Die baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI) hat am 24. August 2020 eine Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II veröffentlicht. Darin nimmt sie Stellung zum Urteil und formuliert konkrete Handlungsempfehlungen für Unternehmen, die weiterhin beabsichtigen, Personendaten gestützt auf die Standardvertragsklauseln (SCC) in ein Drittland zu übermitteln. Gesamthaft hält der LfDI fest, dass insbesondere eine Übermittlung in die USA auf Basis der SCC „zwar denkbar”, die Anforderungen des EuGH an die zusätzlichen Garantien allerdings „nur in seltenen Fällen“ erfüllt seien.
Zunächst hält der LfDI folgendes fest:
- Der Privacy Shield ist ab sofort ungültig.
- Die SCC haben weiterhin Gültigkeit, dies allerding nur unter der Voraussetzung, dass tatsächlich ein angemessenes Schutzniveau für die Personendaten der Betroffenen in der EU/EWR sichergestellt ist. Dies bedingt zum einen geeignete Garantien und zum andern, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Können lokale Behörden im Drittland übermässig in die Rechte des Betroffenen eingreifen, so bei umfassender Zugriffsmöglichkeit auf deren Daten, ist kein angemessenes Schutzniveau gegeben und es sind nebst den SCC zusätzliche Massnahmen erforderlich.
- Kann durch diese Massnahmen kein angemessenes Schutzniveau erreicht werden, ist der Transfer zu unterlassen bzw. auszusetzen. Ebenso muss die zuständige Behörde im Land des Datenexporteurs (in der EU/EWR) einen solchen Transfer verbieten.
Daraus leitet der LfDI folgendes ab:
- Beabsichtigt ein Datenexporteur Datenübermittlungen aus der EU/EWR in die USA weiterhin auf die SCC abzustützen, so hat er zusätzliche Garantien zu schaffen, welche einen Zugriff durch US- Behörden (z.B. Geheimdienste) verhindern, namentlich durch Verschlüsselung, Anonymisierung oder Pseudonymisierung der fraglichen Personendaten, wobei nur er den Schlüssel zur Re-Identifizierung besitzen darf;
- Übermittlungen in andere Drittländer sind ebenfalls nur nach vorgängiger Prüfung der lokalen Rechtslage zulässig (bestehende Zugriffsmöglichkeiten durch die dortigen Behörden, zusätzliche Massnahmen);
- Kann durch die erwähnten Massnahmen kein angemessenes Schutzniveau gewährleistet werden, ist eine Übermittlung nach 49 DSGVO gemäss Wortlaut nur in Ausnahmefällen und nur im Einzelfall denkbar, so bei einer Einwilligung der betroffenen Personen, im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen (vgl. auch Erwägungsgrund 111).
Schliesslich formuliert der LfDI konkrete Handlungsanweisungen für betroffene Unternehmen:
- Bestandesaufnahme über die relevanten Datenübermittlungen in Drittländer (einschl. Zugriffe aus solchen Staaten);
- Information der Vertragspartner über das Urteil sowie die damit verbundenen Konsequenzen auf das Vertragsverhältnis;
- Prüfung der Rechtslage sowie des Vorliegens eines Angemessenheitsbeschlusses für das betreffende Drittland;
- Prüfung der Nutzung der SCC, wobei dies in Fällen eines uneingeschränkten Zugriffs der lokalen Behörden (z.B. massenhafter Abruf von Daten ohne Information und verfahrensrechtliche Rechtsbehelfe der Betroffenen) gemäss den vorstehenden Ausführungen zu verneinen sei.
Ferner schlägt der LfDI verschiedene Anpassungen des Anhangs der SCC für Controller-Processor Datentransfers vor. Die Unternehmen seien gehalten, diese Anpassungen vorzunehmen, um namentlich ihren „Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren“. Die Änderungen beziehen sich unter anderem auf die Ausweitung der Informationspflichten des Datenexporteurs gegenüber den Betroffenen, welche bei jeder Übermittlung (und nicht lediglich, wenn besonders schützenswerte Personendaten oder Perönlichkeitsprofile betroffen sind) informiert werden sollen, auf direkte Informationspflichten des Datenimporteurs gegenüber den Betroffenen im Zusammenhang mit behördlichen Anordnungen zur Offenlegung, auf die vertragliche Verpflichtung des Datenimporteurs, Betroffenendaten erst und nur gestützt auf ein rechtskräftiges letztinstanzliches Urteil einer Behörde offenzulegen sowie auf weitere Anpassungen im Hinblick auf das Streitbeilegungsverfahren sowie eine spezifische Klausel zur Schadloshaltung zwischen den Parteien (vgl. Ziffer IV.).
Kann eine Datenübermittlung nicht gemäss diesen zusätzlichen Bedingungen vorgenommen werden, verbleibt einzig eine Übermittlung gemäss der erwähnten Ausnahmevorschrift nach Art. 49 DSGVO. Bei Konzernstrukturen oder Einzelvereinbarungen komme dies als letztes Mittel gegebenenfalls in Betracht.
Abschliessend macht der LfDI deutlich, dass weiterhin beabsichtigte Datenübermittlungen in der umschriebenen Form nur dann zulässig sind, wenn der Datenexporteur die Behörde überzeugen kann, dass der genutze Dienstleister/Vertragspartner “mit Transferproblematik” kurz- und mittelfristig nicht durch einen Dienstleister/Vertragspartner “ohne Transferproblematik” ersetzt werden kann. Andernfalls ist die fragliche Datenübermittlung untersagt. Im Ergebnis hiesse dies für Unternehmen, dass Datenübermittlungen in die USA nach Praxis des LfDI ggf. nur noch zulässig wären, wenn kein europäischer Dienstleister als Alternative in Frage kommt.