Vereinheitlichung der Datenschutzaufsicht – Keine finale Entscheidung der Wirtschaftsminister

Auf ihrer Sitzung am 30.11.hat sich die Wirtschaftsministerkonferenz bekanntlich auch mit dem Thema der Zentralisierung der deutschen Datenschutzaufsicht befasst. Ein Beschluss auf die Frage, ob eine solche Zentralisierung umgesetzt werden sollte, wurde jedoch nicht gefasst. Jedoch regen die Wirtschaftsminister eine nähere Untersuchung der aktuellen Regelungen und Prüfung auf Verbesserungen an (Beschluss vom 30.11.2020, Punkt 8.3., pdf).

Die Wirtschaftsminister stellen heraus, dass sie die Notwendigkeit einer einheitlichen und verbindlichen Auslegung von datenschutzrechtlichen Anforderungen und Vollzugspraxis erkennen. Ich denke, dass diese Feststellung sowohl von Gegnern und Befürwortern einer Zentralisierung geteilt wird. Die Frage wird am Ende sein, wie man zu diesem Ziel gelangt? Über eine Zentralisierung bei einer Behörde oder zB über eine klarere Verrechtlichung der Zusammenarbeit der deutschen Behörden untereinander (etwa in der DSK).

Die Wirtschaftsministerkonferenz bittet die Bundesregierung,

gemeinsam mit den Ländern und den  Datenschutzaufsichtsbehörden die bestehenden Regelungen in §§ 17ff. BDSG auf praktische Durchführbarkeit, sowie die für eine Verbesserung der Zusammenarbeit der Datenschutzaufsicht erforderlichen Gesetzesänderungen zu prüfen und der Wirtschaftsministerkonferenz hierüber zu berichten“.

Für mich liest sich dieser Beschluss nicht so sehr pro Zentralisierung, sondern eher offen für eine Anpassung der gesetzlichen Rahmenbedingungen, um die einheitliche Anwendung des Datenschutzrechts in Deutschland zu ermöglichen.

Zudem bittet die Wirtschaftsministerkonferenz um Beratung mit der Innenministerkonferenz  und auch der Datenschutzkonferenz

über eine Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden von Bund und Ländern mit dem Ziel einer Vereinheitlichung der Auslegung und Anwendung des Datenschutzrechts im Markt“.

Auch dieser Teil des Beschlusses spricht eher gegen eine Zentralisierung bei einer einzigen Behörde. Zumindest scheint diese aktuell nicht die bevorzugte Lösung zu sein. Der Beschluss spricht schließlich ausdrücklich von einer „Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden“. Einer solchen Stärkung bedürfte es bei der Zusammenlegung zu einer einzigen Aufsichtsbehörde jedoch nicht.

Man wird nun abwarten müssen, ob und wann die Bundesregierung der Bitte der Wirtschaftsministerkonferenz nachkommt und ggfs. sogar Vorschläge für eine einheitliche und verbindliche Auslegung des Datenschutzrecht und der Vollzugspraxis macht.

Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

Neue Rechtslage: Berliner Datenschutzbehörde erhält Zuständigkeit für Bußgelder nach dem TMG

Im Juni diesen Jahres hatte ich im Blog darauf hingewiesen, dass in einigen Bundesländern die Zuständigkeit für die Verhängung von Bußgeldern wegen Verstößen gegen die datenschutzrechtlichen Vorgaben des TMG (insbesondere §§ 13, 14, 15 TMG) gar nicht bei den Datenschutzbehörden liegt. In Berlin waren etwa die jeweiligen Bezirksämter zuständig.

Änderung der Rechtslage

Nun hat der Landesgesetzgeber in Berlin genau diese Situation adressiert und auch geändert. Ab sofort, genauer gesagt ab heute, ist für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG nicht mehr das jeweilige Bezirksamt, sondern die Landesbeauftragte für Datenschutz zuständig.

Die Anpassung erfolgt im Rahmen der „Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben“, die gestern im Berliner Gesetzes- und Verordnungsblatt veröffentlicht wurde (PDF).

Es erfolgt eine Änderung in § 1 der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten (ZustVO-OWiG). Die veränderte Verordnung tritt heute in Kraft (vgl. Art. 3 Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben).

Der neue § 1 Nr. 16 ZustVO-OWiG lautet wie folgt:

Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten sind für die Fälle, in denen die zuständige Verwaltungsbehörde nicht durch Gesetz bestimmt ist, die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit für Ordnungswidrigkeiten nach § 16 Absatz 2 Nummer 2 bis 5 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 11 des Gesetzes vom 11. Juli 2019 (BGBl. I S. 1066) geändert worden ist, in der jeweils geltenden Fassung.

Auswirkung

Eine direkte Auswirkung dieser Anpassung ist, dass nun die Berliner Datenschutzbehörde für die Verhängung von Bußgeldern in den benannten Fällen des § 16 Abs. 2 TMG zuständig ist. Dies sollten Unternehmen in Berlin beachten, wenn sie etwa im Rahmen einer internen Risikoprüfung des Trackings auf Webseiten oder Apps über Rechtsfolgen nachdenken.

Hinweise

Weiterhin bisher nicht angepasst wurde aber § 16 Abs. 2 TMG selbst; konkret Nr. 5. Als Bußgeldtatbestand wurde dort „nur“ eine Verletzung von § 15 Abs. 3 S. 3 TMG aufgeführt, nicht jedoch ein Verstoß gegen die übrigen Sätze des § 15 Abs. 3 TMG, in denen es um die Erstellung von Profilen und den Einsatz von Cookies geht. Zudem gilt auch weiterhin die Obergrenze für Bußgelder von 50.000 EUR nach § 16 Abs. 3 TMG. Dies aber natürlich nur, soweit man sich nicht im Anwendungsbereich der DSGVO befindet.

