Drittlandtransfer: Datenübermittlung in Staaten außerhalb EU/EWR

Der EuGH hat jüngst entschieden, dass Transfer bzw. die Verarbeitung von Daten europäischer Bürger (personenbezogene Daten) außerhalb der EU immer kritisch und im Einzelfall zu prüfen ist (sofern nicht ein von der EU-Kommission per Beschluss als datenschutzfreundlich eingestuftes Drittland ausgewählt wurde, s.u.) sowie dass für Cookies, die zu einer Datenverarbeitung durch Dritte führen (z.B. Tracking, Marketing) eine ausdrückliche Cookie-Einwilligung erforderlich ist.

Der EuGH hat mit der Schrems II genannten Entscheidung für den Datentransfer zwischen der EU und den USA den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Privacy-Shield, wonach die Unternehmen, die sich dem Schutzschild unterwerfen, ein angemessenes Datenschutzniveau aufweisen, für ungültig erklärt. Details siehe hier und Seiler, EU-US-Privacy-Shield ungültig und Standardvertragsklauseln nur mit Einzelfallprüfung – zugleich Anm. zu EuGH, Urt. v. 16.07.2020 – C-311/18 | EuGH v. 16.07.2020 – C-311/18 | jurisPR-BKR 8/2020 Anm. 1

Die alternative Übermittlungsgrundlage, die Standardvertragsklauseln gelten zwar formal noch, sind aber einer Einzelfallprüfung je Land und Empfänger zu unterziehen. Für die USA dürfte das Prüfungsergebnis nach den Kriterien des EuGH im Regelfall negativ ausfallen.

Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o.und sogleich) möglich.

LDA BW, Orientierungshilfe zum internationalen Datentransfer

Update 11.09.2020: Nach der EuGH-Entscheidung Schrems II beruft sich Facebook Irland weiterhin auf die EU-Standardvertragklausel SCC zur Übermittlung der Daten der europäischen Facebook-Nutzer an Facebook USA. Die irische Datenschutzaufsicht DPC hat dies Facebook Irland nun untersagt, da die EU-Standardvertragsklauseln aus den gleichen Gründen weshalb der EuGH das Privacy Shield für ungültig erklärt hat (staatliche Massenüberwachung in den USA ohne Rechtsschutzmöglichkeiten für EU Bürger) keine Grundlage für die Datenübermittlung in die USA darstellt. Facebook selbst berichtet das so:

The Irish Data Protection Commission (IDPC) has commenced an inquiry into Facebook controlled EU-US data transfers, and has suggested that SCCs cannot in practice be used for EU-US data transfers.

Aber da die SCC vom EuGH nicht formal für ungültig erklärt wurden und es keine praktikablen Alternativen gibt, beruft sich Facebook einfach weiter auf die SCC:

Although the court also ruled that Standard Contractual Clauses (SCCs) remain valid (providing the data exporter puts in place appropriate safeguards to ensure a high level of protection for data subjects), its rationale in invalidating Privacy Shield has prompted a discussion around businesses’ reliance on SCCs.

Like many other businesses, Facebook relies on SCCs to transfer data to countries outside the EU, including to the United States

Da es keine Übergangsfrist gibt, wie die Datenschutzaufsichsbehörden betonen, Datenschutzaktivisten bereits über 100 Unternehmen bei den Datenschutzaufsichtsbehörden angezeigt haben und die Datenschutzaufsichtsbehörden bereits unabhängig davon von sich aus mit Prüfungen per Fragebogen bei Unternehmen bundesweit begonnen haben, besteht dringender Handlungsbedarf. Erste Fragebögen samt ergänzender Hinweise und Anschreiben / Informationsersuchen wurden veröffentlicht und zeigen wie detailiert die Aufsicht die Datenverarbeitungsprozesse prüft.

Siehe Orientierungshilfe der LDA BW vom 24.08.2020: Was jetzt in Sachen internationaler Datentransfer?

Der Verantwortliche muss hier zusätzliche Garantienbieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre in folgenden Fällen denkbar:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hatund die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

… Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz-und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.

Leicht zu Prüfen ist von außen die Einhaltung des Datenschutzes auf Webseiten, wobei eine Stichprobe eines Verbandes zum Ergebnis kommt, dass 41 % der Webseiten Datenschutzmängel aufweist.

Sollten sich betroffene Personen hiergegen wenden, kann dies per Abmahnung erfolgen und auch – wie der EuGH betont hat, auch Schadensersatzklagen nach sich ziehen. Es gibt eine arbeitsgerichtliche Entscheidung, die einer betroffenen Person 5000,- Euro Schadensersatz wegen einer unzureichenden Datenschutzaufkunft zugesprochen hat: ArbG Düsseldorf v. 5.3.2020 – 9 Ca 6557/18, und wohlgemerkt: dabei ging es nur um eine unzureichende Auskunft. Die rechtswidrige Datenübermittlung in die USA dürfte schwerer wiegen und könnten folglich auch zu höheren (immateriellen) Schadensforderungen (= Schmerzensgeld) führen.

