Europäischer Datenschutzbeauftragter: Strategie für EU-Institutionen zur Einhaltung des „Schrems II“-Urteils

Der Europäische Datenschutzbeauftragte (EDPS), also die Aufsichtsbehörde für die Institutionen der EU, hat gestern ein interessantes Papier für eine Stratege zur Einhaltung der Vorgaben des Schrems II Urteils des EuGH veröffentlicht (pdf). Dort wird dargelegt, wie nach Ansicht der Aufsichtsbehörde die EU-Institutionen nun kurz- und mittelfristig mit Datentransfers in Drittländer (insbesondere die USA) umgehen sollten.

Die Vorgaben und Empfehlungen des EDPS sind meines Erachtens auch eine gute Arbeitshilfe für Unternehmen im privatwirtschaftlichen Bereich, die ja vor derselben Herausforderung stehen.

Ziel der Strategie

Nach Aussage des EDPS zielen die Strategie und darin enthaltende Empfehlungen darauf ab, die Einhaltung des Urteils durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zu gewährleisten und zu überwachen. Das Dokument befasst sich sowohl mit kurz- als auch mit mittelfristigen Maßnahmen für die EU-Institutionen und den EDPS.

Inhalt der Strategie

Die Vorgaben unterscheiden zwischen kurzfristigen und mittelfristigen Einhaltungsmaßnahmen wurde. Als kurzfristige Maßnahme erließ der EDPS am 5. Oktober 2020 eine Anweisung an die EU-Institutionen, eine Bestandsaufnahme durchzuführen, um festzustellen, bei welchen laufenden Verträgen, Beschaffungsverfahren und anderen Arten der Zusammenarbeit Daten übertragen werden. Als mittelfristige Maßnahme wird der EDPS Leitlinien bereitstellen und von Fall zu Fall Maßnahmen zur Einhaltung und/oder Durchsetzung der Datenschutzvorschriften bei Übermittlungen in die Vereinigten Staaten oder andere Drittländer verfolgen. Zudem sollen die EU-Institutionen aufgefordert werden, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um für den jeweiligen Transfer zu ermitteln, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau, wie es in der EU/EWR vorgesehen ist, gewährleistet ist.

Nachfolgend eine Übersicht zu den Vorgaben mit einer eigenen Übersetzung. Ich denke, dass man aus Sicht eines Unternehmens nicht alle Vorgaben direkt übernehmen kann. Jedoch ist dieser Umsetzungsplan des EDPS ein guter Anhaltspunkt, wie man im Unternehmen sein eigenes „Schrems II-Projekt“ aufsetzen könnte.

Der EDPS hält einen zweigleisigen Ansatz für den geeignetsten:

(1) Ermittlung dringender Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften durch einen risikobasierten Ansatz für Übermittlungen in die USA, die für die betroffenen Personen mit hohen Risiken verbunden sind, und parallel dazu

(2) Bereitstellung von Leitlinien und Verfolgung mittelfristiger fallweiser Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften des EDPS für alle Übermittlungen in die USA oder in andere Drittländer.

Die Strategie des EDPS zur Gewährleistung und Überwachung der Einhaltung des Urteils ist im Wesentlichen in zwei Phasen mit kurz- und mittelfristigen Maßnahmen unterteilt.

1. Kurzfristig – Bestandsaufnahme (mapping) und unmittelbare Einhaltungsprioritäten

Bestandsaufnahme

Der EDPS erteile EU-Institutionen die Anweisung, eine Bestandsaufnahme aller laufenden Verarbeitungsvorgänge und Verträge durchzuführen, die Übermittlungen in Drittländer beinhalten. Die Institutionen werden aufgefordert, bis Ende Oktober eine Bestandsaufnahme durchzuführen, um Datenübermittlungen für laufende Verträge, Beschaffungsverfahren und andere Arten der Zusammenarbeit zu ermitteln. Die Bestandsaufnahme der EU-Institutionen sollte folgend Daten enthalten:

  • die Verarbeitungsvorgänge,
  • die Bestimmungsorte,
  • die Empfänger,
  • die verwendeten Übertragungsinstrumente,
  • die Arten der übertragenen personenbezogenen Daten,
  • die Kategorien der betroffenen Personen sowie
  • Informationen über Weiterleitungen beschreiben.