Man wird nun abwarten müssen, ob die Berliner Aufsichtsbehörde von ihrer neu geschaffenen Zuständigkeit Gebrauch macht.

Bundesdatenschutzbeauftragter: Prüfschema für Datentransfers in Drittländer

Die Auswirkungen des EuGH-Urteils in Schrems II (C-311/18) sind in der Praxis weiterhin ein wichtiges Thema. Viele Unternehmen versuchen (Anm: viel mehr geht aktuell wohl auch nicht), ihre eigenen Datentransfers zu prüfen und, wo möglich, zusätzliche Garantien mit Datenempfängern zu vereinbaren. Wie diese vom EuGH angesprochenen „zusätzlichen Maßnahmen“ (Rz. 133) konkret aussehen, wissen wir immer noch nicht. Der EDSA soll hierzu wohl noch Leitlinien veröffentlichen.

Bis es soweit ist, könnte für Unternehmen eventuell auch eine Veröffentlichung des Bundesbeauftragten für Datenschutz (BfDI) interessant sein. Der BfDI veröffentlicht auf seiner Webseite ein „Prüfschema Drittländertransfer“ (PDF). Laut den Angaben auf der Webseite dient das Prüfschema „der strukturierten Überprüfung zum Datentransfer in Drittländer“. Zudem verlangt der BfDI, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert wird. Zwar ist der BfDI vor allem für die öffentlichen Stellen des Bundes und im privatwirtschaftlichen Bereich für Unternehmen aus den Branchen Post und Telekommunikation zuständig. Nichts desto trotz kann ein Blick in das Prüfschema meines Erachtens auch für Unternehmen, die nicht direkt der Aufsicht des BfDI unterliegen, sinnvoll sein. Denn wie sagt ein von mir sehr geschätzter Landesbeauftragter immer (frei zitiert): „Kein Unternehmen muss schlauer als die Aufsichtsbehörde sein“.

Das Prüfschema enthält verschiedene Prüfschritte:

  • Datentransfers prüfen
  • Vorliegen Angemessenheitsbeschluss
  • Schutzniveau im Drittland: Einzelfallanalyse
  • Prüfung Schutzmechanimus
  • Definierung zusätzlicher Maßnahmen
  • Implementierung zusätzlicher Maßnahmen
  • Ausnahmen nach Art. 49 DSGVO
  • Dokumentation
  • Meldung an die Aufsichtsbehörde

Ganz interessant in Bezug auf die Frage, ob Standardvertragsklauseln (SCC) genehmigungsfrei angepasst werden dürfen (hier meine Meinung zu dieser Frage), finde ich die folgende Aussage des BfDI:

Hinweis: Eigenständige vertragliche Lösungen bedürfen als ad-hoc-Klauseln einer Genehmigung durch die zuständige Aufsichtsbehörde. Änderungen an Standard-Datenschutzklauseln behalten ihre Gemehmigungsfreiheit nur, solange diese weder mittelbar noch unmittelbar im Widerspruch zum Inhalt der erlassenen Standard-Datenschutzklauseln stehen“.

Der BfDI geht also meiner Ansicht davon aus, dass 1) eine Anpassung der SCC nicht per se zur Genehmigungspflicht führt und 2), dass die Genehmigungsfreiheit dann besteht, wenn die Anpassungen nicht im „Widerspruch“ zu den Klauseln stehen. Dies ist aus praktischer Sicht auf jeden Fall begrüßenswert. Natürlich wird in der Praxis dann immer die entscheidende Frage sein, wann denn ein solcher Widerspruch vorliegt.

Europäischer Datenschutzbeauftragter: Strategie für EU-Institutionen zur Einhaltung des „Schrems II“-Urteils

Der Europäische Datenschutzbeauftragte (EDPS), also die Aufsichtsbehörde für die Institutionen der EU, hat gestern ein interessantes Papier für eine Stratege zur Einhaltung der Vorgaben des Schrems II Urteils des EuGH veröffentlicht (pdf). Dort wird dargelegt, wie nach Ansicht der Aufsichtsbehörde die EU-Institutionen nun kurz- und mittelfristig mit Datentransfers in Drittländer (insbesondere die USA) umgehen sollten.

Die Vorgaben und Empfehlungen des EDPS sind meines Erachtens auch eine gute Arbeitshilfe für Unternehmen im privatwirtschaftlichen Bereich, die ja vor derselben Herausforderung stehen.

Ziel der Strategie

Nach Aussage des EDPS zielen die Strategie und darin enthaltende Empfehlungen darauf ab, die Einhaltung des Urteils durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zu gewährleisten und zu überwachen. Das Dokument befasst sich sowohl mit kurz- als auch mit mittelfristigen Maßnahmen für die EU-Institutionen und den EDPS.

Inhalt der Strategie

Die Vorgaben unterscheiden zwischen kurzfristigen und mittelfristigen Einhaltungsmaßnahmen wurde. Als kurzfristige Maßnahme erließ der EDPS am 5. Oktober 2020 eine Anweisung an die EU-Institutionen, eine Bestandsaufnahme durchzuführen, um festzustellen, bei welchen laufenden Verträgen, Beschaffungsverfahren und anderen Arten der Zusammenarbeit Daten übertragen werden. Als mittelfristige Maßnahme wird der EDPS Leitlinien bereitstellen und von Fall zu Fall Maßnahmen zur Einhaltung und/oder Durchsetzung der Datenschutzvorschriften bei Übermittlungen in die Vereinigten Staaten oder andere Drittländer verfolgen. Zudem sollen die EU-Institutionen aufgefordert werden, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um für den jeweiligen Transfer zu ermitteln, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau, wie es in der EU/EWR vorgesehen ist, gewährleistet ist.

