Category Archives: SCC

Datenschutzbehörde Baden-Württemberg: neue Handreichung zu „Drittstaatentransfers“ – wann liegt eine „Übermittlung“ vor und wie muss darüber informiert werden?

Posted on by

Der LfDI Baden-Württemberg hat mit Stand Januar 2024 „Handreichung zu Kapitel V der DS-GVO“ veröffentlicht. Darin erläutert die Datenschutzbehörde ihre Position zu einigen praxisrelevanten Themen rund um Datentransfers in Drittländer außerhalb der EU. Nachfolgend betrachte ich beispielhaft zwei Aspekte der Handreichung.

Wann liegt eine „Übermittlung“ personenbezogener Daten vor?

Die Antwort auf diese Frage ist schon länger umstritten – u.a. auch, weil die DSGVO nicht definiert, was unter einer „Übermittlung“ im Sinne von Kap. V DSGVO zu verstehen ist.

Der LfDI geht für Fallkonstellationen des Zugriffs aus Drittländern auf Daten innerhalb der EU davon aus,  

„dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittstaat (beispielsweise für administrative oder Supportzwecke) um einen Transfer gemäß Kapitel V DS-GVO handeln kann, zumindest dann, wenn der Zugriff später auch tatsächlich erfolgt.“

Wichtig sind bei dieser Ansicht zwei Aspekte:

  • Es „kann“ sich um eine Übermittlung handeln. Es liegt daher damit nicht per se bei Zugriffsmöglichkeit eine Übermittlung vor.
  • Und: dies ist nur der Fall, wenn der Zugriff auf Daten auch tatsächlich erfolgt.

Gerade die zweite Anforderung des LfDI ist aus meiner Sicht zu begrüßen. Denn hiermit positioniert sich die Behörde klar gegen Auslegungen, die bereits allein eine Zugriffsmöglichkeit als „Übermittlung“ ansehen wollen. Die Datenschutzbehörde verlangt aber klar, dass faktisch ein Zugriff erfolgen muss – die Möglichkeit allein genügt nicht.

Wie muss in Datenschutzhinweisen über Drittlandstransfers informiert werden?

Nach Art. 13 Abs. 1 f) DSGVO muss der Verantwortliche „gegebenenfalls“ über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

In dieser gesetzlichen Anforderung stecken mehrere (alternative) Informationspflichten. Information über

  • die Absicht, personenbezogene Daten zu übermitteln
  • das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
  • die geeigneten oder angemessenen Garantien nach Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar.

Zum zweiten Punkt vertritt etwa die irische Aufsichtsbehörde die Ansicht, dass die Information auf jeden Fall erteilt werden muss, auch wenn sie nur negativ ausfällt weil es keinen Angemessenheitsbeschluss gibt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“) (vgl. hier meinen Blogbeitrag).

Der LfDI Baden-Württemberg setzt in seiner Handreichung voraus, dass 1) eine namentliche Nennung des Empfängerlandes und 2) des eingesetzten Transferinstruments erfolgen muss. Dies bedeutet für Datenschutzhinweise, dass diese sowohl das oder die konkreten Drittländer benennen müssen. Daneben muss auch konkret für das jeweilige Drittland angegeben werden, ob und welcher  Angemessenheitsbeschluss vorliegt oder aber z.B. die EU-Standarddatenschutzklauseln verwendet werden.

Wichtig: die irische Aufsichtsbehörde legt die Anforderungen des Art. 13 DSGVO in der Weise aus, dass es nicht ausreicht, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die betroffene Person sollte vielmehr in der Lage sein, auf das jeweilige Dokument, auf das man sich beruft, zuzugreifen. Also etwa per Link auf den konkreten Angemessenheitsbeschluss.

Europäischer Datenschutzausschuss veröffentlicht Bericht zur Prüfung von Datentransfers in Drittländer

Posted on by

Die europäischen Datenschutzbehörden haben einen Bericht (PDF) über die Ergebnisse der Arbeit der Task Force veröffentlicht, die eingerichtet wurde, um 101 Beschwerden zu prüfen, die von der Nichtregierungsorganisation NOYB im Anschluss an das Schrems-II-Urteil des EuGH in verschiedenen Mitgliedstaaten eingereicht wurden.

Wichtig für die Praxis: der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der betroffenen Fälle.

Nachfolgend habe ich einige relevante Aspekte zusammengefasst (auch wenn die Positionen nicht völlig neu sind):

  • Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn es keine Probleme mit den Anforderungen von Kapitel V der DSGVO gibt.
  • Abschluss des EU-Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO mit rückwirkender Kraft ist nicht zulässig.
  • Die Verschlüsselung durch den Datenimporteur ist keine geeignete Maßnahme, wenn der Datenimporteur als Anbieter des Tools gesetzlich verpflichtet ist, die kryptografischen Schlüssel ggü. Behörden in dem Drittland zur Verfügung zu stellen.
  • Anonymisierungsfunktionen sind keine geeignete Maßnahme, wenn die Anonymisierung erfolgt, nachdem die Daten in das Drittland übermittelt wurden.
  • In Fällen, in denen ein Auftragsverarbeiter als Datenexporteur im Auftrag des für die Verarbeitung Verantwortlichen (des Website-Betreibers) handelt, ist der für die Verarbeitung Verantwortliche ebenfalls für den Datentransfer verantwortlich und könnte gemäß Kapitel V der DSGVO haftbar gemacht werden.
  • Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, ausreichende Angaben zu machen, um nachzuweisen, wie Übermittlungen stattfinden, könnte dies zu einem Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Rechenschaftspflicht) führen.  
  • Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen (womit der Website-Betreiber zum (Mit)Verantwortlichen wird).

Informationen über Drittlandsübermittlungen nach Art. 13 DSGVO – strenge Auffassung der irischen Aufsichtsbehörde

Posted on by

Da die Anforderungen des Kapitels V der DSGVO, die sich auf Datenübermittlungen in Drittstaaten beziehen, weiterhin praktische Relevanz haben, stellt sich oft die Frage, wie die Informationspflichten in diesem Zusammenhang gemäß Art. 13 Abs. 1 lit. f) DSGVO zu erfüllen sind. 

Nach dieser Vorschrift hat der für die Verarbeitung Verantwortliche folgende Angaben zu machen: 

„gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.“

In seiner „WhatsApp-Entscheidung“ (pdf) vom August 2021 befasste sich die DPC Ireland auch mit der Frage der Einhaltung von Art. 13 Abs. 1 lit. f) DSGVO. 

Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses

Nach Ansicht der DPC geht diese Formulierung über die Anforderung an den für die Verarbeitung Verantwortlichen hinaus, festzustellen, „ob“ oder „ob“ ein Angemessenheitsbeschluss in Bezug auf das vorgeschlagene Übermittlungsland vorliegt. Stattdessen verlangt die Verpflichtung von einem für die Verarbeitung Verantwortlichen 

verbindliche Informationen bereitzustellen, so dass die betroffene Person entweder (i) darüber informiert wird, dass die Übermittlung Gegenstand eines Angemessenheitsbeschlusses ist, oder (ii) darüber, dass die Übermittlung nicht Gegenstand eines Angemessenheitsbeschlusses ist„.

Nach Ansicht der Datenschutzbehörde muss die Information auf jeden Fall erteilt werden, auch wenn sie nur negativ ausfällt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“). 

Hinweis auf die geeigneten oder angemessenen Garantien

Diese Information muss der betroffenen Person im Falle einer Übermittlung, die nicht Gegenstand eines Angemessenheitsbeschlusses ist, zur Verfügung gestellt werden. 

Nach Ansicht der DPC ist diese Informationspflicht sehr spezifisch. Der Grund dafür ist, dass die betroffene Person auf Wunsch Zugang zu detaillierten Informationen über die zum Schutz ihrer personenbezogenen Daten angewandten Garantien erhalten soll. Nach Ansicht der DPC reicht es daher nicht aus, auf eine Website zu verweisen, auf der allgemeine Informationen über die EU-Standardvertragsklauseln zu finden sind. 

Um es klar zu sagen: Es reicht nicht aus, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die Transparenzleitlinien machen deutlich, dass die betroffene Person in der Lage sein sollte, auf das jeweilige Dokument, auf das sie sich beruft, zuzugreifen (oder Zugang zu erhalten, wenn der Zugang nicht direkt gewährt wird), d. h. in diesem Fall auf die spezifischen Standardvertragsklauseln oder die spezifische Angemessenheitsentscheidung.“

Nach Ansicht der DPC mussten die für die Verarbeitung Verantwortlichen (in der Vergangenheit) ausdrücklich über die verwendeten Klauseln informieren. Aus meiner Sicht sollte man davon ausgehen, dass dies im Rahmen der „neuen“ SCC bedeutet, dass der Verantwortliche über das verwendete spezifische Modul informieren muss. 

Internationale Datentransfers: muss in Datenschutzhinweisen das konkrete Drittland angegeben werden?

Posted on by

Das Thema „internationale Datentransfers“ ist ja im Grunde ein stetiger Dauerbrenner im Datenschutzrecht. Sei es die Umsetzung der Vorgaben des EuGH bzw. des EDSA oder der zwingende Abschluss der neuen SCC vor Dezember 2022, wenn die alten SCC ihre Gültigkeit verlieren.

Eine Datenübermittlung in ein Land außerhalb des EWR hat aber auch (oft übersehene) Konsequenzen auf der Ebene der Transparenzpflichten, konkret in Art. 13 und 14 DSGVO. Nach Art. 13 Abs. 1 lit. f DSGVO muss der Verantwortliche den Betroffenen, etwa in Datenschutzhinwiesen auf der Webseite oder ggü. den Mitarbeitern, die Absicht mitteilen, „die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“.

Bereits die „Absicht“ von Datentransfers löst hier also eine Informationspflicht aus. Das ist im Grunde ein Vorfeldschutz, vor der eigentlichen Übermittlung. „Absicht“ dürfte aber zumindest so zu verstehen sein, dass der Verantwortliche die Übermittlung auch tatsächlich plant und will; es geht also nicht um zufällig, unbewusste Übermittlungen.

Praktisch stellt sich oft die Frage, ob denn ein Verantwortlicher das konkrete Drittland in den Hinweisen benennen muss, in welches personenbezogene Daten gehen. Je nach eingebundenen Dienstleistern oder etwa der Größe eines Konzerns, kann hier schnell eine größere Anzahl an Drittländern zusammen kommen. Davon zu trennen ist freilich die stets bestehende Möglichkeit, dass Verantwortliche die spezifischen Drittländer einfach immer benennen, unabhängig davon, ob sie nun verpflichtet sind oder nicht.

Der Wortlaut der Norm spricht eher gegen eine genaue Angabe des Drittlandes. Dort heißt es „ein Drittland“, nicht etwa „das betreffende Drittland“ oder ähnlich. Speziell ist die Situation eventuell im Fall eines Angemessenheitsbeschlusses. Wenn man auf den konkreten Beschluss verweisen würde, ist klar, um welches Land es geht.

Der EDSA führt in seinen Leitlinien zur Transparenz (WP 260 rev01, S. 48) aus: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“. Auch der EDSA sieht die Benennung der konkreten Drittländer also wohl eher nicht als Pflicht an, sondern empfiehlt deren Angabe. Die Leitlinien sprechen zumindest nicht davon, dass die Information anzugeben ist oder stets angegeben werden muss. Man mag den EDSA hier evtl. aber auch strenger verstehen.

Der BayLfD ist bei dieser Frage sehr klar (Orientierungshilfe „Informationspflichten des Verantwortlichen“, S. 20). Art. 13 Abs. 1 lit. f DSGVO verlange nicht, dass das betreffende Drittland namentlich genannt wird. Gleichwohl empfiehlt der BayLfD (ebenfalls unter Verweis auf Transparenzgründe) diese Information bereitzustellen.

Ein deutliches Argument gegen eine Pflicht zur Angabe des spezifischen Drittlands nach Art. 13 Abs. 1 lit. f DSGVO ist ein systematischer Vergleich mit der Pflicht des Art. 30 Abs. 1 lit. e DSGVO. Danach muss der Verantwortliche in dem Verzeichnis der Verarbeitungstätigkeiten gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands (Hervorhebung durch mich) dokumentieren. Hier sieht der Gesetzgeber ganz klar eine Pflicht zur Benennung des „betreffenden Drittlands“ vor. Wenn es gewollt gewesen wäre, hätte der Gesetzgeber eben diese Pflicht auch in Art. 13 Abs. 1 lit. f DSGVO aufgenommen. Man muss also davon ausgehen, dass dies bewusst nicht erfolgte.

Haftungsbegrenzung in den neuen SCC – rein kommerziell oder unzulässige Abweichung?

Posted on by

Bereits im Rahmen des Abschlusses der noch geltenden SCC war die Frage nach der Haftungsbegrenzung zwischen Exporteur und Importeur ein praktisch relevantes Thema. Zum Teil wurden SCC selbst angepasst, zum Teil wurde auf die Haftungsklausel in Hauptverträgen verwiesen.

Fraglich und meines Erachtens diskutabel ist, ob die nun von der EU-Kommission veröffentlichten Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO eine solche Haftungsbegrenzung erlauben. Die Antwort auf diese Frage dürfte gerade für Dienstleister als Auftragsverarbeiter elementar sein. Kann, im Fall des Verstoßes gegen den Vertrag oder die DSGVO, eine Haftung der verstoßenden Partei gegenüber dem Vertragspartner begrenzt werden? Es soll hier nicht um die Begrenzung von Schadenersatzansprüchen gegenüber Betroffenen gehen. Ich denke, es gibt diesbezüglich keine Diskussion, dass dies nicht möglich ist.

Ich meine, dass es wohl für beide Ansichten Argumente gibt. Nachfolgend möchte ich einige (mir schnell in den Sinn kommende) Argumente auflisten.

Pro Haftungsbegrenzung

Es soll allein die schuldrechtliche Haftung zwischen den Parteien begrenzt werden. Gegenüber Betroffenen erfolgt keine Begrenzung. Daher sind auch deren Rechte nicht beschränkt.

Nach ErwG 3 des Beschlusses der Kommission können Exporteur und Importeur ausdrücklich weitere Klauseln hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Begrenzung einer internen Haftung ist jedoch in den SCC nicht geregelt, womit auch kein Widerspruch besteht. Es handelt sich hierbei allein um eine „kommerzielle“ Regelung.

Contra Haftungsbegrenzung

Nach ErwG 14 des Beschlusses sollen die SCC Vorschriften über die Haftung zwischen den Parteien vorsehen. Also gerade die interne Haftung betreffend. Dann ist schwer zu argumentieren, dass eine solche Regelung rein „kommerziellen“ Charakter hat und von den SC nicht abweicht, wenn sie doch in dem Beschluss ausdrücklich als verpflichtender Bestandteil angesprochen ist.

Art. 12 SCC enthält ausdrücklich eine Klausel zur Haftung zwischen den Parteien (vergleiche in allen Modulen jeweils lit. a)). Dort ist keine Regelung für eine Begrenzung gegenüber dem Vertragspartner enthalten. Führt man eine solche Beschränkung aber ein, würde man von lit. a) abweichen.

Eine Haftungsbegrenzung könnte dazu führen, dass eine Partei (wegen des geringen finanziellen Risikos selbst bei Verstößen) ihre Pflichten aus dem Vertrag nicht so ernst nimmt, womit auch die Rechte der Betroffenen mittelbar beeinträchtigt sein könnten.

Aus meiner Sicht ein praktisch wahnsinnig relevantes und spannendes Thema, welches bei den nun anstehenden Abschlüssen der neuen SCC sicher auch für Diskussionen sorgt.