Trotz Kritik an der Entscheidung und ihren Konsequenzen von Wirtschafts- und Industrieverbänden und teils auch von Aufsichtsbehörden es ist aktuell geltendes und umzusetzendes Recht. Update 09.09.2020: Die EU-Kommission will die EuGH-Entscheidung zusammen mit den Datenschutzaufsichtsbehörden durchsetzen – aber zugleich Hilfestellungen geben und eine neue Version der EU-Standard-Vertragsklauseln (SCC) noch in 2020 finalisieren sowie mit den USA über eine Regelungen verhandelt, was aber keine schnelle Lösung bringen werde.

Handlungsempfehlung (vgl. GDD-Handlungsempfehlungen): Bitte listen Sie zur Bestandsaufnahme auf, welche Software Sie generell einsetzen, in welchem Land der Hersteller der Software seinen Sitz hat, was die Hauptaufgabe der Software ist, ob es einen Pflegevertrag (Wartungsvertrag, Service-Vertrag) für die Software gibt, ob es einen Vertrag zur Auftragsverarbeitung gibt, ob Subunternehmer eingeschaltet sind und wenn ja, welche das sind und wo diese ihren Sitz haben und auf welcher vertraglichen Grundlage die Datenverarbeitung erfolgt (Angemessenheitsbeschluß, EU-US-Privacy-Shield, Standard-Vertragsklauseln – SCC, Binding Corporate Rules – BCR). Wer ist Ansprechpartner für die jeweilige Datenverarbeitung.

Basierend darauf kann nach alternativer Software, alternativer Rechtsgrundlage etc. ggf. in Abstimmung mit den Anbietern gesucht werden.

Dabei ist wichtig zu verstehen: alles was mit Daten natürlicher Personen (lebender Menschen) gemacht wird, ist Datenverarbeitung und wenn ein Unternehmen das macht, gilt auch die EU-Datenschutzgrundverordnung. Typische Verarbeitungsfälle sind das Speichern von Daten, die Nutzung von Rechenzentrums- oder Cloud-Service-Leistungen (z.B. Microsoft Office 365) und Fernwartungszugriffe sowie Videokonferenzen.

Bzgl. Videokonferenz siehe Empfehlung für Nextcloud-Talk (statt GoToMeeting, Cisco WebEx, Microsoft Skype bzw. Teams, Zoom) im Rahmen einer Anfrage im Land Berlin. Die LDA Niedersachsen stellte eine FAQ-Liste zum Thema Videokonferenz online (25 S., Stand 08.2020), die u.a. auf das Schrems II-Urteil, technisch-organisatorische Sicherheitsanforderungen, Beschäftigtendatenschutz, Bildungsbereich, Gesundheitsbereich (Videosprechstunde) und wenn es einer Datenschutzfolgenabschätzung (DSFA) vor Einführung eines Videokonferenzsystems bedarf, eingeht:

7. Welche Auswirkungen hat das EuGH-Urteil vom 16.07.2020 

Die Durchführung von Videokonferenzen, bei denen die Datenübermittlung in die USA ausschließlich auf Privacy Shield gestützt wird, ist daher unzulässig und muss sofort eingestellt werden. 

8. Dürfen bei der Veranstaltung von Videokonferenzen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer verwendet werden? 

… Für die Prüfung des Rechtssystems des Drittlandes gilt derselbe Maßstab wie für Angemessenheitsentscheidungen der Kommission nach Art. 45 Abs. 2 DS-GVO. Sofern der Verantwortliche zu dem Ergebnis gelangt, dass kein gleichwertiges Schutzniveau besteht und auch nicht durch zusätzliche Maßnahmen gewährleistet werden kann, darf keine Übermittlung personenbezogener Daten erfolgen. Eine bestehende Datenübermittlung ist auszusetzen oder zu beenden. 

Eine gute Materialzustammenstellung zum EuGH-Urteil Schrems II gibt es von der Gesellschaft für Datenschutz und Datensicherheit.

Update 03.09.2020: In der Orientierungshilfe der LDA BW vom 24.08.2020: Was jetzt in Sachen internationaler Datentransfer? werden Änderungen einiger Klauseln der EU-Standardvertragsklauseln vorgeschlagen.

Das Problematische an den Vorschlägen der LDA BW ist, dass zum einen nicht klar ist, ob das die Ansicht aller deutscher Aufsichtsbehörden, der Datenschutzkonferenz oder gar der europäischen Datenschutzaufsicht (Europäischer Datenschutzausschuss, EDPB) ist und es ist nur die Rechtsauffassung einer Behörde (Exekutive) und kein Rechtsprechung (Judikative) oder gar ein Gesetz (Legislative).

