10 min Zuletzt auktualisiert: 24.04.2023

Schrems II – Digitale Globalisierung und ihre Folgen für den Datenschutz

Daten werden heute ganz selbstverständlich in Sekundenschnelle rund um den Globus geschickt. Parallel dazu wird den meisten Verbrauchern der Schutz ihrer persönlichen Daten immer wichtiger. Der Gesetzgeber trägt diesem Sicherheitsbedürfnis mit zunehmend verschärften Regeln Rechnung und beschränkt sich hierbei bewusst nicht mehr auf nationalen Datenverkehr. Mit der DSGVO wurde der innereuropäische Datenverkehr in Fragen der Sicherheit personenbezogener Daten auf ein neues Niveau gehoben. Das stellt Unternehmen und Institutionen vor größere Herausforderungen, um wirtschaftliche Interessen mit berechtigtem Datenschutz in Einklang zu bringen. Der Datenverkehr macht jedoch schon lange nicht an europäischen Außengrenzen Halt

Rund 30 Prozent des Welthandels findet zwischen den US und Europa statt

Mit dem Warenhandel im Gesamtwert von mehr als 550 Mrd. Euro pro Jahr sind gigantische Datenmengen verbunden. Hinzukommen Internetdienstleistungen, wie zum Beispiel Clouddienste, die heute von US-amerikanischen Unternehmen dominiert werden. Insofern ist es nur logisch, dass Verantwortliche bereits bei der Gestaltung der DSGVO auch den Datenverkehr in Drittländer vor Augen hatten. Das sind Länder außerhalb der zum Geltungsbereich der Verordnung zählenden EU-Staaten.

Mit Artikel 44 ff. beschränkt die DSGVO den legitimen Datenverkehr in Drittländer auf solche, die „ein angemessenes Schutzniveau bieten“ (Art. 45, Abs. 1, DSGVO), also letztlich Voraussetzungen bieten, wie sie für die Mitgliedsstaaten verpflichtend sind. Die Zahl der Drittländer, die nach dieser Maxime gewissermaßen einen Freifahrtschein erhalten und entsprechend ungehindert mit EU-Staaten Daten austauschen dürfen, ist überschaubar.

Der sogenannte Angemessenheitsbeschluss liegt derzeit (Stand Juni 2021) für folgende Länder vor

  • europäische Drittstaaten: Andorra, Färöer-Inseln, Guernsey, Isle of Man, Jersey, Schweiz, UK (Entscheidung ausstehend)
  • Nordamerika: Kanada (gilt nur für private Unternehmen)
  • Süd-Amerika: Argentinien, Uruguay
  • Asien: Israel, Japan, Südkorea (bevorstehend)
  • Ozeanien: Neuseeland

Die USA erfüllen die erforderlichen Bedingungen nicht. Jedoch besteht die Möglichkeit, über gesonderte Vertragswerke das geforderte Datenschutzniveau herzustellen und nachzuweisen.

Schrems I & Schrems II – unsicherer Hafen und mangelhafter Schutzschild

Nur ein Jahr nach Abschluss seines Studiums der Rechtswissenschaften an der Universität Wien machte der damals 25-jährige Maximilian Schrems durch eine Beschwerde über den Umgang mit personenbezogenen Daten durch das US-amerikanische Unternehmen Facebook auf sich aufmerksam. Die Kritik des Datenschutzaktivisten und späteren Gründers und Vorstandsvorsitzenden des NOYB – europäisches Zentrum für digitale Rechte, einer NGO mit dem Ziel der Durchsetzung des Datenschutzes innerhalb der Europäischen Union, führte schließlich zu einem Vorabentscheidungsersuchen des irischen High Court und dem ersten „Schrems“-Urteil des Europäischen Gerichtshofs. Mit ihm wurde am 6. Oktober 2015 das Safe-Harbor-Abkommen für unwirksam erklärt.

Nach Absprache mit dem US-Handelsministerium erließ die Europäische Kommission bereits Ende Juli 2000 dieses Abkommen, dem bis 2015 rund 5.500 amerikanische Unternehmen beigetreten waren, um so die Einhaltung der Datenschutzbestimmungen der Datenschutzrichtlinie 95/46/EG, dem Vorläufer der DSGVO, zu dokumentieren. Sein Fortbestand hätte in der Praxis den Datenverkehr zwischen der EU und den USA auf dem Niveau eines Angemessenheitsbeschlusses legitimiert.

Nachdem Safe-Harbor damit gescheitert war, führten informelle Absprachen zwischen der EU und den Vereinigten Staaten im Juli 2016 zu einem neuen Abkommen. Der EU-US Privacy Shield sollte seinerseits die Grundlagen schaffen, um weiterhin Daten zwischen der EU und den USA datenschutzkonform austauschen zu können. Das Paket aus Regelungen stand von Anfang an in der Kritik. Zu den prominentesten Kritikern zählte hierbei wiederum Maximilian Schrems, der schon vor Inkrafttreten betonte, der EU-US Privacy Shield stelle im Kern keine wesentliche Verbesserung gegenüber dem Safe-Harbor-Abkommen dar.

Auch das Europäische Parlament stellte schlussendlich erhebliche Defizite des Abkommens fest, die letztlich am 16. Juli 2020 zum „Schrems II Urteil“ führten, in dem der EuGH den Beschluss, wie zuvor Safe-Harbor, für ungültig erklärte.

Standardvertragsklauseln statt Zertifikate

Safe Harbor und EU-US Privacy Shield boten US-amerikanischen Unternehmen die Möglichkeit, sich nach die Einhaltung der vereinbarten Regeln zertifizieren zu lassen, um damit für einen ungehinderten Datenaustausch mit den DSGVO-Mitgliedsstaaten zugelassen zu werden. Mit Schrems I und II entfiel diese Möglichkeit. Parallel sieht die DSGVO jedoch auch Standardvertragsklauseln vor. Diese Musterformulierungen können in individuelle Vereinbarungen übernommen werden und liefern Unternehmen aus Drittländern ohne Angemessenheitsbeschluss die Möglichkeit, erforderliche Garantien zur Verfügung zu stellen und ihren Kunden durchsetzbare Rechte sowie wirksame Rechtsbehelfe einzuräumen, die einen Austausch personenbezogener Daten verordnungskonform ermöglichen.

Aus SCC werden SDPC

Standardvertragsklauseln wurden von der Europäischen Kommission erstmals im Jahr 2001 beschlossen und zuletzt im Jahr 2010 überarbeitet. Ihre Grundaufgabe bestand darin:

diejenigen technischen und organisatorischen Maßnahmen im Vertrag vor[zu]sehen, die unter Berücksichtigung des anwendbaren Datenschutzrechts, des Stands der Technik und der bei ihrer Durchführung entstehenden Kosten erforderlich sind, um personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung oder den zufälligen Verlust, die Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen“

Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

Da sich seit der letzten Überarbeitung der Standardvertragsklauseln mit dem Zuwachs an digitalem Datenverkehr und grundlegenden Veränderungen, wie nicht zuletzt den Schrems-Urteilen und der DSGVO, neue Anforderungen abzeichnen und die „alten“ SCC zudem als geschlossenes Vertragswerk nicht alle Spielarten des Datenverkehrs abbilden, kündigte die EU-Kommission bereits in 2020 eine Reform in Gestalt neuer Standardvertragsklauseln an.

Am 4.6.2021 wurden die nun offiziell in Standarddatenschutzklauseln umbenannten Standard Data Protection Clauses (SDPC) von der EU-Kommission veröffentlicht. Ihre offensichtlichste Neuerung besteht darin, dass sie modular aufgebaut sind. Jedes der vier Module deckt nun eine Variante des Transfers personenbezogener Daten ab:

Datenübermittlung:

  • zwischen zwei Verantwortlichen (Modul 1 – C2C)
  • von Verantwortlichen an Auftragsverarbeiter (Modul 2 – C2P)
  • zwischen zwei Auftragsverarbeitern (Modul 3 – P2P)
  • vom Auftragsverarbeiter zum Verantwortlichen (Modul 4 – P2C)

Die eigentliche Veränderung besteht jedoch bei genauer Betrachtung darin, dass die vertragliche Regelung nicht mehr allein durch ihr Vorhandensein Gültigkeit erhält. In Gestalt der neuen Datentransfer-Folgenabschätzung besteht nun die Verpflichtung, sich davon zu überzeugen, dass ein Vertragspartner aus einem Drittland tatsächlich in der Lage ist, den vereinbarten Pflichten nachzukommen. Dazu zählt unter anderem die Versicherung, dass nationale Gesetze des Bestimmungsdrittlandes den der Einhaltung der SDPC nicht entgegenstehen.

Ein weiterer zentraler Aspekt der neuen Standarddatenschutzklauseln ist die Abwehr von Regierungsanfragen. Insbesondere beim Datenverkehr mit den USA wurde in den letzten Jahren die Kritik zunehmend lauter, US-Behörden hätten mehr oder weniger ungehinderten Zugriff auf personenbezogene Daten. Im Zuge der Terrorabwehr steigt die Zahl der Datenabfragen durch Strafverfolgungsbehörden der USA kontinuierlich. Auch Daten aus dem Ausland sind hiervon betroffen. Mit den neuen SDPC entsteht eine Verpflichtung zur Abwehr solcher Datenabfragen sowie eine Dokumentationspflicht aller Anfragen, zur Vorlage bei den Aufsichtsbehörden.

Regelmäßiger Datentransfer in Drittländer mit Binding Corporate Rules (BCR)

Für global agierende Unternehmen ergibt sich bei der Nutzung der Standarddatenschutzklausel ein grundlegendes Problem: die Vereinbarung muss grundsätzlich für jeden internen Datentransfer separat getroffen werden. Multinationalen Konzernen entsteht so erheblicher Aufwand. Eine Alternative oder auch eine Ergänzung zu SDPC bieten deshalb Binding Corporate Rules. Mit verbindlichen internen Datenschutzvorschriften bietet die Europäische Kommission einen Rahmen, in dem Unternehmen verbindliche Richtlinien etablieren können, um internen Datenverkehr in und aus Drittländern nach europäischem Recht zu gestalten.

Die Idee der individuellen Unternehmensleitlinien entstand 1995 parallel zur Einführung der europäischen Richtlinie 95/46/EG. Ihre Beliebtheit verdanken sie nicht zuletzt dem individuellen Gestaltungsspielraum. Zudem erfüllen BCR neben ihrer legalen Bedeutung heute vor allen Dingen symbolische Aufgaben. Mit ihnen können Unternehmen demonstrieren, dass sie sich im Bereich Datenschutz über das erforderliche Maß hinaus engagieren. Gleichzeitig ist mit ihrer Einführung ein erheblicher organisatorischer Aufwand und dadurch Kosten verbunden.

Fazit

Trotz aller Bemühungen, zum Beispiel in Gestalt der neuen SDPC, ist und bleibt der Datentransfer in Drittländer für Unternehmen mit großem Aufwand verbunden. Nur eine Kombination aus vertraglichen, organisatorischen und technischen Maßnahmen kann gewährleisten, dass personenbezogene Daten rechtskonform ausgetauscht werden können. SDCP und/oder BCR sind hier nur einzelne Elemente, die zum Beispiel durch die Pseudonymisierung oder Anonymisierung von Daten ergänzt werden sollten. Alternativ besteht natürlich immer die Möglichkeit, zum Beispiel auf US-Dienstleister zu verzichten. Ob dies in der Praxis sinnvoll und überhaupt möglich ist, kann jedoch nur im Einzelfall beurteilt werden und ist nicht zuletzt erneut eine Kostenfrage. Auf jeden Fall entsteht Unternehmen ein erheblicher Prüfungs-, Umsetzungs- und Dokumentationsaufwand. Es steht jedoch fest, dass spätestens mit Einführung der neuen SDPC betroffene Unternehmen dringenden Handlungsbedarf erkennen, sich eingehend mit den eigenen Voraussetzungen auseinandersetzen und individuelle Lösungsansätze erarbeiten sollten.

Schrems II Urteil. Datenschutz und Datentransfer in Drittländer

Inhaltsangabe

Unsere Auszeichnungen

DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497