Rückmeldung an den EDPS

Bis spätestens 15. November 2020 sollen die EU-Institutionen dem EDPS über spezifische Risiken und Lücken berichten, die sie bei dieser Bestandsaufnahme ermittelt haben. Darüber hinaus müssen sie dem EDPS spezifische und transparente Informationen über drei Hauptkategorien von Datenübermittlungen vorlegen, die wahrscheinlich höhere Risiken für die Rechte und Freiheiten natürlicher Personen bergen und vom EDPS vor Ende 2020 als Aufsichtsprioritäten ermittelt wurden:

  • illegale Übermittlungen, die nicht auf einem Übermittlungsinstrument beruhen;
  • Übermittlungen, die auf einer Ausnahmeregelung nach Artikel 50 der Verordnung beruhen; und
  • „risikoreiche Übermittlungen“ in die USA an Stellen, die eindeutig unter Abschnitt 702 FISA oder E.O. 1233319 fallen und bei denen es sich entweder um groß angelegte Verarbeitungsvorgänge oder komplexe Verarbeitungsvorgänge oder um die Verarbeitung sensibler Daten oder Daten sehr persönlicher Art handelt.

Auf der Grundlage dieser ersten Berichterstattung kann der EDPS Durchsetzungsmaßnahmen ergreifen, um diese Übermittlungen mit der Verordnung in Einklang zu bringen oder diese Übermittlungen gegebenenfalls auszusetzen.

2. Mittelfristig – Leitlinie des EDSA und Transfer Impact Assessments

Transfer Impact Assessments (TIAs)

Die EU-Institutionen werden aufgefordert, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um festzustellen, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleistet ist.

Im Anschluss an die erwartete Leitlinie des Europäischen Datenschutzausschusses zu geeigneten ergänzenden Maßnahmen wird der EDPS eine Liste von Vorfragen für Verantwortliche zur Verfügung stellen, damit diese TIAs mit Datenimporteuren einleiten können.

Auf der Grundlage dieser Bewertungen, die mit Hilfe von Datenimporteuren durchgeführt werden, sollten die EU-Institutionen eine Entscheidung darüber treffen, ob es möglich ist, die in der Bestandsaufnahme ermittelten Transfers fortzusetzen.

Rückmeldung an den EDPS

Abhängig vom Ergebnis der TIAs sollen die EU-Institutionen dem EDPS im Laufe des Frühjahrs 2021 über die folgenden drei Kategorien von Datentransfers Bericht zu erstatten:

  • Übermittlungen in ein Drittland, die kein im Wesentlichen gleichwertiges Schutzniveau gewährleisten;
  • Übermittlungen, die ausgesetzt oder beendet werden, sind gemäß Art. 47 Abs. 2 der Verordnung 2018/1725 zu melden, wenn die EU-Institution der Auffassung ist, dass das Drittland kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet;
  • Bei Übertragungen, die auf Ausnahmeregelungen beruhen, sind Kategorien von Fällen, in denen Art. 50 der Verordnung 2018/1725 angewandt wurde, gemäß Art. 50 Abs. 6 der Verordnung zu melden.

Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW

Nach dem Schrems II Urteil des EuGH (C-311/18) versuchen europäische Verantwortliche und Auftragsverarbeiter, den Einsatz von Dienstleistern aus Drittstaaten und natürlich insbesondere aus den USA den Anforderungen des EuGH anzupassen. Immer wieder diskutiert wird in diesem Zusammenhang auch, ob nicht eine Verlagerung der Daten auf Server in der EU eine Lösung wäre, selbst wenn diese durch ein Tochterunternehmer einer US-Muttergesellschaft betrieben werden. Denn in diesem Fall würde ja keine Übermittlung von Daten in die USA stattfinden.