Zum anderen handelt es sich um Standard-Vertragsklausel (SCC = Standard Contractual Clauses)  die, wie der Name schon sagt, Standard sind, also nicht verändert werden dürfen, weil sie sonst den Status genehmigter Klauselwerke verlieren, sofern man sie sich nicht individuelle von der Datenschutzaufsicht genehmigen lässt. Änderungen an den Klauseln können also dazu führen, dass Sie sich nicht auf Art. 46 Abs. 2 c) DSGVO als Rechtfertigung für die Datenübermittlung in die USA werden berufen können und dadurch die Datenübermittlung nicht zulässig wird, sondern unzulässig bleibt. Was man machen darf ist die Standardvertragsklauseln um zusätzliche, den Schutz erhöhende Klauseln zu ergänzen, aber eben nicht bestehende abzuändern. Schließlich kommt noch die praktische Herausforderung dazu: der US-Vertragspartner müsste „mitspielen“ und sich auf die Änderung des offiziellen EU-Vertragswerkes mit Klauselvorschlägen einer einzigen Landesdatenschutzaufsicht in einem EU-Mitgliedsstaat einlassen.

Update 07.09.2020: Die LDA Baden-Württemberg hat ihre Orientierungshilfe zum internationalen Datentransfer in einer zweiten Auflage veröffentlicht, in der sie keine Änderungen der bestehenden Klauseln des Standardsvertrags vorschlägt, sondern nur noch von Ergänzungen spricht. Zudem beziehen sich die Ergänzungsvorschläge nun auf andere Klauseln: neu aufgenommen wurden Vorschläge zu den Klauseln 5 (h) und 6. Zudem soll eine Verpflichtung des Datenimporteurs aufzunehmen werden, den Betroffenen verschuldensunabhängig von allen Schäden freizustellen, die durch den Zugriff von Stellen seines Staates auf die Daten der Betroffenen entstehen. Man darf gespannt sein, ob und welcher Datenimporteur sich darauf einlässt.

Datenschutz auf Webseiten und Cookie-Einwilligung

Ein von außen leicht zu prüfender Anwendungsfall für Drittstaatenübermittlung ist die Verarbeitung von Daten auf Webseiten. Dort gibt es noch eine weitere zu beachtende jüngere Rechtsprechung (EuGH, BGH Cookie-Einwilligung II, zu Cookie-Banner, Planet 49), die zur Cookie-Einwilligung, zum Tracking.

… der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten  Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.

BGH, Urteil vom 28. Mai 2020 -I ZR 7/16

Betroffen sind die Einbindung von Drittinhalten wie Karten (Google Maps) oder Videos (Youtube), Links auf Social-Media-Plattformen (Facebook, Twitter), oder Marketing-Tracking (Google-Analytics, Adobe-Analytics).

Die praktisch Umsetzung der Anforderung für eine Cookie-Einwilligung, die auch Art. 7 DSGVO entspricht, kann bei Cookies durch Cookie-Banner mittels Consent Management Tools erfolgen und bei Drittinhalten und Social-Media-Plug-Ins durch eine zwischengeschaltete Einwilligungsebene.

Handlungsempfehlung: Bitte auch diese Software, Tools, Plugins und Datenverarbeitungsvorgänge in der oben genannten Liste zur Bestandsersfassung mit aufnehmen und Rechtsgrundlage der Verarbeitung, Absicherung der Datenübermittlung und Alternativen prüfen. Prüfen durch Webseiten-Test-Tools, ob Cookies eingesetzt werden, die eine Cookie-Einwilligung erfordern.

Auch die Datenschutzinformation nach Art. 13 DSGVO zur Verarbeitung der Daten der Webseitenbesucher sollte mit den tatsächlich eingesetzen Tools und Verarbeitungsvorgängen auf der Webseite abgeglichen werden.

Vertrag zur Auftragsverarbeitung mit Webhoster , Webmaster

Zudem sollte geprüft werden, ob ein den Anforderungen von Art. 28 DSGVO und Art. 32 DSGVO entsprechender Vertrag zur Auftragsverarbeitung mit dem Webhoster, Webmaster und sonstigen an der Datenverarbeitung auf der Webseite mitwirkenden Dritten zu schließen ist und geschlossen wurde.

Infos und Muster stellt u.a. die GDD-Praxishilfe IV zur Verfügung.

Verarbeitungsverzeichnis für Webseitenbetrieb / Webshop

Schließlich sollte der Verantwortliche, der Betreiber der Webseite bzw. des Webshops das intern zu führende Verarbeitungsverzeichnis, Art. 30 DSGVO, für den Betrieb der Webseite und ggf. des Webshops erstellen bzw. überprüfen und aktualisieren. siehe z.B. kurzes Muster der LDA Bayern.

Und wer gut vorbereitet sein will auf etwaige Prüfungen, kann die Fragebögen (s.o.) der Datenschutzaufsicht schon mal vorbereitend ausfüllen. Dadurch werden etwaige Schwachstellen aufgedeckt, so dass diese abgestellt werden können, bevor es jemand anderem auffällt.

Rechtsanwalt David Seiler, 26.08.2020

berät bundesweit zu Datenschutzfragen und ist Lehrbeauftragter für IT-Security-Law und Gründungsgesellschafter der dpc Data Protection Consulting GmbH