Nachfolgend eine Übersicht zu den Vorgaben mit einer eigenen Übersetzung. Ich denke, dass man aus Sicht eines Unternehmens nicht alle Vorgaben direkt übernehmen kann. Jedoch ist dieser Umsetzungsplan des EDPS ein guter Anhaltspunkt, wie man im Unternehmen sein eigenes „Schrems II-Projekt“ aufsetzen könnte.

Der EDPS hält einen zweigleisigen Ansatz für den geeignetsten:

(1) Ermittlung dringender Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften durch einen risikobasierten Ansatz für Übermittlungen in die USA, die für die betroffenen Personen mit hohen Risiken verbunden sind, und parallel dazu

(2) Bereitstellung von Leitlinien und Verfolgung mittelfristiger fallweiser Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften des EDPS für alle Übermittlungen in die USA oder in andere Drittländer.

Die Strategie des EDPS zur Gewährleistung und Überwachung der Einhaltung des Urteils ist im Wesentlichen in zwei Phasen mit kurz- und mittelfristigen Maßnahmen unterteilt.

1. Kurzfristig – Bestandsaufnahme (mapping) und unmittelbare Einhaltungsprioritäten

Bestandsaufnahme

Der EDPS erteile EU-Institutionen die Anweisung, eine Bestandsaufnahme aller laufenden Verarbeitungsvorgänge und Verträge durchzuführen, die Übermittlungen in Drittländer beinhalten. Die Institutionen werden aufgefordert, bis Ende Oktober eine Bestandsaufnahme durchzuführen, um Datenübermittlungen für laufende Verträge, Beschaffungsverfahren und andere Arten der Zusammenarbeit zu ermitteln. Die Bestandsaufnahme der EU-Institutionen sollte folgend Daten enthalten:

  • die Verarbeitungsvorgänge,
  • die Bestimmungsorte,
  • die Empfänger,
  • die verwendeten Übertragungsinstrumente,
  • die Arten der übertragenen personenbezogenen Daten,
  • die Kategorien der betroffenen Personen sowie
  • Informationen über Weiterleitungen beschreiben.

Rückmeldung an den EDPS

Bis spätestens 15. November 2020 sollen die EU-Institutionen dem EDPS über spezifische Risiken und Lücken berichten, die sie bei dieser Bestandsaufnahme ermittelt haben. Darüber hinaus müssen sie dem EDPS spezifische und transparente Informationen über drei Hauptkategorien von Datenübermittlungen vorlegen, die wahrscheinlich höhere Risiken für die Rechte und Freiheiten natürlicher Personen bergen und vom EDPS vor Ende 2020 als Aufsichtsprioritäten ermittelt wurden:

  • illegale Übermittlungen, die nicht auf einem Übermittlungsinstrument beruhen;
  • Übermittlungen, die auf einer Ausnahmeregelung nach Artikel 50 der Verordnung beruhen; und
  • „risikoreiche Übermittlungen“ in die USA an Stellen, die eindeutig unter Abschnitt 702 FISA oder E.O. 1233319 fallen und bei denen es sich entweder um groß angelegte Verarbeitungsvorgänge oder komplexe Verarbeitungsvorgänge oder um die Verarbeitung sensibler Daten oder Daten sehr persönlicher Art handelt.

Auf der Grundlage dieser ersten Berichterstattung kann der EDPS Durchsetzungsmaßnahmen ergreifen, um diese Übermittlungen mit der Verordnung in Einklang zu bringen oder diese Übermittlungen gegebenenfalls auszusetzen.

2. Mittelfristig – Leitlinie des EDSA und Transfer Impact Assessments

Transfer Impact Assessments (TIAs)

Die EU-Institutionen werden aufgefordert, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um festzustellen, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleistet ist.

Im Anschluss an die erwartete Leitlinie des Europäischen Datenschutzausschusses zu geeigneten ergänzenden Maßnahmen wird der EDPS eine Liste von Vorfragen für Verantwortliche zur Verfügung stellen, damit diese TIAs mit Datenimporteuren einleiten können.

Auf der Grundlage dieser Bewertungen, die mit Hilfe von Datenimporteuren durchgeführt werden, sollten die EU-Institutionen eine Entscheidung darüber treffen, ob es möglich ist, die in der Bestandsaufnahme ermittelten Transfers fortzusetzen.

Rückmeldung an den EDPS

Abhängig vom Ergebnis der TIAs sollen die EU-Institutionen dem EDPS im Laufe des Frühjahrs 2021 über die folgenden drei Kategorien von Datentransfers Bericht zu erstatten:

  • Übermittlungen in ein Drittland, die kein im Wesentlichen gleichwertiges Schutzniveau gewährleisten;
  • Übermittlungen, die ausgesetzt oder beendet werden, sind gemäß Art. 47 Abs. 2 der Verordnung 2018/1725 zu melden, wenn die EU-Institution der Auffassung ist, dass das Drittland kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet;
  • Bei Übertragungen, die auf Ausnahmeregelungen beruhen, sind Kategorien von Fällen, in denen Art. 50 der Verordnung 2018/1725 angewandt wurde, gemäß Art. 50 Abs. 6 der Verordnung zu melden.

Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW

Nach dem Schrems II Urteil des EuGH (C-311/18) versuchen europäische Verantwortliche und Auftragsverarbeiter, den Einsatz von Dienstleistern aus Drittstaaten und natürlich insbesondere aus den USA den Anforderungen des EuGH anzupassen. Immer wieder diskutiert wird in diesem Zusammenhang auch, ob nicht eine Verlagerung der Daten auf Server in der EU eine Lösung wäre, selbst wenn diese durch ein Tochterunternehmer einer US-Muttergesellschaft betrieben werden. Denn in diesem Fall würde ja keine Übermittlung von Daten in die USA stattfinden.

US CLOUD Act

Wenn personenbezogene Daten über eine Tochtergesellschaft (oder direkt eine Niederlassung) einer amerikanischen Muttergesellschaft auf Server in Europa gehostet werden, wird in der Diskussion um mögliche Alternativen nach Schrems II oft der US CLOUD Act als Problem angeführt. Der US CLOUD Act (PDF) wurde im Jahr 2018 vom US-Kongress verabschiedet. Ziel des Gesetzes ist es u.a., US-Behörden das Recht zu geben, Daten von Unternehmen, die dem US-Recht unterliegen, für Strafverfolgungszwecke anzufordern. Explizit auch solche Daten, die außerhalb der USA gespeichert sind. Das bedeutet, dass auch personenbezogene Daten auf Servern in Europa angefordert werden können.

Gegebenenfalls kann es dann zu einem Konflikt zwischen US-Recht und der DSGVO kommen. Hierzu hatten sich schon einmal der EDSA und der EDSB in einer Stellungnahme geäußert (PDF).

Ein wichtiger Punkt im Rahmen des US CLOUD Act ist die Möglichkeit für betroffene Unternehmen, gegen eine behördliche Anfrage vorzugehen („may file a motion to modify or quash the legal process“). Zwar besteht diese Möglichkeit im Grundsatz, jedoch nur, wenn gewisse Voraussetzungen erfüllt sind. Eine dieser Voraussetzungen ist, dass das Unternehmen gegen das Recht einer sog. „qualifying foreign government“ verstößt. Hierbei handelt es sich um Länder, die mit den USA ein spezielles executive agreement unter dem CLOUD Act abgeschlossen haben (“with which the United States has an executive agreement that has entered into force under section 25239”). Ein solches Abkommen hat bisher nur das Vereinigte Königreich mit den USA abgeschlossen. Die EU verhandelt zu diesem Thema noch mit den USA.

Ansicht der Landesregierung NRW

In einer aktuellen Antwort (PDF) aus Anfang Oktober 2020 im Landtag NRW hat sich die Landesregierung NRW nun zu diesem Themenkomplex geäußert. Es ging dort um „LOGINEO NRW“, konkret den LOGINEO NRW Messenger. Der Messenger wird über einen AVV mit einem Dienstleister betrieben, der wiederum als Subdienstleister die „AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ einsetzt, also ein Tochterunternehmen von Amazon Web Services, Inc. In der Frage an die Landesregierung wird daher auch auf den US CLOUD Act und einen möglichen Konflikt mit der DSGVO eingegangen.

Die Landesregierung führt zunächst aus, dass sich die Betriebsserver für den Messengerdienst in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit würden die Datenschutzgrundverordnung und das nationale Datenschutzrecht gelten. Diese Aussage ist meines Erachtens zumindest missverständlich. Denn allein der Serverstandort (oder: Ort der Datenspeicherung) ist für die Anwendbarkeit der DSGVO nicht relevant. Man wird hier aber in Bezug auf AWS mindestens von der Anwendbarkeit der DSGVO über Art. 3 Abs. 1 DSGVO ausgehen können.

Sodann verweist die Landesregierung für die DSGVO-Compliance darauf, dass es AWS, nach der zu schließenden Auftragsverarbeitungsvereinbarung (diese ist auf der Webseite des Messengers abrufbar), untersagt sei, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Damit verweist die Landesregierung im Grunde auf den Zielkonflikt, dem Unternehmen unterliegen: welches Recht halten wir ein bzw. brechen wir? Wenn sich also hier z.B. der CLOUD Act und die DSGVO gegenüberstehen und die Unternehmen zwischen den Stühlen sitzen. Natürlich ist es möglich, dass vertraglich eine Weitergabe untersagt ist. Rein objektiv betrachtet wird es aber Situationen geben, in denen Unternehmen vor die Wahl gestellt sind, welcher Rechtsordnung sie den Vorzug geben. Dass dies nicht die gewünschte Situation sein kann, ist natürlich auch klar.

Zudem führt die Landesregierung konkret zum US CLOUD Act an:

Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

Diese Aussage ist sicher auf für Unternehmen interessant, die gerade über eine Verlagerung der Datenspeicherung nach Europa denken. Nach Ansicht der Landesregierung ist der Prozess, der dem US CLOUD Act zugrunde liegt, nämlich jenem in Deutschland vergleichbar. Die Landesregierung argumentiert für die Zulässigkeit des Einsatzes von US-Dienstleistern (bzw. deren Tochtergesellschaften) also mit einer Vergleichbarkeit der Rechtslagen in den USA und Deutschland. Oder anders ausgedrückt: die Landesregierung sieht hier wohl Argumentationsspielraum dafür, von einer Gleichwertigkeit des Schutzniveaus für Daten auszugehen. Ich möchte hinsichtlich des Prozesses und konkret der Widerspruchsmöglichkeit für Unternehmen aber auch auf meine Ausführungen oben verweisen.

