Ihre Kontakte
Wegen des Schrems II Urteils ist im Anwendungsbereich der EU-DSGVO umstritten, welche Massnahmen ergriffen werden können / müssen, um Personendaten weiterhin legal in Staaten ohne angemessenes Datenschutzniveau, insbesondere in die USA, zu übermitteln. Die EU-Kommission hat jüngst einen Entwurf für revidierte Standardvertragsklauseln publiziert, die bei solchen Transfers als Garantie vereinbart werden können. Der EDSA und der EDPS haben sich nun in einer Joint Opinion zu diesem Entwurf geäussert. Die Joint Opinion zeigt, dass die Aufsichtsbehörden strenge Sorgfaltspflichten an den Einsatz von Standardvertragsklauseln knüpfen wollen und nicht bereit sind, rechtswidrige Datentransfers hinzunehmen. Unternehmen sollten ihre Datentransfers überprüfen und die notwendigen Anpassungen einleiten.
Schrems II Urteil des EuGH
Mit dem Schrems II Urteil (C-311/18) des EuGH wurde das EU-US Privacy Shield aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von Art. 45 Datenschutz-Grundverordnung (DSGVO) geforderten gleichwertigen Schutzniveau führen würden. Sofern Unternehmen im Anwendungsbereich der DSGVO Personendaten in die USA bisher nur gestützt auf das EU-US Privacy Shield übermittelten, müssen sie nun andere geeignete Garantien nach Art. 46 ff. DSGVO implementieren. In der Praxis werden vielfach die von der EU-Kommission erlassenen Standard Contractual Clauses (SCC) als Alternative in Frage kommen, sofern diese nicht bereits zusätzlich vereinbart wurden.
Das Schrems II Urteil stellte aber klar, dass der Einsatz von SCC für Datentransfers in die USA und andere Länder ohne angemessenes Datenschutzniveau einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung um zusätzliche Garantien bedürfen. Der EuGH hat sich aber nicht detailliert dazu geäussert, wann genau zusätzliche Garantien zu vereinbaren sind und welchen Inhalt diese Garantien haben sollen (siehe dazu MLL-News vom 5. Oktober 2020).
Revidierte Standardvertragsklauseln: Stellungnahme des EDSA und des EDPS
Die EU-Kommission veröffentlichte als Reaktion auf das Schrems II Urteil im November 2020 einen neuen Beschluss zu den Standardvertragsklauseln für Datentransfers in Drittstaaten ohne angemessenes Datenschutzniveau. Mit dem Beschluss sollen die aktuellen SCC angepasst werden, um mit den Vorgaben der DSGVO und den Ausführungen des EuGH übereinzustimmen. Für Unternehmen stellt sich vor allem die Frage, ob beim Einsatz der revidierten SCC für Datentransfers in Drittstaaten ohne angemessenes Datenschutzniveau auf weitere Vorkehrungen oder Garantien verzichtet werden kann (siehe dazu MLL-News vom 23. Dezember 2020). Im Rahmen der gesetzlich vorgesehenen Konsultation haben nun der Europäische Datenschutzausschuss (EDSA) und der European Data Protection Supervisor (EDPS) im Januar 2021 eine Joint Opinion zu den revidierten Standardvertragsklauseln veröffentlicht. In der Joint Opinion werden auch Themen, welche in den MLL News vom 23. Dezember 2020 betreffend den Entwurf zu den revidierten SCC als kritisch erachtet wurden, explizit aufgenommen.
Die Kommentare sind teils sehr technisch und betreffen viele Detailfragen. Hervorzuheben sind aber folgende Positionsbezüge der beiden Behörden in der Joint Opinion:
- Es wird klargestellt, dass es Situationen gibt, in denen auch die revidierten SCC nicht ohne zusätzliche Massnahmen eingesetzt werden können (Rz. 21). EDSA und EDPS laden die EU-Kommission ein, in ihrem Beschluss explizit auf die diesbezügliche EDSA-Empfehlung zu verweisen (siehe EDPB, Draft Recommendations 01/2020). Mit dem darin vorgesehenen sechststufigen Prüfprogramm können Verantwortliche beurteilen, ob nebst den SCC zusätzliche Massnahmen vereinbart werden müssen bzw. ob der Transfer trotz möglicher zusätzlicher Massnahmen zu unterlassen ist (siehe dazu auch MLL-News vom 23. Dezember 2020). Dies bedeutet, dass sich aus Sicht von EDSA / EDPS die Unternehmen bei Datentransfers in Länder ohne angemessene Datenschutzregelung nicht per se ohne weitere Prüfungen auf die revidierten SCC verlassen dürfen. Mit dem Verweis auf das vom EDSA vorgeschlagene Prüfprogramm betonen EDSA / EDPS, dass anhand einer Einzelfallprüfung angeschaut werden muss, ob die revidierten SCC ausreichen oder ob zusätzliche Massnahmen notwendig sind und, falls ja, ob diese zusätzlichen Massnahmen ein angemessenes Datenschutzniveau sicherstellen können.
