EDÖB – Stel­lung­nah­me zu Schrems II

Der EDÖB hat heu­te sei­ne Stel­lung­nah­me zur Bedeu­tung des Urteils des EuGH zu Schrems II ver­öf­fent­licht und Impli­ka­tio­nen für Daten­über­mitt­lun­gen von Per­so­nen­da­ten in die USA und wei­te­re Staa­ten ohne eine ange­mes­se­nes Schutz­ni­veau i.S.v. Art. 6 Abs. 1 DSG for­mu­liert. Wie erwar­tet, hält er den CH-US Pri­va­cy Shield für eine zuläs­si­ge Über­mitt­lung von Per­so­nen­da­ten aus der Schweiz an einen Emp­fän­ger in den USA nicht mehr für aus­rei­chend. Die Stan­dard­ver­trags­klau­seln wer­den zwar nicht auf­ge­ho­ben, doch sind zusätz­li­che Mass­nah­men erfor­der­lich.

Im Ein­zel­nen hält der EDÖB fol­gen­des fest:

  • Die Staa­ten­li­ste dient Expor­teu­ren von Per­so­nen­da­ten aus der Schweiz ins Aus­land als Hilfs­mit­tel, die Ange­mes­sen­heit des Daten­schutz­ni­veaus eines Staa­tes vor einer Daten­über­mitt­lung an Emp­fän­ger in die­sem Staat zu prü­fen. Die Ein­trä­ge auf der Liste stel­len dabei eine wider­leg­ba­re Ver­mu­tung dar; es obliegt jedem Daten­ex­por­teur, die Ange­mes­sen­heit des Daten­schutz­ni­veaus im jewei­li­gen Dritt­staat eigen­stän­dig auf mög­li­che Daten­schutz­ri­si­ken zu prü­fen.
  • Das CH-US Pri­va­cy Shield dient nicht mehr als Garan­tie i.S.v. Art. 6 Abs. 2 DSG.
  • Die Stan­dard­ver­trags­klau­seln wer­den nicht auf­ge­ho­ben (d.h. als prin­zi­pi­ell unge­eig­net ein­ge­stuft), aber:

    Dem­entspre­chend muss davon aus­ge­gan­gen wer­den, dass die SCC und ver­gleich­ba­re Klau­seln die Anfor­de­run­gen an ver­trag­li­che Garan­tien nach Art. 6 Abs. 2 lit. a DSG für eine Daten­über­mitt­lung in nicht geli­ste­te Staa­ten in vie­len Fäl­len nicht erfül­len.

Die Stan­dard­klau­seln stel­len aus Sicht des EDÖB des­halb kei­nen Stan­dard mehr dar – in die­sem Sin­ne wur­den sie fak­tisch also, wie schon durch den EuGH, durch­aus auf­ge­ho­ben, denn die Wir­kung eines Stan­dards haben sie nicht mehr. Sie sind «in vie­len Fäl­len» viel­mehr nur noch aus­rei­chend, wenn sie ergänzt wer­den.

Das zeigt das prak­ti­sche Pro­blem: Bis­her wur­den die Stan­dard­klau­seln häu­fig als not­wen­di­ge, aber auch hin­rei­chen­de Vor­aus­set­zung der Über­mitt­lung in Dritt­staa­ten betrach­tet, und die­se Mög­lich­keit ent­fällt nun, ohne dass eine prak­ti­ka­ble Alter­na­ti­ve ersicht­lich wäre.

Man muss aller­dings zuge­ben, dass die Stan­dard­ver­trags­klau­seln nach Art. 46 Abs. 1 DSGVO nie bedeu­tet haben, dass Daten unbe­se­hen in Dritt­staa­ten über­mit­telt wer­den dür­fen. Die Über­mitt­lung war viel­mehr nur zuläs­sig, wenn geeig­ne­te Garan­tien vor­ge­se­hen waren – z.B. die Stan­dard­klau­seln – und den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe zur Ver­fü­gung stan­den. Das ergibt sich aus Art. 46 Abs. 1 DSGVO und beruht dar­auf, dass die Klau­seln die Behör­den des Emp­fän­ger­staats nicht bin­den, wes­halb der Rechts­schutz beson­de­re Bedeu­tung hat. Und letz­te­rer fehlt aus Sicht des EuGH und des EDÖB im Fall der USA. Es war inso­fern ange­legt, dass die Stan­dard­ver­trags­klau­seln nur ein­ge­schränkt stan­dar­di­sie­ren­de Wir­kung haben kön­nen.

Dazu kommt, dass die Stan­dard­klau­seln a prio­ri nur dann eine Grund­la­ge für Aus­lands­über­mitt­lun­gen sein kön­nen, wenn kein Anlass besteht, an ihrer Ein­hal­tung durch den Impor­teur zu sehr zu zwei­feln. Die Klau­seln ent­hal­ten u.a. aber eine Zusi­che­rung des Impor­teurs, dass sein loka­les Recht den Klau­seln nicht ent­ge­gen­steht (Ziff. 5 der Pro­ces­sor-Klau­seln und Ziff. II der Con­trol­ler-Klau­seln); und die­se Zusi­che­rung war für Impor­teu­re in den USA und ver­gleich­ba­re Län­der viel­leicht nicht ganz belast­bar.

Der EDÖB hält denn auch fest, dass auch ergänz­te Klau­seln aus­län­di­sche Behör­den nicht bin­den. Wenn Zugrif­fe im Aus­land mög­lich sind und der aus­län­di­sche Emp­fän­ger die «nöti­ge Mit­wir­kung» nicht lei­sten kann, lau­fen – auch ergänz­te – Klau­seln ins Lee­re. In die­sem Fall emp­fiehlt der EDÖB fol­gen­des:

Der schwei­ze­ri­sche Daten­ex­por­teur muss in sol­chen Fäl­len tech­ni­sche Mass­nah­men prü­fen, die den Behör­den­zu­griff auf die über­mit­tel­ten Per­so­nen­da­ten im Ziel­land fak­tisch ver­hin­dern. Bei der Daten­hal­tung im Sin­ne eines rei­nen Cloud-Betriebs durch Dienst­lei­ster in einem nicht geli­ste­ten Staat wäre z.B. eine Ver­schlüs­se­lung denk­bar, wel­che nach den Prin­zi­pi­en BYOK (bring your own key) und BYOE (bring your own encryp­ti­on) umge­setzt ist, so dass im Ziel­land kei­ne Klar­da­ten vor­lie­gen und der Dienst­lei­ster kei­ne Mög­lich­keit hat, die Daten sel­ber auf­zu­schlüs­seln. Bei über die rei­ne Daten­hal­tung hin­aus­ge­hen­den Dienst­lei­stun­gen im Ziel­land gestal­tet sich der Ein­satz sol­cher tech­ni­schen Mass­nah­men indes­sen als anspruchs­voll. Soweit sol­che Mass­nah­men nicht mög­lich sind, emp­fiehlt der EDÖB auf die Über­mitt­lung von Per­so­nen­da­ten in den nicht geli­ste­ten Staat gestützt auf ver­trag­li­che Garan­tien zu ver­zich­ten.