Interessant ist auch der Hinweis der Landesregierung, dass die Daten der Kommunikation sowohl „bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt“ seien und von an der Kommunikation Unbeteiligten nicht gelesen werden könnten. Meines Erachtens stellt sich dann aber die Frage, ob denn überhaupt eine Auftragsverarbeitungssituation vorliegt, wenn AWS keinen Zugriff auf verschlüsselte Daten hat. Bzw. wozu wird ein AVV abgeschlossen, wenn der Dienstleister gar nicht auf personenbezogene Daten zugreifen kann?

Ob die Ansicht zum US CLOUD Act auch deutsche Datenschutzbehörden teilen würden, ist meines Erachtens zumindest fraglich. Denn wie oben verlinkt, hat der EDSA sich zum US CLOUD Act bereits einmal inhaltlich geäußert und sieht wohl datenschutzrechtliche Probleme. Ich finde die Ansicht der Landesregierung dennoch interessant und meines Erachtens macht es für Unternehmen im Rahmen des internen Mappings von Drittlandsübermittlungen und der Prüfung des Schutzniveaus bei Empfängern in Drittländern durchaus Sinn, auch die Vorgaben des US CLOUD Act zu betrachten. Denn sollte es von Aufsichtsbehörden diesbezüglich, zB im Rahmen einer Prüfung, zu Rückfragen kommen, ist eine entsprechend dokumentierte Auseinandersetzung mit der Rechtslage in dem Drittland zu empfehlen.

 

Wann und warum verhängten Datenschutzbehörden Bußgelder – ein kleiner Überblick

Im Rahmen der Evaluierung der DSGVO nach Art. 97 DSGVO, haben auch die europäischen Datenschutzbehörden Antworten auf verschiedenste Fragen zur Anwendung und praktischen Umsetzung der DSGVO-Vorgaben gegeben. Die Liste aller Antworten ist hier abrufbar.

Die gesammelten Antworten (pdf) der deutschen Datenschutzbehörden sind meines Erachtens durchaus lesenswert. Die zum Teil angegeben Zahlen (zB zu Beschwerden) scheinen meines Erachtens den Stand ca. Ende 2019 abzubilden. Insgesamt gab es seit Mai 2018 danach 66.965 Beschwerden bei den Datenschutzbehörden.

Ganz interessant finde ich die Antworten zu Bußgeldern (S. 17). In dem Fragebogen wird angegeben, dass 208 Bußgelder unter Anwendung der DSGVO verhängt wurden (wie gesagt, wird nicht klar, bis zu welchem Datum die Zahlen erhoben wurden). Zudem informieren die deutschen Behörden auch darüber, in welchen Fällen (also für welche Art von Verstößen) Sanktionen verhängt wurden. Hier eine Auswahl:

  • Nichtbenennung eines Datenschutzbeauftragten
  • Unzureichende Authentifizierungsmaßnahmen in Callcentern
  • Bußgeld gegen einen Polizeibeamten, der seinen Zugang zu arbeitsbezogenen Datenbanken nutzte, um an die persönlichen Daten einer Frau, einschließlich ihrer Telefonnummern, zu gelangen, und sie dann aus privaten Gründen kontaktierte
  • Geldstrafe gegen ein Unternehmen, das keinen schriftlichen Vertrag mit dem Auftragsverarbeiter hatte (Artikel 28 (9) GDPR) und die Rechte der betroffenen Personen durch die Verwendung einer intransparenten und unklaren Sprache verletzt hat (Artikel 12 (1) GDPR),
  • verspätete Benachrichtigung über eine Datenverletzung und keine Information der betroffenen Personen
  • Direktmarketing trotz Widerspruch
  • verspätete Benachrichtigung gemäss Artikel 33 GDPR
  • unbefugtes Abrufen von Daten durch Mitarbeiter
  • Videoüberwachung an Verkaufsstellen
  • Videoüberwachung von Angestellten
  • Offenlegung von Anwalt/Mandanten-Beziehungen gegenüber einer dritten Partei
  • rechtswidrige Sammlung persönlicher Daten über Dashcam
  • unrechtmäßige Übermittlung personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen
  • keine oder unzureichende Informationen an die Aufsichtsbehörde
  • Entsorgung personenbezogener Daten ohne notwendige Sicherheitsvorkehrungen
  • unrechtmäßige Offenlegung persönlicher Daten in sozialen Medien
  • Videoüberwachung von Mitarbeitern und Kunden
  • im öffentlichen Gesundheitssektor wegen Vermischung von Patientendaten und nicht ausreichender TOM
  • unzulässige Videoüberwachung
  • Versand von Werbe-E-Mails
  • E-Mail-Zustellung
  • Verletzungen von Zugangsrechten
  • mangelnde Kooperation
  • verdeckte Videoüberwachung
  • unbeantwortete Anfrage nach Informationen
  • Versäumnis, der Aufsichtsbehörde Zugang zu den Räumlichkeiten des Kontrolleurs zu gewähren.

Diese Information ist mE vor allem deshalb relevant, da man als Berater bzw. Unternehmen so auch einen guten Überblick darüber bekommt, welche Verarbeitungsbereiche oder Prozesse besondere Risiken bergen.

Zudem erläutern die Datenschutzbehörden auf Basis ihres Bußgeldkonzepts, welche Faktoren erhöhend oder mindernd auf das potenzielle Bußgeld wirken (S. 19).