- In der Joint Opinion wird daran erinnert, dass besondere Sorgfaltspflichten zu Lasten des Datenempfängers nicht nur dann bestehen, wenn die Rechtsordnung im Empfängerstaat weitgehende Zugriffsmöglichkeiten erlaubt. Auch und gerade, wenn unverhältnismässige behördliche Zugriffsmöglichkeiten nicht gesetzlich vorgesehen, aber dennoch praxisüblich sind, löst dies eine erhöhte Prüfpflicht aus.
- Die beiden Aufsichtsbehörden kritisieren zudem Formulierungen, in denen die revidierte SCC auf die bisher gemachten Erfahrungen des Datenimporteurs Bezug nehmen («absence of requests for disclosure from public authorities received by the data importer» bzw. «relevant practical experience»). EDSA / EDPS sind hier sehr deutlich und dezidiert und legen einer zu starken Orientierung an (subjektiven) Risikoüberlegungen einen Riegel (Rz. 86 ff.). Die Beurteilung der Eignung der revidierten SCC sowie der Notwendigkeit zusätzlicher Garantien soll sich auf die in den EDSA-Empfehlungen genannten objektiven Faktoren stützen. Auf zusätzliche Massnahmen zu verzichten, weil bisher keine behördlichen Zugriffe registriert wurden, sei keine Option: «The EDPB and the EDPS stress that the assessment of whether there is anything in the law or practice of the third country of destination, which prevents the data importer from fulfilling its obligations under the Draft SCCs in the context of the specific transfer, should be based on objective factors, regardless of the likelihood of access to the personal data.» (von den Autoren hervorgehoben). «In this respect, the EDPB and the EDPS also recall that in the Schrems II ruling, the CJEU did not refer to any subjective factor such as the likelihood of access, for instance.» «The current drafting of Clause 2(b)(i) can therefore be misunderstood as it might be read as permitting data to be exported if the data importer has not yet received any order to disclose personal data, even if it is subject to local laws permitting such orders.» EDSA / EDPS verlangen daher von der Kommission, dass die betreffenden Bestimmungen in den revidierten SCC substantiell angepasst und in Einklang mit den Empfehlungen des EDSA gebracht werden müssen.
- EDSA und EDPS sehen das Risiko, dass Datenexporteur und Datenimporteur sich einfach gegenseitig bestätigen, die in den revidierten SCC vorgesehenen Prüfpflichten eingehalten zu haben, ohne vertiefte Abklärungen vorzunehmen. Es wird aus diesem Grund vorgeschlagen, die revidierten SCC mit einem Annex zu ergänzen, in dem das Ergebnis der Prüfung vor der Vertragsunterzeichnung dokumentiert werden muss (Rz. 89).
- EDSA und EDPS äussern sich auch zur sog. Anfechtungspflicht des Dataimporteurs, welche gemäss Entwurf der EU-Kommission eine wichtige Pflicht zum Schutz der betroffenen Personen darstellen soll. In MLL-News vom 23. Dezember 2020 haben wir uns kritisch dazu geäussert, ob diese Anfechtungspflicht mit Blick auf das Schrems II Urteil und die dort aufgeführten Grundrechtsüberlegungen ausreichend ist, um die Rechte der betroffenen Personen sicherzustellen. EDSA / EDPS gehen von einer eingeschränkten Wirkung dieser Pflicht aus (Rz. 98): «The EDPB and the EDPS understand that the scope of Clause 3.2 is limited to situations where access requests received by the data importer will not be compliant with the legislation of the third country, including its obligations resulting from international law and its rules governing conflicts of laws situations. The EDPB and the EDPS consequently recommend clarifying this clause in order to ensure that data exporters do not misunderstand it.(…).Therefore, this clause will not, per se, result in challenging the legality of requests of disclosure against EU data protection requirements, unless the legislation of the third country expressly provides for the possibility to invoke the legislation of another country.» Damit betonen EDSA / EDPS nochmals, dass die revidierten SCC nicht per se genügend sind, um in jeder Konstellation ein ausreichendes Datenschutzniveau im Sinne der DSGVO sicherzustellen.