US CLOUD Act

Wenn personenbezogene Daten über eine Tochtergesellschaft (oder direkt eine Niederlassung) einer amerikanischen Muttergesellschaft auf Server in Europa gehostet werden, wird in der Diskussion um mögliche Alternativen nach Schrems II oft der US CLOUD Act als Problem angeführt. Der US CLOUD Act (PDF) wurde im Jahr 2018 vom US-Kongress verabschiedet. Ziel des Gesetzes ist es u.a., US-Behörden das Recht zu geben, Daten von Unternehmen, die dem US-Recht unterliegen, für Strafverfolgungszwecke anzufordern. Explizit auch solche Daten, die außerhalb der USA gespeichert sind. Das bedeutet, dass auch personenbezogene Daten auf Servern in Europa angefordert werden können.

Gegebenenfalls kann es dann zu einem Konflikt zwischen US-Recht und der DSGVO kommen. Hierzu hatten sich schon einmal der EDSA und der EDSB in einer Stellungnahme geäußert (PDF).

Ein wichtiger Punkt im Rahmen des US CLOUD Act ist die Möglichkeit für betroffene Unternehmen, gegen eine behördliche Anfrage vorzugehen („may file a motion to modify or quash the legal process“). Zwar besteht diese Möglichkeit im Grundsatz, jedoch nur, wenn gewisse Voraussetzungen erfüllt sind. Eine dieser Voraussetzungen ist, dass das Unternehmen gegen das Recht einer sog. „qualifying foreign government“ verstößt. Hierbei handelt es sich um Länder, die mit den USA ein spezielles executive agreement unter dem CLOUD Act abgeschlossen haben (“with which the United States has an executive agreement that has entered into force under section 25239”). Ein solches Abkommen hat bisher nur das Vereinigte Königreich mit den USA abgeschlossen. Die EU verhandelt zu diesem Thema noch mit den USA.

Ansicht der Landesregierung NRW

In einer aktuellen Antwort (PDF) aus Anfang Oktober 2020 im Landtag NRW hat sich die Landesregierung NRW nun zu diesem Themenkomplex geäußert. Es ging dort um „LOGINEO NRW“, konkret den LOGINEO NRW Messenger. Der Messenger wird über einen AVV mit einem Dienstleister betrieben, der wiederum als Subdienstleister die „AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ einsetzt, also ein Tochterunternehmen von Amazon Web Services, Inc. In der Frage an die Landesregierung wird daher auch auf den US CLOUD Act und einen möglichen Konflikt mit der DSGVO eingegangen.

Die Landesregierung führt zunächst aus, dass sich die Betriebsserver für den Messengerdienst in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit würden die Datenschutzgrundverordnung und das nationale Datenschutzrecht gelten. Diese Aussage ist meines Erachtens zumindest missverständlich. Denn allein der Serverstandort (oder: Ort der Datenspeicherung) ist für die Anwendbarkeit der DSGVO nicht relevant. Man wird hier aber in Bezug auf AWS mindestens von der Anwendbarkeit der DSGVO über Art. 3 Abs. 1 DSGVO ausgehen können.

Sodann verweist die Landesregierung für die DSGVO-Compliance darauf, dass es AWS, nach der zu schließenden Auftragsverarbeitungsvereinbarung (diese ist auf der Webseite des Messengers abrufbar), untersagt sei, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Damit verweist die Landesregierung im Grunde auf den Zielkonflikt, dem Unternehmen unterliegen: welches Recht halten wir ein bzw. brechen wir? Wenn sich also hier z.B. der CLOUD Act und die DSGVO gegenüberstehen und die Unternehmen zwischen den Stühlen sitzen. Natürlich ist es möglich, dass vertraglich eine Weitergabe untersagt ist. Rein objektiv betrachtet wird es aber Situationen geben, in denen Unternehmen vor die Wahl gestellt sind, welcher Rechtsordnung sie den Vorzug geben. Dass dies nicht die gewünschte Situation sein kann, ist natürlich auch klar.

