „Processor-to-Controller“ (P2C).

Erleichterung für die Praxis

Dies ist für sich genommen schon eine große Erleichterung für die Praxis. Bisweilen war beispielsweise der Einsatz von Unterauftragsverarbeitern (subprocessors) in Drittstaaten über die SCCs umständlich zu regeln. Nunmehr könnten die neuen SCCs Abhilfe leisten. 

Außerdem sind die Vorlagen einfach zu transferieren und auszufüllen, sodass auch hier die praktische Arbeit erleichtert wird.

Enthalten ist zudem eine generelle Genehmigung für den Einsatz von Unterauftragsverarbeitern, was sich wohl mit Blick auf die Cloud-Dienste ebenfalls als eine positive Entwicklung erweist.

Anpassungen an Schrems II

Mit den neuen SCCs reagierte die Europäische Kommission aber auch auf die Rahmenbedingungen für die grenzüberschreitende Datenübermittlung, die der Europäische Gerichtshof in seinem Urteil zu Schrems II entwickelt und festgelegt hat. So wurde etwa die Verpflichtung zur Überprüfung und Dokumentation der Risikobewertungen für die Datenübermittlung zuzüglich einer Bewertung des örtlichen Rechts etabliert. 

Weiter wird der Datenimporteur nunmehr zusätzlich verpflichtet, umfassende Informationen, die zur Überprüfung der Einhaltung der in den Klauseln festgelegten Verpflichtungen dienen, bereitzustellen.

Am Ende des Tages müssen dennoch die übermittelnden Unternehmen künftig im Einzelfall prüfen, ob die Gesetze im Empfängerland den in den SCCs enthaltenden Vertragspflichten genügen oder entgegenstehen. Die SCCs können dabei sicher eine Hilfe sein, doch ändern auch sie nichts an der Rechtslage und den Behördenbefugnissen in Drittländern.

Wie geht es weiter?

Nach Abschluss des Konsultationsverfahrens wird das Gesetzgebungsverfahren fortgesetzt. Der Europäische Rat und das Europäische Parlament überprüfen den Rechtsetzungsvorschlag der Europäischen Kommission und nehmen gegebenenfalls Änderungen vor. Kommt keine Einigung zustande, wird der Vorschlag abgelehnt.

Wird eine Einigung erzielt, läuft ab dem Inkrafttreten der neuen SCCs eine einjährige Übergangsfrist. In dieser Zeit können die alten SCCs, gegebenenfalls mit ergänzenden Maßnahmen, noch verwendet werden.

Interessant wird, wie in der Praxis die eher unternehmensfreundlichen SCCs mit den um einiges restriktiveren Richtlinien des EDSA in Einklang zu bringen sind. Diesbezüglich besteht zumindest Konfliktpotential zwischen der Europäischen Kommission und dem EDSA.

Ausblick

Klarheit besteht nun insoweit, als dass es keine Zweifel an der eher restriktiven Position der Aufsichtsbehörden zu Drittlandsübermittlungen gibt. Die erhoffte inhaltliche Klarheit ist jedoch leider ausgeblieben. Der EDSA befasst sich zwar intensiv mit dem Urteil und seinen Folgen, schafft es jedoch nicht, klar umsetzbare Vorschläge zu machen. Unternehmen müssen weiterhin in allen Einzelfällen das jeweils einschlägige Risiko ermitteln, TOMs anwenden, um das Risiko zu reduzieren und gegebenenfalls von der Übermittlung absehen. Die alleinige Schuld dafür liegt jedoch nicht beim EDSA, schließlich hat der EuGH in seinem Urteil keinen großen Spielraum neben obligatorischen Einzelfallbewertungen gelassen. Immerhin haben Unternehmen nun eine Zusammenfassung praktischer Anwendungsfälle und deren aufsichtsbehördlicher Behandlung. Bleibt zu hoffen, dass Staaten wie die USA ihre Gesetze ändern und ihr Datenschutzniveau anpassen.

Währenddessen bieten die überarbeiteten Standardvertragsklauseln von der Europäischen Kommission eine gewisse Sicherheit. Sie wurden von der Europäischen Kommission im Hinblick auf die stetige Entwicklung in der Digitalisierung abgeändert und angepasst. Aber auch diese entlassen Unternehmen nicht aus ihrer Pflicht, eine Einzelfallbewertung vorzunehmen.