Genau die Antwort auf diese Frage liefert Berlins Datenschutzbeauftragte Maja Smoltczyk als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH-„Schrems II“ -C-311/18): "Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“

Sie begrüßt die Entscheidung des EuGHs, welcher "in erfreulicher Deutlichkeit ausgeführt hat, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen". Schuss endlich fordert Berlins Datenschutzbeauftragte eine rasche Konsequenz: "Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.“ Die Unternehmen als verantwortliche Stellen für die Datenverarbeitung sollen die Verlagerung der Erhebung und Speicherung personenbezogener Daten nach Europa verlagern.

Nun stellt man sich spätestens jetzt die Frage, was hat der EUGH mit seinem Urteil -„Schrems II“ entschieden, dass zur Zeit Chaos und Überschuss an Handlungsempfehlungen im Internet kursiert. Zunächst gewährleisten wir uns einen kurzen Einblick in den Sachverhalt, der zur Entscheidung des EUGH vorgelegt wurde. Der Datenschutzaktivist Max Schrems beschwerte sich mit einem Antrag auf Aussetzung der Datenübermittlung vor der irischen Datenschutzbehörde durch die nationale Facebook-Tochter an den Mutterkonzern in den USA. Der Mutterkonzern von Facebook in den USA sei gesetzlich verpflichtet, die erhaltenen personenbezogenen Daten gemäß § 702 des Foreign Intelligence Surveillance Act (FISA) US-Behörden (z.B. NSA und dem FBI) zugänglich zu machen, ohne Einräumung der Möglichkeit eines gerichtlichen Vorgehens des Betroffenen gegen diese Maßnahme. Da Facebook den Datentransfer in die USA auf Grundlage der Standardvertragsklauseln als auch (teilweise) auf den EU-US-Privacy-Shield stützte, hatte der EuGH nun die Möglichkeit zu beiden Instrumenten zu entscheiden.

Nach Ansicht des EuGHs ist EU-US-Privacy-Shield unwirksam, da in den USA kein angemessenes Schutzniveau im Sinne des Art. 45 Abs. 1 DSGVO gewährleistet wird. Hingegen ist die Standardvertragsklausel zwar weiterhin wirksam, aber einen bloßer Vertragsabschluss allein reiche nicht aus, denn die Standardvertragsklauseln„ (…) können keine drittstaatlichen Behörden binden (…)“ und können „keine Garantien bieten, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ Neben dieser Prüfungspflicht des Verantwortlichen verpflichtet der EUGH auch die Datenaufsichtsbehörden eine eigenen Kontrolle bezüglich des Datentransfers in ein Drittland auf der Grundlage der Standardvertragsklausel durchzuführen.

Handlungsempfehlung in Unternehmen.

Zur Reduzierung des Risikos können Sie möglicherweise folgende Schritte in Ihrem Unternehmen durchführen:

Identifizierung des internationalen Datentransfers im Unternehmen: Bitte prüfen Sie, ob in Ihrem Unternehmen ein internationalen Datentransfer (USA oder ein anderes Drittland) selbst oder mit Ihren einzelnen Zweigstellen/Konzerngesellschaften, Ihrem Geschäftspartner, Ihrem Drittdienstanbieter ( IT, Hosting, Newsletter-Anbieter, Videokonferenz-Tools, Zahlungsanbieter, Musik-/Plattform-Anbieter, Cloud-Anbieter usw.) stattfindet. Findet ein Datentransfer in den USA oder anderen Drittländern außerhalb der EU statt, dann kommt Schritt 2 zum Einsatz.
Überprüfung und Dokumentation des Schutzniveaus in Drittland mittels „Zwei-Stufen-Prüfung“: Wie die Prüfung zu erfolgen hat, hat die Datenschutzbehörde Rheinland-Pfalz Hinweise zur Verfügung unter https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/ gestellt. Gemäß Art. 45 Abs. 1 S. 2 DS-GVO bestehen auf der 2. Prüfungsstufe keine weiteren Anforderungen bei Datenübermittlungen in Drittländer (Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz und Uruguay), für die die EU-Kommission einen entsprechenden Angemessenheitsbeschluss gefasst hat.
Abschluss sog. Standardvertragsklausel („SVK“) – Die vorgefertigte Vertragsvorlage der Standardvertragsklausel ist hier https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087 abrufbar. Bitte beachten Sie, dass der bloße Abschluss dieser Standardvertragsklausel nach Ansicht des EUGHs nicht ausreiche, vielmehr müssen Sie als Verantwortlicher zusätzliche Maßnahmen ergreifen, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Sie müssen zusätzliche Maßnahmen, die kein Zwang des USA-Dienstanbieter zur Herausgabe der Daten an die dortigen Behörden garantieren, gewährleisten. Ob und wie die Ergreifung der zusätzlichen Maßnahmen zu erfolgen hat, wird derzeit diskutiert und liegt in der Macht des USA-Dienstanbieters.
Implementierung der internen Datenschutzvorschriften (sog. „Binding Corporate Rules“) als Alternative: Binding Corporate Rules kommen in der Praxis wegen interner Prüfung und externer Zertifizierung im Sinne des Art. 47 DSGVO sehr selten vor. Da diese Alternative nicht unmittelbar der Gegenstand der Entscheidung des EUGHs war, kann sie durchaus als eine Möglichkeit in Betracht kommen. Wichtige Dokumente:
- Arbeitspapier WP 264 (Antragsformular zum Start des EU-weiten Koordinierungsprozesses für die Genehmigung von BCR für Verantwortliche: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848)
- Arbeitspapier WP 256 (tabellarische Darstellung über die notwendigen Inhalte von BCR für Verantwortliche: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110)
Eingreifen der Ausnahmefälle für die Datenübermittlungen nach Art. 49 DSGVO: Prüfen Sie, ob bei Ihrer Datenübermittlung die gesetzlich aufgelisteten Ausnahmefälle im Sinne des Art. 49 DSGVO greifen.
Einwilligung des Betroffenen: Diese Alternative ist in der Praxis bei einigen Kreisgruppen der Betroffenen (z.B Minderjährige mangels Einwilligungsfähigkeit oder Arbeitnehmer mangels Freiwilligkeit) nicht bzw. schwer durchsetzbar.
Einhaltung der Handlungsempfehlungen oder Stellungnahme der Datenschutzbehörden: Die nationalen Datenschutzaufsichtsbehörden sowie der Europäische Datenschutzausschuss („EDSA“) werden bald ihre Stellungnahmen mit den Handlungsschritte, die einzuhalten sind, veröffentlichen. Bitte beachten Sie, dass die Datenschutzbehörde von Hamburg und Rheinland-Pfalz (vgl. unten) diesbezüglich bereits einzelne Stellungnahmen öffentlich zugänglich gemacht haben.
Prüfung und Anpassung der Verträge und Datenschutzerklärung, die auf Privacy -Shield Abkommen gestützt waren
Kein Einsatz der US- Dienstleister oder US-Subunternehmer: Als risikoarme Maßnahme kommt die Verlegung des Datentransfers auf Deutschland oder EU bzw. Einsatz der EU- oder DE-Dienstleister in Betracht.