Erhöhend:

  • (sehr) lange Dauer
  • Art, Umfang oder Zweck der Verarbeitung sind datenschutzrechtlich zu missbilligen/kritisch
  • (sehr) viele betroffene Personen
  • (sehr) schwer erlittener Schaden
  • notwendige Maßnahmen nicht eingeleitet
  • keine / schlechte Zusammenarbeit im Verwaltungsverfahren
  • vom Beschwerdeführer gemeldetes Vergehen / Hinweis / Presse
  • wirtschaftliche Situation (z.B. sehr hohe Umsatzrentabilität)

Mindernd:

  • (sehr) kurze Dauer
  • (sehr) wenige betrafen betroffene Personen
  • (sehr) wenig / kein Schaden erlitten
  • Maßnahmen haben Schäden ausgeschlossen
  • Zusammenarbeit übertraf deutlich das erwartete Niveau
  • Der Kontrolleur meldete das Vergehen von sich aus
  • wirtschaftliche Situation (z.B. drohende Insolvenz)
  • Schuldeingeständnis

Ergänzungen der EU-Standardvertragsklauseln – ist eine Genehmigung durch die Datenschutzbehörde wirklich erforderlich?

Nach dem Schrems II Urteil des EuGH (C-311/18) wird viel darüber diskutiert, wie die vom EuGH vorgeschlagenen „zusätzlichen Maßnahmen“ (Rz. 133) in die geltenden Standardvertragsklauseln (SCC) aufgenommen oder an diese angehängt werden können, ohne Gefahr zu laufen, dass die so ergänzten Klauseln einer Genehmigung durch die Aufsichtsbehörde bedürfen. Der nachfolgenden Analyse liegt stets eine geplante Ergänzung der Klauseln zu Grunde, die sich positiv auf die Betroffenen auswirken würde (auch wenn allein schon diese Frage in der Praxis nicht immer einfach zu beantworten ist).

Zum Hintergrund

Nach Art. 46 Abs. 2 lit. c) iVm Abs. 5 DSGVO können die die bisherigen SCC als geeigneten Garantien eingesetzt werden, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre. Der Einsatz der unveränderten SCC ist mithin sicher genehmigungsfrei.

Die in dem Verfahren relevanten Standardvertragsklauseln (2010/87/EU) schreiben in Art. 10 vor: „Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.“ (Hervorhebung nur hier)

Der EuGH geht in seinem Urteil nun aber davon aus, „die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen“ (Hervorhebung nur hier), um die Einhaltung des unionrechtlich verlangten Schutzniveaus zu gewährleisten (Rz. 133). Als Begründung stellt der EuGH u.a. auf ErwG 109 DSGVO ab, in dem es heißt: „[d]ie dem Verantwortlichen … offenstehende Möglichkeit, auf die von der Kommission … festgelegten Standard-Datenschutzklauseln zurückzugreifen, … den Verantwortlichen [nicht] daran hindern [sollte], ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen“ (Hervorhebung nur hier) und dass der Verantwortliche insbesondere „ermutigt werden [sollte], [durch Ergänzung der Standarddatenschutzklauseln] zusätzliche Garantien zu bieten“.

Sowohl aus dem ErwG 109 DSGVO als auch dem Urteil des EuGH ergibt sich damit klar, dass „weitere Klauseln“ oder „Ergänzungen“ der geltenden SCC möglich, ja sogar zwingend erforderlich sein können, um ein angemessenes Schutzniveau im jeweiligen Drittland gewährleisten zu können. Zu einer daraus resultierenden Genehmigungspflicht äußert sich weder der EuGH, noch verhält sich ErwG 109 hierzu.

Woraus ergibt sich also die Ansicht, dass Ergänzungen der SCC genehmigt werden müssen? Meines Erachtens sprechen ErwG 109 DSGVO also auch die Vorgabe des EuGH zumindest nicht für eine Genehmigungspflicht.

Ansichten der Datenschutzbehörden

A.

Noch zur alten Rechtslage hat sich hierzu die AG „Internationaler Datenverkehr“ der deutschen Aufsichtsbehörden geäußert.

„Bei Änderung eines Standardvertrages, die eindeutig zugunsten des Betroffenen ausfällt, besteht u. U. keine Genehmigungspflicht nach § 4 c Abs. 2 BDSG, was durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären ist“.

(Abgestimmte Positionen der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13. Februar 2007 – Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006 Punkt II Nr. 4). Zumindest gingen die Behörden damals nicht per se von einer Genehmigungsbedürftigkeit aus. Jedoch sollte die Behörde um Rat gefragt werden.

B.

Aktueller ist die Ansicht des Landesbeauftragten für Datenschutz in Rheinland-Pfalz.

Sofern die Standardvertrags- bzw. Standarddatenschutzklauseln in unveränderter Form verwendet werden, sind die Datenübermittlungen genehmigungsfrei. Dies gilt auch noch dann, wenn ihnen weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den Standardklauseln stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beschneiden (Erwägungsgrund 109). Bei solchen Hinzufügungen sollten Unternehmen jedoch eine gewisse Vorsicht walten lassen, da im Falle eines inhaltlichen Widerspruchs zu den Standardvertrags- bzw. Standarddatenschutzklauseln die Übermittlung genehmigungspflichtig wird“ (Hervorhebungen nur hier)

Der LfDI sieht also durchaus die zulässige Möglichkeit, die SCC durch zusätzliche Klauseln (etwa Pflichten für de Importeur) zu ergänzen, ohne, dass dadurch eine Genehmigungspflicht entsteht. Zudem informiert er darüber, dass eine solche Ergänzung wohl nur dann als genehmigungsfrei angesehen wird, wenn sie nicht im Widerspruch zu den Klauseln der SCC steht.

C.

Strenger, jedoch leider ohne Begründung, ist die Ansicht des Hessischen Beauftragten für Datenschutz.

Zwar ist es möglich, die Standarddatenschutzklauseln auch in umfangreichere Vertragswerke einzubauen oder um zusätzliche Klauseln zu ergänzen. Zu bedenken ist allerdings, dass die Übermittlung der Daten nur dann genehmigungsfrei ist, wenn die Standarddatenschutzklauseln unverändert verwendet werden (Hervorhebung nur hier). Die Behörde sieht wohl also gar keine Möglichkeit, die SCC zu ergänzen, ohne, dass eine Genehmigung der Behörde erforderlich wäre. Warum dies so ist, begründet die Behörde aber leider nicht.

D.

Einen Mittelweg wählt die Aufsichtsbehörde aus NRW.

Einer besonderen Genehmigung der EU-Standardvertragsklauseln durch die LDI NRW bedarf es nicht, denn die Eignung des Vertragswerks als Garantie im Sinne des Art. 46 Abs. 1 DS-GVO folgt bereits aus der Erwähnung in Art. 46 Abs. 2 lit. c) DS-GVO . Werden allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge miteinander vermischt, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Grundsätzlich können darunter auch Ergänzungen fallen, die der Anpassung an die DS-GVO dienen (etwa zur Erfüllung der Voraussetzungen des Art. 28 Abs. 3 DS-GVO durch die EU-Standardvertragsklauseln selbst). Ob im Einzelfall keine Genehmigungspflicht und/oder Abstimmungspflicht auf EU-Ebene besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.“ (Hervorhebung nur hier). Die LDI NRW tendiert wohl zu einer Genehmigungspflicht, empfiehlt jedoch, eine entsprechende Rückfrage bei der Aufsichtsbehörde zu stellen.

Eigene Interpretation

Als ich mich dem Thema genähert habe, habe ich mich zunächst gefragt, woraus sich eigentlich ergibt, dass Ergänzungen per se genehmigungsbedürftig seien? Aus der DSGVO ergibt sich dies mE nämlich nicht. Im Gegenteil sprechen die Vorgaben des ErwG 109 DSGVO meiner Ansicht nach eher für die Möglichkeit der Ergänzung, ohne Genehmigungspflicht.

Denn ErwG 109 DSGVO geht von der Möglichkeit der Verwendung der SCC (= genehmigungsfrei) aus, was den Verantwortlichen aber gerade nicht „daran hindern“ soll, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den SCC stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Ich verstehe diese Erläuterung so, dass die Einfachheit des Einsatzes (nicht daran hindern) eben gerade nicht durch Ergänzungen aufgehoben werden soll, wenn diese Ergänzungen positiv für Betroffene sind. Denn wozu wäre sonst der letzte Teil des Satzes relevant, wenn doch jede Anpassung ohnehin genehmigt werden müsste (egal ob positiv oder negativ). Oder anders ausgedrückt: eine Genehmigungsbedürftigkeit bei positiver Anpassung würde mich als Unternehmen daran hindern, die SCC in der eigentlich vorgesehen genehmigungsfreien Form zu nutzen.

Einziger Anhaltspunkt dafür, dass Änderungen zu einer Genehmigungspflicht führen, wäre meines Erachtens die Klausel 10 der SCC selbst. Dieser Klausel steht aber derzeit ErwG 109 DSGVO und die Vorgabe des EuGH entgegen.

Klar für eine genehmigungsfreie Anpassung der SCC sprechen auch die FAQ der EU-Kommission zu internationalen Datentransfers (pdf). Auf die Frage „9. CAN COMPANIES INCLUDE THE STANDARD CONTRACTUAL CLAUSES IN A WIDER CONTRACT AND ADD SPECIFIC CLAUSES?” wird dort geantwortet (B.1.9):

Yes. Parties are free to agree to add other clauses as long as they do not contradict, directly or indirectly, the standard contractual clauses approved by the Commission or prejudice fundamental rights or freedoms of the data subjects. It is possible, for example, to include additional guarantees or procedural safeguards for the individuals (e.g. online procedures or relevant provisions contained in a privacy policy).”

Unter B.1.10 gibt die Kommission dann zu Bedenken: „Once they change the standard contractual clauses these are no longer “standard”. The companies will consequently not benefit from the specific favourable treatment attached to the standard contractual clauses”.

Fazit

Für mich ergibt sich hieraus folgendes Bild: sowohl der EuGH als auch ErwG 109 DSGVO gestatten (ja fordern) ausdrücklich die Ergänzung der Klauseln um zusätzliche Garantien bzw. Klauseln. Damit die SCC ihren genehmigungsfreien Charakter nicht verlieren, muss wohl (so verstehe ich die FAQ der Kommission) darauf geachtet werden, dass die Klauseln der SCC selbst nicht angefasst werden, sondern quasi on top noch Pflichten oder mehr Rechte vereinbart werden. In der Praxis wird es sicher nicht immer einfach sein, klar eine Trennlinie zu ziehen, ob eine neue Pflicht oder neue Klausel auch wirklich keine Änderung der SCC-Klauseln darstellt. Meines Erachtens sprechen aber gute Gründe dafür, dass bei entsprechender Ergänzung der SCC um weitere (!) und zusätzliche (!) Garantien, eine Genehmigungsbedürftigkeit nicht besteht.

VG Schleswig: DSGVO erfordert keine öffentliche Stellenausschreibung für das Amt des Landesdatenschutzbeauftragten

Das VG Schleswig hat im Verfahren des einstweiligen Rechtschutzes entschieden (Beschl. v. 19.08.2020 – 12 B 36/20), dass die Wiederwahl der Landesbeauftragten in Schleswig-Holstein mit der DSGVO vereinbar war.

Sachverhalt

Der Antragsteller, ein Volljurist und seit 2016 bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen tätig, bewarb sich am 7.6.2020 für das Amt des Landesbeauftragten für Datenschutz. Zuvor (am 4.6.2020) beantragten die Fraktionen im Landtag die bisherige Landesbeauftragte wiederzuwählen.

Der Antragsteller begründete sein Vorbringen u.a. damit, dass die beabsichtigte Ernennung gegen Art. 53 DSGVO verstoße, da die Besetzung der Leitungsposition nicht „im Wege eines transparenten Verfahrens“ erfolge. Nach Art. 53 Abs. 1 DSGVO sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.

Entscheidung

Direkt vorab: die Wiederwahl von Frau Hansen zur Landesbeauftragten halte ich im Ergebnis für gut, denn Frau Hansen ist eine sehr kompetente und geschätzte Landesbeauftragte.

Kritisieren möchte ich daher hier auch nicht diese spezielle Wiederwahl, sondern die Begründung und Ansicht des Verwaltungsgerichts zur Auslegung von Art. 53 DSGVO.

Das Verwaltungsgericht begründet seine Ablehnung des Antrags damit, dass das in § 5 Abs. 1 S. 1 ULDErrG SH geregelte Wahlverfahren nicht gegen das Transparenzgebot verstoße.

Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es – anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 – nicht“.

Das ist die gesamte Begründung des Gerichts zu seiner Ansicht. Mehr nicht. Das Gericht verweist, zur Untermauerung dieser Ansicht, noch auf zwei Literaturansichten (Boehm, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl., Art. 53 DSGVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8).

Das Gericht lässt hierbei aber völlig die gegenteiligen Ansichten außer Betracht. Vgl. etwa:

–          Selmayr, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 53 Rn. 5.

–          Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 53 Rn. 4.

–          Tendenziell wohl auch Römer, in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl. 2020, Art. 53 Rn. 19.

Zudem ist meines Erachtens auch der Verweis auf die Ansicht von Prof. Boehm zum Beleg, dass eine Ausschreibung nicht erfolgen muss, nicht richtig. Prof. Boehm legt nur dar, dass diese Ausschreibung in Deutschland nicht vorgesehen ist, was aber nicht bedeutet, dass dies nach der DSGVO nicht erforderlich wäre. Im Gegenteil verlangt Prof. Boehm für das Verfahren, dass dieses für die Bürger überprüfbar und nachvollziehbar erfolgen muss.

Nach Ansicht des Verwaltungsgerichts war öffentlich bekannt, wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen. Zudem geht das Gericht davon aus, dass es einer öffentlichen Debatte über mögliche Kandidaten nicht bedurfte.

Die Ansicht des Verwaltungsgerichts zur Anwendung von Art. 53 Abs. 1 DSGVO halte ich für mindestens diskutabel und im Ergebnis dem Datenschutzrecht wenig zuträglich. Denn ich möchte vermuten, dass eine öffentliche Kenntnis von Anträgen in Landesparlamenten nicht unbedingt so an die Öffentlichkeit gelangen, wie eine öffentliche Ausschreibung mit einer Bewerbungsfrist. Ich persönlich sehe keinen Grund, warum man eine öffentliche Ausschreibung und ein Bewerbungsverfahren nicht durchführen sollte. Je weniger die Öffentlichkeit an diesem Prozess beteiligt ist, desto eher kann bei externen Beobachtern der Eindruck entstehen, dass man sich vorab intern auf einen Kandidaten geeinigt hat, der für die Position „passt“.

Zudem eine Anmerkung zu dem Verweis auf die Verordnung (EG) 45/2001. Diese ist überhaupt nicht mehr anwendbar. Und zwar seit dem 11.12.2018 (!). Denn es gibt eine Nachfolgeverordnung (Verordnung (EU) 2018/1725), in der die Aufhebung der alten Verordnung in Art. 99 VO 2018/1725 angeordnet wird. Das Verwaltungsgericht stützt seine Ansicht mithin u.a. auf eine nicht mehr anwendbare Verordnung. Freilich muss beachtet werden, dass in Art. 53 Abs. 1 VO 2018/1725 eine entsprechende Regelung für eine öffentliche Ausschreibung für das Amts des Europäischen Datenschutzbeauftragten geschaffen wurde.

Meines Erachtens muss aber nicht aus dieser Regelung geschlossen werden, dass im Rahmen der DSGVO das geforderte „transparente Verfahren“ gerade keine Ausschreibung verlangt. Der Unterschied beider Verordnungen liegt u.a. darin, dass sich VO 2018/1725 nicht an verschiedene Staaten mit unterschiedlichen nationalen Regelungen im Bereich des Beamten- oder Verwaltungsrechts richtet. VO 2018/1725 bezieht sich allein auf die EU-Ebene und die Regelung zur Ausschreibung konnte (bzw. musste sogar) in der VO 2018/1725 erfolgen.

Dass die Anforderungen an das transparente Verfahren wohl auch in Deutschland unterschiedlich interpretiert werden, zeigt beispielhaft die letzte öffentliche Stellenausschreibung für das Amt des Landesbeauftragten in Sachsen-Anhalt.

Die Auslegung und Anwendung von Art. 53 DSGVO ist aus meiner Sicht auf jeden Fall ein spannendes Thema, zu dem sicher noch diskutiert werden kann.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.