- Schliesslich findet sich auch eine interessante Bemerkung zur Rolle der Einwilligung: Bei Controller zu Controller Datentransfers erlauben die revidierten SCC eine Weiterübermittlung an einen Empfänger in einem Drittstaat, wenn die Einwilligung der betroffenen Personen eingeholt wurde. In der Joint Opinion wird dies sehr kritisch gewürdigt. Die Einwilligung nach Art. 49 DSGVO sei ein Ausnahmetatbestand, der nur in besonderen Situationen zur Anwendung kommen könne.
Einschätzung
Mit ihrer Joint Opinion verfolgen EDSA und EDPS eine klare Stossrichtung. Die revidierten SCC sollen durch Unternehmen nicht einfach ohne nähere Prüfung eingesetzt werden. Die Unternehmen müssen im Einzelfall und mit Blick auf die Rechtsordnung und Praxis im Empfängerstaat prüfen und dokumentieren, ob sich die SCC für den fraglichen Datentransfer wirklich eignen oder ob zusätzliche Massnahmen notwendig sind und, falls ja, ob diese zusätzlichen Massnahmen ein angemessenes Datenschutzniveau sicherstellen können. Hierbei sollen die vom EDSA vorgegebenen Prüfschritte berücksichtigt werden. Entscheidend ist vor allem auch, dass diese Prüfung anhand objektiver Faktoren zu erfolgen hat. Die entsprechende Prüfung muss von den involvierten Unternehmen dokumentiert werden. Unternehmen, die diesen Aufwand nicht auf sich nehmen, verletzen in den Augen der Aufsichtsbehörden ihre Sorgfaltspflichten. Damit spuren EDSA und EDPS schon jetzt vor, dass sie keine allzu pragmatischen Lösungen akzeptieren werden, bei denen z.B. aufgrund einer tiefen Wahrscheinlichkeit von Behördenzugriffen auf weitere Massnahmen verzichtet wird. EDSA / EDPS haben explizit festgehalten, dass die Zugriffswahrscheinlichkeit ihrer Meinung nach kein relevanter Faktor sein kann.
Man kann den von den Aufsichtsbehörden geforderten Prüfaufwand durchaus kritisch sehen. Aber letztlich bemühen sie sich um eine konsequente Umsetzung des Schrems II Urteils, welches aus grundrechtsdogmatischen Überlegungen Datentransfers in Drittstaaten untersagte, wenn dabei kein der Sache nach gleichwertiges Datenschutzniveau hergestellt wird. Wie streng die Praxis in den einzelnen Mitgliedsstaaten sein wird, dürfte sich zeigen, sobald die durch eine NGO eingereichten 101 Beschwerden zur Datenübermittlung in die USA behandelt werden (siehe dazu MLL-News vom 5. Oktober 2020). Unternehmen sind aber gut beraten, spätestens jetzt ihre Drittstaatentransfers sowie die dabei anwendbaren Garantien zu identifizieren. Es empfiehlt sich, zu prüfen, ob diese Datenbearbeitungen nicht in einem EU-Staat oder einem Land mit angemessenem Datenschutzniveau erfolgen können. Bei einem fortgesetzten Transfer in Drittstaaten, die nicht über ein angemessenes Datenschutzniveau verfügen, gestützt auf die aktuellen und auch revidierten SCC muss sichergestellt werden, dass die vom EDSA geforderten Sorgfaltspflichten eingehalten wurden und werden.
Weitere Informationen:
- Entwurf eines Durchführungsbeschlusses der Kommission (EU): Datenschutz – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Nicht-EU-Länder
- Urteil des EuGHs vom 16. Juli 2020 (C‑311/18)
- Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung
- MLL-News vom 5. Oktober 2020: «EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II»
- MLL-News vom 23. Dezember 2020: «Datentransfer in Drittstaaten nach Schrems II: Entwurf der Empfehlungen des EDSA sowie der revidierten Standardvertragsklauseln»
- EDPB/EDSA, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, version for public consultations, adopted on 10 November 2020
- EDPB – EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries