Schrems II: Baden-würt­tem­ber­gi­sche Daten­schutz­be­hör­de publi­ziert Stel­lung­nah­me

Die baden-würt­tem­ber­gi­sche Daten­schutz­be­hör­de (Lan­des­be­auf­trag­ter für Daten­schutz und Infor­ma­ti­ons­si­cher­heit, LfDI) hat am 24. August 2020 eine Ori­en­tie­rungs­hil­fe zum Ent­scheid des EuGH vom 16. Juli 2020 zu Schrems II ver­öf­fent­licht. Dar­in nimmt sie Stel­lung zum Urteil und for­mu­liert kon­kre­te Hand­lungs­emp­feh­lun­gen für Unter­neh­men, die wei­ter­hin beab­sich­ti­gen, Per­so­nen­da­ten gestützt auf die Stan­dard­ver­trags­klau­seln (SCC) in ein Dritt­land zu über­mit­teln. Gesamt­haft hält der LfDI fest, dass ins­be­son­de­re eine Über­mitt­lung in die USA auf Basis der SCC „zwar denk­bar”, die Anfor­de­run­gen des EuGH an die zusätz­li­chen Garan­tien aller­dings „nur in sel­te­nen Fäl­len“ erfüllt sei­en.

Zunächst hält der LfDI fol­gen­des fest:

  • Der Pri­va­cy Shield ist ab sofort ungül­tig.
  • Die SCC haben wei­ter­hin Gül­tig­keit, dies aller­ding nur unter der Vor­aus­set­zung, dass tat­säch­lich ein ange­mes­se­nes Schutz­ni­veau für die Per­so­nen­da­ten der Betrof­fe­nen in der EU/EWR sicher­ge­stellt ist. Dies bedingt zum einen geeig­ne­te Garan­tien und zum andern, dass den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe zur Ver­fü­gung ste­hen. Kön­nen loka­le Behör­den im Dritt­land über­mä­ssig in die Rech­te des Betrof­fe­nen ein­grei­fen, so bei umfas­sen­der Zugriffs­mög­lich­keit auf deren Daten, ist kein ange­mes­se­nes Schutz­ni­veau gege­ben und es sind nebst den SCC zusätz­li­che Mass­nah­men erfor­der­lich.
  • Kann durch die­se Mass­nah­men kein ange­mes­se­nes Schutz­ni­veau erreicht wer­den, ist der Trans­fer zu unter­las­sen bzw. aus­zu­set­zen. Eben­so muss die zustän­di­ge Behör­de im Land des Daten­ex­por­teurs (in der EU/EWR) einen sol­chen Trans­fer ver­bie­ten.

Dar­aus lei­tet der LfDI fol­gen­des ab:

  • Beab­sich­tigt ein Daten­ex­por­teur Daten­über­mitt­lun­gen aus der EU/EWR in die USA wei­ter­hin auf die SCC abzu­stüt­zen, so hat er zusätz­li­che Garan­tien zu schaf­fen, wel­che einen Zugriff durch US- Behör­den (z.B. Geheim­dien­ste) ver­hin­dern, nament­lich durch Ver­schlüs­se­lung, Anony­mi­sie­rung oder Pseud­ony­mi­sie­rung der frag­li­chen Per­so­nen­da­ten, wobei nur er den Schlüs­sel zur Re-Iden­ti­fi­zie­rung besit­zen darf;
  • Über­mitt­lun­gen in ande­re Dritt­län­der sind eben­falls nur nach vor­gän­gi­ger Prü­fung der loka­len Rechts­la­ge zuläs­sig (bestehen­de Zugriffs­mög­lich­kei­ten durch die dor­ti­gen Behör­den, zusätz­li­che Mass­nah­men);
  • Kann durch die erwähn­ten Mass­nah­men kein ange­mes­se­nes Schutz­ni­veau gewähr­lei­stet wer­den, ist eine Über­mitt­lung nach 49 DSGVO gemäss Wort­laut nur in Aus­nah­me­fäl­len und nur im Ein­zel­fall denk­bar, so bei einer Ein­wil­li­gung der betrof­fe­nen Per­so­nen, im Rah­men eines Ver­trags oder zur Gel­tend­ma­chung von Rechts­an­sprü­chen (vgl. auch Erwä­gungs­grund 111).

Schliess­lich for­mu­liert der LfDI kon­kre­te Hand­lungs­an­wei­sun­gen für betrof­fe­ne Unter­neh­men:

  • Bestan­des­auf­nah­me über die rele­van­ten Daten­über­mitt­lun­gen in Dritt­län­der (einschl. Zugrif­fe aus sol­chen Staa­ten);
  • Infor­ma­ti­on der Ver­trags­part­ner über das Urteil sowie die damit ver­bun­de­nen Kon­se­quen­zen auf das Ver­trags­ver­hält­nis;
  • Prü­fung der Rechts­la­ge sowie des Vor­lie­gens eines Ange­mes­sen­heits­be­schlus­ses für das betref­fen­de Dritt­land;
  • Prü­fung der Nut­zung der SCC, wobei dies in Fäl­len eines unein­ge­schränk­ten Zugriffs der loka­len Behör­den (z.B. mas­sen­haf­ter Abruf von Daten ohne Infor­ma­ti­on und ver­fah­rens­recht­li­che Rechts­be­hel­fe der Betrof­fe­nen) gemäss den vor­ste­hen­den Aus­füh­run­gen zu ver­nei­nen sei.

Fer­ner schlägt der LfDI ver­schie­de­ne Anpas­sun­gen des Anhangs der SCC für Con­trol­ler-Pro­ces­sor Daten­trans­fers vor. Die Unter­neh­men sei­en gehal­ten, die­se Anpas­sun­gen vor­zu­neh­men, um nament­lich ihren „Wil­len zu einem rechts­kon­for­men Han­deln zu demon­strie­ren und zu doku­men­tie­ren“. Die Ände­run­gen bezie­hen sich unter ande­rem auf die Aus­wei­tung der Infor­ma­ti­ons­pflich­ten des Daten­ex­por­teurs gegen­über den Betrof­fe­nen, wel­che bei jeder Über­mitt­lung (und nicht ledig­lich, wenn beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Perön­lich­keits­pro­fi­le betrof­fen sind) infor­miert wer­den sol­len, auf direk­te Infor­ma­ti­ons­pflich­ten des Daten­im­por­teurs gegen­über den Betrof­fe­nen im Zusam­men­hang mit behörd­li­chen Anord­nun­gen zur Offen­le­gung, auf die ver­trag­li­che Ver­pflich­tung des Daten­im­por­teurs, Betrof­fe­nen­da­ten erst und nur gestützt auf ein rechts­kräf­ti­ges letzt­in­stanz­li­ches Urteil einer Behör­de offen­zu­le­gen sowie auf wei­te­re Anpas­sun­gen im Hin­blick auf das Streit­bei­le­gungs­ver­fah­ren sowie eine spe­zi­fi­sche Klau­sel zur Schad­los­hal­tung zwi­schen den Par­tei­en (vgl. Zif­fer IV.).

Kann eine Daten­über­mitt­lung nicht gemäss die­sen zusätz­li­chen Bedin­gun­gen vor­ge­nom­men wer­den, ver­bleibt ein­zig eine Über­mitt­lung gemäss der erwähn­ten Aus­nah­me­vor­schrift nach Art. 49 DSGVO. Bei Kon­zern­struk­tu­ren oder Ein­zel­ver­ein­ba­run­gen kom­me dies als letz­tes Mit­tel gege­be­nen­falls in Betracht.

Abschlie­ssend macht der LfDI deut­lich, dass wei­ter­hin beab­sich­tig­te Daten­über­mitt­lun­gen in der umschrie­be­nen Form nur dann zuläs­sig sind, wenn der Daten­ex­por­teur die Behör­de über­zeu­gen kann, dass der genut­ze Dienstleister/Vertragspartner “mit Trans­fer­pro­ble­ma­tik” kurz- und mit­tel­fri­stig nicht durch einen Dienstleister/Vertragspartner “ohne Trans­fer­pro­ble­ma­tik” ersetzt wer­den kann. Andern­falls ist die frag­li­che Daten­über­mitt­lung unter­sagt. Im Ergeb­nis hie­sse dies für Unter­neh­men, dass Daten­über­mitt­lun­gen in die USA nach Pra­xis des LfDI ggf. nur noch zuläs­sig wären, wenn kein euro­päi­scher Dienst­lei­ster als Alter­na­ti­ve in Fra­ge kommt.