Zudem führt die Landesregierung konkret zum US CLOUD Act an:

Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

Diese Aussage ist sicher auf für Unternehmen interessant, die gerade über eine Verlagerung der Datenspeicherung nach Europa denken. Nach Ansicht der Landesregierung ist der Prozess, der dem US CLOUD Act zugrunde liegt, nämlich jenem in Deutschland vergleichbar. Die Landesregierung argumentiert für die Zulässigkeit des Einsatzes von US-Dienstleistern (bzw. deren Tochtergesellschaften) also mit einer Vergleichbarkeit der Rechtslagen in den USA und Deutschland. Oder anders ausgedrückt: die Landesregierung sieht hier wohl Argumentationsspielraum dafür, von einer Gleichwertigkeit des Schutzniveaus für Daten auszugehen. Ich möchte hinsichtlich des Prozesses und konkret der Widerspruchsmöglichkeit für Unternehmen aber auch auf meine Ausführungen oben verweisen.

Interessant ist auch der Hinweis der Landesregierung, dass die Daten der Kommunikation sowohl „bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt“ seien und von an der Kommunikation Unbeteiligten nicht gelesen werden könnten. Meines Erachtens stellt sich dann aber die Frage, ob denn überhaupt eine Auftragsverarbeitungssituation vorliegt, wenn AWS keinen Zugriff auf verschlüsselte Daten hat. Bzw. wozu wird ein AVV abgeschlossen, wenn der Dienstleister gar nicht auf personenbezogene Daten zugreifen kann?

Ob die Ansicht zum US CLOUD Act auch deutsche Datenschutzbehörden teilen würden, ist meines Erachtens zumindest fraglich. Denn wie oben verlinkt, hat der EDSA sich zum US CLOUD Act bereits einmal inhaltlich geäußert und sieht wohl datenschutzrechtliche Probleme. Ich finde die Ansicht der Landesregierung dennoch interessant und meines Erachtens macht es für Unternehmen im Rahmen des internen Mappings von Drittlandsübermittlungen und der Prüfung des Schutzniveaus bei Empfängern in Drittländern durchaus Sinn, auch die Vorgaben des US CLOUD Act zu betrachten. Denn sollte es von Aufsichtsbehörden diesbezüglich, zB im Rahmen einer Prüfung, zu Rückfragen kommen, ist eine entsprechend dokumentierte Auseinandersetzung mit der Rechtslage in dem Drittland zu empfehlen.

 

Die Rolle von „Übereinkommen Nr. 108+“ im Rahmen der Prüfung des Datenschutzniveaus in Drittländern nach der DSGVO

Nach der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) wird vermehrt deutlich, dass der Inhalt dieses Urteils bei weitem nicht nur Auswirkungen auf Datenübermittlungen in die USA hat. Wenn kein Angemessenheitsbeschluss der Europäischen Kommission existiert, fordert der EuGH von datenexportierenden Verantwortlichen, dass sie vor der Übermittlung prüfen, ob in dem jeweiligen Drittland ein gleichwertiges Schutzniveau für personenbezogene Daten existiert.

Es stellt sich die Frage, welche Bedeutung das Übereinkommen Nr. 108+ (man spricht von „Nr. 108+“, da das alte Übereinkommen im Jahre 2018 angepasst wurde) des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) bei der Prüfung des Schutzniveaus in Drittländer spielt, die Vertragspartei dieses völkerrechtlichen Übereinkommens sind. Mein Kollege Philipp Quiel und ich haben uns hierzu ein paar tiefergehende Gedanken gemacht und die Vorgaben der DSGVO für ein „gleichwertiges Schutzniveau“ den Regelungen des Übereinkommen Nr. 108+ gegenübergestellt. Den Beitrag kann man hier herunterladen (PDF).

