Reak­ti­on der Auf­sichts­be­hör­den zu Schrems II

Es haben sich bereits eini­ge Behör­den zum Schrems-II-Urteil des EuGH geäu­ssert. Es zeigt sich ein unein­heit­li­ches Bild. Wäh­rend eine Behör­de sofor­ti­ge Repa­tri­ie­rung von Daten for­dert (Ber­lin), las­sen ande­re anklin­gen, dass ausser in beson­de­ren Fäl­len Akti­vis­mus nicht not­wen­dig ist. Eine Aus­wahl:

  • Der EDÖB, wie berich­tet, prüft die Aus­wir­kun­gen auf die Schweiz;
  • der EDSA, das Euro­pean Data Pro­tec­tion Board, begrüsst das Urteil und unter­streicht die Ver­ant­wor­tung v.a. des Expor­teurs, wenn die Stan­dard­klau­seln ein­ge­setzt wer­den sol­len:

    The EDPB wel­co­mes the CJEU’s judgment […]. The CJEU’s deci­si­on is one of gre­at import­ance. […]. With regard to the Pri­va­cy Shield, the EDPB points out that the EU and the U.S. should achie­ve a com­ple­te and effec­ti­ve frame­work gua­ran­te­eing that the level of pro­tec­tion gran­ted to per­so­nal data in the U.S. is essen­ti­al­ly equi­va­lent to that gua­ran­te­ed wit­hin the EU, in line with the judgment. […] While the SCCs remain valid, the CJEU under­li­nes the need to ensu­re that the­se main­tain, in prac­ti­ce, a level of pro­tec­tion that is essen­ti­al­ly equi­va­lent to the one gua­ran­te­ed by the GDPR in light of the EU Char­ter. The assess­ment of whe­ther the coun­tries to which data are sent offer ade­qua­te pro­tec­tion is pri­ma­ri­ly the respon­si­bi­li­ty of the exporter and the importer, when con­si­de­ring whe­ther to enter into SCCs. When per­for­ming such pri­or assess­ment, the exporter (if necessa­ry, with the assi­stance of the importer) shall take into con­si­de­ra­ti­on the con­tent of the SCCs, the spe­ci­fic cir­cum­stan­ces of the trans­fer, as well as the legal regime app­li­ca­ble in the importer’s coun­try. […] . If the result of this assess­ment is that the coun­try of the importer does not pro­vi­de an essen­ti­al­ly equi­va­lent level of pro­tec­tion, the exporter may have to con­si­der put­ting in place addi­tio­nal mea­su­res to tho­se inclu­ded in the SCCs. The EDPB is loo­king fur­ther into what the­se addi­tio­nal mea­su­res could con­sist of. […] The EDPB will assess the judgment in more detail and pro­vi­de fur­ther cla­ri­fi­ca­ti­on for sta­ke­hol­ders and gui­d­ance on the use of instru­ments for the trans­fer of per­so­nal data to third coun­tries pur­suant to the judgment.

  • Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit for­dert daten­ver­ar­bei­ten­de Stel­len in Ber­lin erfreut, aber pra­xis­fern direkt auf, in den USA gespei­cher­te per­so­nen­be­zo­ge­ne Daten nach Euro­pa zu ver­la­gern:

    Der EuGH hat in sei­ner Ent­schei­dung „Schrems II“ (C‑311/18) am Don­ners­tag, dem 16. Juli 2020, fest­ge­stellt, dass US-Behör­den zu weit­rei­chen­de Zugriffs­mög­lich­kei­ten auf Daten euro­päi­scher Bür­ge­rin­nen und Bür­ger haben. Dar­aus folgt, dass per­so­nen­be­zo­ge­ne Daten bis zu einer Ände­rung der Rechts­la­ge in aller Regel nicht mehr wie bis­her in die USA über­mit­telt wer­den dür­fen. Aus­nah­men bestehen vor allem in den gesetz­lich vor­ge­se­he­nen Son­der­fäl­len, etwa bei einer Hotel­bu­chung in den USA. […] Die soge­nann­ten Stan­dard­ver­trags­klau­seln […] erklärt der EuGH […] unter bestimm­ten Bedin­gun­gen für grund­sätz­lich zuläs­sig. Er betont in die­sem Zusam­men­hang jedoch, dass sowohl die euro­päi­schen Daten­ex­por­teu­re als auch die Daten­im­por­teu­re in Dritt­län­dern ver­pflich­tet sind, vor der ersten Daten­über­mitt­lung zu prü­fen, ob im Dritt­land staat­li­che Zugriffs­mög­lich­kei­ten auf die Daten bestehen, die über das nach euro­päi­schem Recht Zuläs­si­ge hin­aus­ge­hen (Rn. 134 f., 142 des Urteils). Bestehen sol­che Zugriffs­rech­te, kön­nen auch die Stan­dard­ver­trags­klau­seln den Daten­ex­port nicht recht­fer­ti­gen. Bereits ins Dritt­land über­mit­tel­te Daten müs­sen zurück­ge­holt wer­den. Anders als bis­her ver­brei­tet ver­tre­ten, genügt der rei­ne Abschluss von Stan­dard­ver­trags­klau­seln nicht, um Daten­ex­por­te zu ermög­li­chen […]. Die Ber­li­ner Beauf­trag­te […] for­dert daher sämt­li­che ihrer Auf­sicht unter­lie­gen­den Ver­ant­wort­li­chen auf, die Ent­schei­dung des EuGH zu beach­ten. Ver­ant­wort­li­che, die – ins­be­son­de­re bei der Nut­zung von Cloud-Dien­sten – per­so­nen­be­zo­ge­ne Daten in die USA über­mit­teln, sind nun ange­hal­ten, umge­hend zu Dienst­lei­stern in der Euro­päi­schen Uni­on oder in einem Land mit ange­mes­se­nem Daten­schutz­ni­veau zu wech­seln.

  • Der Ham­bur­gi­sche Beauf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit scheint eben­falls eine eher stren­ge Hal­tung ein­zu­neh­men:
    […] Dass es nach Ansicht des höch­sten Uni­ons­ge­richts kein „wei­ter so“ beim Pri­va­cy Shield geben kann, ist begrü­ßens­wert. Die Umeti­ket­tie­rung des im Jahr 2015 für ungül­tig erklär­ten Vor­gän­ger­in­stru­ments Safe Har­bor mit nur mar­gi­na­len Ver­bes­se­run­gen hat zu kei­nem Umden­ken in der Regie­rung der USA geführt. […] Vor die­sem Hin­ter­grund ist die Ent­schei­dung des EuGH, die Stan­dard­ver­trags­klau­seln (SCC) als ange­mes­se­nes Instru­ment bei­zu­be­hal­ten, nicht kon­se­quent. Wenn die Ungül­tig­keit des Pri­va­cy Shield pri­mär mit den aus­ufern­den Geheim­dienst­ak­ti­vi­tä­ten in den USA begrün­det wird, muss das­sel­be auch für die Stan­dard­ver­trags­klau­seln gel­ten. Ver­trag­li­che Ver­ein­ba­run­gen zwi­schen Daten­ex­por­teur und impor­teur sind glei­cher­ma­ßen unge­eig­net, um Betrof­fe­ne vor dem staat­li­chen Zugriff zu bewah­ren. […] Die Hand­lungs­mög­lich­kei­ten daten­ex­por­tie­ren­der Unter­neh­men sind nun die­sel­ben wie schon vor fünf Jah­ren, als der Safe-Har­bor-Mecha­nis­mus für ungül­tig erklärt wur­de. Neben Bin­ding Cor­po­ra­te Rules und Ein­zel­ver­ein­ba­run­gen sind es vor allem die SCC, die als Grund­la­ge für Über­mitt­lun­gen in Dritt­staa­ten genutzt wer­den kön­nen. Gleich­zei­tig ist jedoch die Unsi­cher­heit die­ses Mal gestie­gen: Der EuGH spielt den Ball den euro­päi­schen Auf­sichts­be­hör­den zu. Er betont ihre jewei­li­ge Auf­ga­be, Daten­trans­fers auf Grund­la­ge der Stan­dard­ver­trags­klau­seln aus­zu­set­zen oder zu ver­bie­ten. […] Sowohl die Ver­hält­nis­mä­ßig­keit behörd­li­cher Zugriffs­mög­lich­kei­ten als auch die Garan­tie eines funk­tio­nie­ren­den Rechts­schut­zes hat der Expor­teur sei­ner ört­lich zustän­di­gen Daten­schutz­be­hör­de auf Ver­lan­gen nach­zu­wei­sen. […]
  • Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) äussert sich nüch­tern und lässt erken­nen, dass in Regel­fäl­len kei­ne raschen Mass­nah­men dro­hen:
    […] Der EuGH macht deut­lich, dass inter­na­tio­na­ler Daten­ver­kehr wei­ter mög­lich ist. Dabei müs­sen aber die Grund­rech­te der euro­päi­schen Bür­ge­rin­nen und Bür­ger beach­tet wer­den. Für den Daten­aus­tausch mit den USA müs­sen jetzt beson­de­re Schutz­maß­nah­men ergrif­fen wer­den. Unter­neh­men und Behör­den kön­nen Daten nicht mehr auf der Grund­la­ge des Pri­va­cy Shield über­mit­teln, das der EuGH für unwirk­sam erklärt hat. Bei der Umstel­lung wer­den wir selbst­ver­ständ­lich inten­siv bera­ten. […] Der EuGH hat die Rol­le der Daten­schutz­auf­sichts­be­hör­den bestä­tigt und gestärkt. Sie müs­sen bei jeder ein­zel­nen Daten­ver­ar­bei­tung prü­fen und prü­fen kön­nen, ob die hohen Anfor­de­run­gen des EuGH erfüllt wer­den. Das bedeu­tet auch, dass sie den Daten­aus­tausch unter­sa­gen, wenn die Vor­aus­set­zun­gen nicht erfüllt wer­den. Sowohl Unter­neh­men und Behör­den als auch die Auf­sichts­be­hör­den haben jetzt die kom­ple­xe Auf­ga­be, das Urteil prak­tisch anzu­wen­den. Wir wer­den auf eine schnel­le Umset­zung in beson­ders rele­van­ten Fäl­len drän­gen. […]
  • Das Bay­ri­sche Lan­des­amt für Daten­schutz und der Hes­si­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat bis­lang soweit ersicht­lich auf eine Stel­lung­nah­me ver­zich­tet.
  • Das UK Infor­ma­ti­on Commissioner’s Office (ICO) hat die Ent­schei­dung nur kurz notiert, wirkt aber deut­lich pra­xis­nä­her:

    We stand rea­dy to sup­port UK orga­ni­sa­ti­ons and will be working with UK Government and inter­na­tio­nal agen­ci­es to ensu­re that glo­bal data flows may con­ti­nue and that people’s per­so­nal data is pro­tec­ted.

  • Die fran­zö­si­sche Auf­sichts­be­hör­de, CNIL, hält sich eben­falls noch zurück:

    Beyond the sum­ma­ry shared by the CJEU in its press release, the CNIL is cur­r­ent­ly con­duc­ting a pre­cise ana­ly­sis of the judgment, tog­e­ther with its Euro­pean coun­ter­parts assem­bled wit­hin the Euro­pean Data Pro­tec­tion Board. This joint work aims at drawing con­clu­si­ons as soon as pos­si­ble on the con­se­quen­ces of the ruling for data trans­fers from the Euro­pean Uni­on to the United Sta­tes.

  • Die iri­sche Data Pro­tec­tion Com­mis­si­on lobt sich selbst und begrüsst das Urteil:

    The Data Pro­tec­tion Com­mis­si­on (DPC) stron­gly wel­co­mes today’s judgment from the Court of Jus­ti­ce of the Euro­pean Uni­on (CJEU). […] So, while in terms of the points of princip­le in play, the Court has endor­sed the DPC’s posi­ti­on, it has also ruled that the SCCs trans­fer mecha­nism used to trans­fer data to coun­tries world­wi­de is, in princip­le, valid, alt­hough it is clear that, in prac­ti­ce, the app­li­ca­ti­on of the SCCs trans­fer mecha­nism to trans­fers of per­so­nal data to the United Sta­tes is now que­stion­ab­le. This is an issue that will requi­re fur­ther and care­ful exami­na­ti­on, not least becau­se assess­ments will need to be made on a case by case basis. […]

  • Der ita­lie­ni­sche Garan­te und die spa­ni­sche AEPD haben soweit ersicht­lich kei­ne Stel­lung­nah­me ver­öf­fent­licht.