Ergänzung vom 31.8.2020: aufgrund des Feedbacks auf Twitter haben wir die gegenüberstellende Analyse um die Regelungen des Übereinkommens 108 und Informationen zum Gültigkeitsstatus ergänzt. Danke.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.

Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

European Commission: EU-US Privacy Shield complies with the requirements of the General Data Protection Regulation

Maria Grapini, Member of the European Parliament, asked the European Commission what measures the Commission is planning to adapt the EU-US Privacy Shield, which exists since July 2016, in order to comply with the (partly new) requirements of the upcoming General Data Protection Regulation (GDPR).

The Privacy Shield is based on an adequacy decision by the Commission, just like the former Safe Harbor framework which was invalidated by the European Court of Justice (ECJ). The Privacy Shield provides one possibility to legally transfer personal data from the European Union to companies in the USA, self-certified under the Privacy Shield framework.

In her answer, Justice Commissioner Jourová expressed a rather optimistic view.

Firstly, the Commission refers to the standards for an adequacy finding to ascertain that a third country ensures “a level of protection that is essentially equivalent to that guaranteed within the European Union”.

According to Art. 25 para 6 of the current EU Data Protection Directive (95/46/EC), the Commission may find that a third country ensures an adequate level of protection by reason of its domestic law or of the international commitments it has entered into for the protection of the private lives and basic freedoms and rights of individuals.

In its answer, the Commission refers to the decision by the ECJ in the Schrems case (C-362/14) and its interpretation of Art. 25 para 6. According to the ECJ, the word “adequate” signifies that

a third country cannot be required to ensure a level of protection identical to that guaranteed in the EU legal order.

However, the term “adequate level of protection” must be understood as requiring the third country in fact to ensure a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union.

According to the Commission, this means that it is not necessary for the third country in question to have data protection rules which are a “photocopy” of the EU system. It is especially not necessary that each individual provision in European data protection law is reflected in the third country’s legal order.

Secondly, the Commissioner further comments on the question of the continuation of existing adequacy decisions under the future GDPR. The Commission emphasizes that the GDPR rests on the same core principles, rights and obligations as Directive 95/46/EC.

The Privacy Shield framework already reflects these core elements.

The Commission is therefore assuming that the EU-US Privacy Shield adequately respects the data protection principles, rights and obligations of the future GDPR in order to fulfill the requirements for an adequacy decision as of May 2018.

However, the Commission points to Recital 146 of the EU-US Privacy Shield, according to which it will assess whether there might be a need to adapt the Privacy Shield decision in the light of the entry into application of the GDPR. According to Justice Commissioner Jourová, this will also form part of the discussions with the U.S. authorities in the context of the annual review planned for the second half of 2017.

EU-Kommission: EU-US Datenschutzschild erfüllt Anforderungen der Datenschutz-Grundverordnung

Von der Abgeordneten im Europaparlament, Maria Grapini, wurde die Europäische Kommission gefragt, welche Maßnahmen die Kommission zur Anpassung des seit Juli 2016 existierenden EU-US Datenschutzschildes an die EU Datenschutz-Grundverordnung (DSGVO) plant. Das Datenschutzschild stellt, wie früher Safe Harbor, eine Angemessenheitsentscheidung der Kommission zum Schutzniveau für personenbezogene Daten, die an Unternehmen in den USA übertragen werden, dar. In ihrer Antwort (txt) äußert sich die Justiz-Kommissarin Jourová recht optimistisch.

Zunächst geht die Kommission auf die an einen Angemessenheitsbeschluss zum Datenschutzniveau in einem Drittstaat zu stellende Anforderungen ein. Hierzu verweist die Kommission auf das EuGH-Urteil zu Safe Harbor (Rechtssache C?362/14). Nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Nach dem EuGH impliziert das Wort „angemessen“ in Art. 25 Abs. 6,

dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet.

Das Drittland muss aber aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist.

In Ihrer Antwort stellt die Kommission hierzu fest, dass dies bedeutet, dass ein Drittland keine „fotokopierten“ Datenschutzregelungen der EU vorhalten muss. Insbesondere müsse nicht jede einzelne Norm des europäischen Datenschutzrechts in dem Datenschutzrecht des Drittstaates vorhanden sein.

Interessant sind die Ausführungen der Kommission zu der Frage nach der Fortgeltung derzeit existierender Angemessenheitsbeschlüsse, die sich an den weniger umfassenden Anforderungen der EU-Datenschutzrichtlinie orientieren, nach der Anwendbarkeit der DSGVO ab dem 25. Mai 2018.

Nach Ansicht der Kommission fußt die DSGVO auf den Grundprinzipien und Regelungen der existierenden EU-Datenschutzrichtlinie. Der EU-US Datenschutzschild beinhalte bereits diese Kernelemente. Die Kommission geht also davon aus, dass der EU-US Datenschutzschild die Datenschutzgrundsätze, Rechte und Pflichten der DSGVO ausreichend beachtet, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen.

Dennoch weist die Kommission darauf hin, dass sie im EU-US Datenschutzschild ausdrücklich darauf hingewiesen hat (dort Erwägungsgrund 146), dass sie prüfen wird, ob im Zuge der Anwendung der DSGVO ein Bedarf für Anpassungen besteht. Diese Prüfung ist Bestandteil der vorgeschriebenen jährlichen Überprüfung des EU-US Datenschutzschilds, die für das zweite Halbjahr 2017 geplant ist.

Privacy Shield: Europäische Datenschützer veröffentlichen Leitfaden für Unternehmen

Die Art. 29 Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden, hat am 13. Dezember 2016 ein Papier mit Fragen und Antworten (FAQ) zur praktischen Handhabe des EU-US Datenschutzschildes (Privacy Shield) für europäische Unternehmen veröffentlicht (pdf).

Unter anderem geben die europäischen Datenschützer darüber Auskunft, was ein europäisches Unternehmen zu beachten hat, bevor es personenbezogenen Daten an ein US-Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist.

Prüfung der Zertifizierung und umfasster Datenkategorien

Zum einen müssen sich europäische Unternehmen vergewissern, dass das US-Unternehmen eine aktive Zertifizierung besitzt und zum anderen, dass diese Zertifizierung auch die der geplanten Übermittlung zu Grunde liegenden Daten (eine wichtige Unterscheidung besteht hier zwischen Daten von Mitarbeitern und anderen personenbezogenen Daten) umfasst. Um diese Prüfung vorzunehmen, müssen europäische Unternehmen die Zertifizierung des jeweiligen amerikanischen Unternehmens auf der Webseite des US-Handelsministeriums verifizieren: https://www.privacyshield.gov/welcome

Sollte ein amerikanisches Unternehmen nicht in dieser Liste verzeichnet sein, bestehen dennoch Möglichkeiten, personenbezogene Daten an dieses Unternehmen zu übertragen. Hierauf weisen die europäischen Datenschützer auch ausdrücklich in ihrer Leitlinie hin. Insbesondere können die EU-Standardvertragsklauseln zum Einsatz kommen.

Amerikanisches Unternehmen als Verantwortlicher

Werden personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches in der Rolle eines datenschutzrechtlich Verantwortlichen („controller“) agiert, muss das europäische Unternehmen dafür Sorge tragen, dass für den Verarbeitungsvorgang der Übermittlung europäisches Datenschutzrecht eingehalten wird. Insbesondere bedeutet dies, dass für die Übermittlung ein Erlaubnistatbestand (etwa eine Einwilligung oder ein Vertrag) vorhanden sein muss. Zudem weisen die europäischen Datenschützer darauf hin, dass auch alle übrigen Voraussetzungen für eine zulässige Datenverarbeitung erfüllt sein müssen, wie etwa die Erfüllung von Informationspflichten und das Prinzip der Zweckbindung.

Nach Auffassung der europäischen Datenschützer muss ein europäisches Unternehmen, wenn es personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist, betroffene Personen über die Identität der jeweiligen Datenempfänger und über die Tatsache, dass die übermittelten personenbezogenen Daten unter dem Schutz des Privacy Shield übermittelt werden, informieren. Ob ein europäisches Unternehmen jedoch tatsächlich über die konkrete Identität eines amerikanischen Unternehmens als Empfänger von Daten informieren muss, lässt sich meines Erachtens hinterfragen. So erfordert Art. 10 EU-Datenschutzrichtlinie, dass über die Empfänger oder Kategorien der Empfänger der Daten zu informieren ist. Auch die Information über Kategorien ist also ausreichend. Eine andere Frage ist freilich, ob das amerikanische Unternehmen selbst dazu verpflichtet ist, die betroffenen Personen zu informieren. Eine solche Pflicht besteht nach den Datenschutzgrundsätzen des Privacy Shield (Anhang II, II. Grundsätze, Ziffer 1.).

Amerikanisches Unternehmen als Auftragsverarbeiter

Von besonderem Interesse für europäische Unternehmen dürften zudem die Leitlinien der europäischen Datenschützer für Situationen sein, in denen das amerikanische Unternehmen als Auftragsverarbeiter („processor“) agiert. In einem solchen Fall sind beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Hinweis, der sich auf Art. 17 EU-Datenschutzrichtlinie stützt, ist wichtig. Denn dies bedeutet, dass etwa ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen, welches unter dem Privacy Shield zertifiziert ist, übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich ist vielmehr der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Diese Voraussetzung gilt im Übrigen auch unabhängig davon, ob das empfangende Unternehmen unter dem Privacy Shield zertifiziert ist.

Die europäischen Datenschützer weisen in ihren Leitlinien zudem darauf hin, dass jeweiliges nationales Datenschutzrecht noch zusätzliche Anforderungen an diesen Vertrag aufstellen kann. Grundsätzlich empfehlen die europäischen Datenschützer zudem, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.

Hessischer Datenschutzbeauftragter zu Pokémon Go: Nutzer ist darüber informiert, was mit seinen Daten geschieht

Im Rahmen der Antwort auf eine kleine Anfrage (Drs. 19/3658, pdf) im Hessischen Landtag zu dem Dienst Pokémon Go und mit dessen Einsatz einhergehenden datenschutzrechtlichen Fragen, hat auch der Hessische Landesdatenschutzbeauftragte eine Stellungnahme abgegeben.

Der Landesdatenschutzbeauftragte vertritt eine andere Auffassung als der Verbraucherzentrale Bundesverband e.V., der den Entwickler der Pokémon Go-App, das Unternehmen Niantic Inc., unter anderem wegen angeblicher Verstöße der Datenschutzbestimmungen des Dienstes gegen deutsches Datenschutzrecht, um Juli 2016 abgemahnt hatte.

Der Hessische Datenschutzbeauftragte geht davon aus, dass die datenschutzrechtlich verantwortliche Stelle für die Datenverarbeitung im Rahmen der Smartphone-App „Pokemon GO“ die Niantic Inc. mit Sitz in den USA ist. Ein Transfer von einer deutschen bzw. europäischen datenschutzrechtlich verantwortlichen Stelle in einen Drittstaat (USA) finde hingegen nicht statt. Vielmehr werden die Daten mit Einwilligung des Nutzers direkt durch ein US-Amerikanisches Unternehmen erhoben und verarbeitet

Da Niantic Inc., soweit ersichtlich, weder in Deutschland noch in der EU eine Niederlassung habe, unterliege das Unternehmen auch nicht der Kontrolle des Hessischen Datenschutzbeauftragten.

Der Landesbeauftragte führt weiter aus, dass die Datenschutzbestimmungen der „Pokemon GO“-App relativ umfangreich sind und in verhältnismäßig transparenter Form die Datenverarbeitung  bei  der  Nutzung der App erläutern.

Der Nutzer ist darüber informiert, was mit seinen Daten geschieht.

Zudem führt der Landesdatenschutzbeauftragte aus, dass Spieler die Wahl haben, ob sie die Kamera einschalten wollen oder nicht. Für das Abspeichern eines Pokemonfotos im Speicher des Smartphones und das Teilen mit anderen bestehe kein höheres Risiko als bei sonst erstellten und übermittelten Fotos.

EU-US-Datenschutzschild: Europäische Datenschützer warten die erste gemeinsame Überprüfung ab

Nachdem die Europäische Kommission am 12. Juli 2016 das EU-US-Datenschutzschild (Privacy Shield) angenommen hat, äußerte sich heute in einer Pressemitteilung (pdf) die Art. 29 Datenschutzgruppe (die Vertreter der Datenschutzbehörden der Mitgliedstaaten) hierzu.

Grundsätzlich begrüßen die Datenschützer die Verbesserungen, welche sich gegenüber der im Jahre 2015 durch den Europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung im Datenschutzschild finden. In ihrer Stellungnahme 01/2016 (pdf) zum Datenschutzschild beleuchteten die Datenschützer dennoch eine Vielzahl von aus ihrer Sicht verbesserungswürdigen Punkten. Einem Teil dieser Kritik hat die Europäische Kommission zusammen mit der US-amerikanischen Regierung nach Auffassung der Art. 29 Datenschutzgruppe nun in dem endgültigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild Rechnung getragen.

Dennoch bemängeln die Datenschutzbeauftragten, dass ihrer Ansicht nach weiterhin gewisse Defizite sowohl im Teil der Regelungen zum privatwirtschaftlichen Datenaustausch als auch hinsichtlich des Zugangs zu personenbezogenen Daten durch US-amerikanische Behörden existieren. Nach Auffassung der Datenschutzbeauftragten stellt daher die erste jährliche Überprüfung der Funktionsweise des Datenschutzschildes (diese ist in dem Beschluss der Europäischen Kommission verbindlich vorgesehen) den Schlüsselmoment für die Frage der zukünftigen Effektivität des Datenschutzschildes dar. Im Rahmen dieser gemeinsamen Überprüfung werden sich daher auch die Datenschutzbehörden genau ansehen, ob die Europäische Kommission alle Kritikpunkte zu ihrer Zufriedenheit adressiert hat. Zudem, so die europäischen Datenschutzbeauftragten, wolle man insbesondere prüfen, ob sich die vorgesehenen Schutzmaßnahmen als tragfähig und effektiv erwiesen haben.

Das Ergebnis dieser ersten Überprüfung kann nach Auffassung der europäischen Datenschutzbeauftragten auch Einfluss auf andere Instrumente für die Datenübermittlung in Drittstaaten haben. Hierzu zählen insbesondere die sogenannten EU-Standardvertragsklauseln.

In ihrer Pressemitteilung gehen die europäischen Datenschutzbeauftragten nicht darauf ein, ob sie die Angemessenheitsentscheidung der europäischen Kommission bereits vor der ersten jährlichen Überprüfung angreifen möchten. Insbesondere die deutschen Aufsichtsbehörden hatten ja ein neues Klagerecht gefordert, um derartige Beschlüsse der Europäischen Kommission gerichtlich überprüfen lassen zu können. Insgesamt scheint die Pressemitteilung dafür zu sprechen, dass sich die europäischen Datenschutzbeauftragten zumindest planmäßig erstmalig inhaltlich mit dem neuen Datenschutzschild im Rahmen der jährlichen Überprüfung befassen werden und kein gemeinsames rechtliches Vorgehen geplant ist.

Das US-Handelsministerium hat in der Zwischenzeit auch eine offizielle Webseite zum EU-US-Datenschutzschild in Betrieb genommen. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.

Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US-Datenschutzschild findet man in deutscher Sprache hier (pdf; über die Webseite der österreichischen Datenschutzbehörde).