Schrems II und Konzerndatenflüsse: Wie geht man mit der Übermittlung personenbezogener Daten in die USA um?

06.08.2020

Durch das für ungültig erklärte EU-US-Privacy Shield sind nun bei vielen Unternehmen einige Fragen offen, besonders im Hinblick auf die Übermittlung personenbezogener Daten in die USA.

Das Urteil des EuGH zu „Schrems II“

Nachdem der EuGH das EU-US-Privacy Shield mit Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt hat, stellen sich nun eine Vielzahl von Einzelfragen, die die Übermittlung personenbezogener Daten in die USA betreffen. Dieser Beitrag erläutert rechtliche Aspekte hinsichtlich des Austausches personenbezogener Daten innerhalb von Konzernen und ergänzt unsere erste Einordnung des Urteils für die Verwendung von Standarddatenschutzklauseln, seine Bedeutung für die Praxis sowie weitere diesbezügliche Folgerungen der DSK.

Grundsätzliches zum Austausch personenbezogener Daten

International agierende Konzerne mit Niederlassungen in den USA sind auf einen (wechselseitigen) Austausch personenbezogener Daten angewiesen. Entsprechende Vorgänge sind nach Erwägungsgrund 48 als konzerninterne Verarbeitung grundsätzlich auf der ersten Stufe der Rechtfertigung möglich, soweit sie zu sogenannten „internen Verwaltungszwecken“ erfolgen.

Auf der zweiten Stufe der Rechtfertigung kommen nun die durch das Urteil bedingten Einschränkungen hinzu. Der EuGH hat nicht nur den Angemessenheitsbeschluss für Übermittlungsvorgänge in die USA für nichtig erklärt, sondern auch eine besondere Prüfpflicht beim Einsatz von Standarddatenschutzklauseln gefordert. Den Datenexporteur trifft hierdurch insbesondere die Pflicht zu beurteilen, ob die übersendeten Daten noch hinreichend vor einem Zugriff amerikanischer Sicherheitsdienste geschützt sind. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) möchte diese Prüfpflicht auch auf weitere Garantien des Art. 46 f. DSGVO wie etwa die verbindlichen internen Datenschutzvorschriften (BCR) angewendet wissen.

Gibt es potentielle Ausnahmeregelungen (für Konzerne)?

Die Ausweitung der Wertungen des Urteils auch auf andere Garantien des Art. 46 f. DSGVO bedeutet insbesondere für internationale Konzerne einen nicht unerheblichen Mehraufwand bei der Umsetzung der Vorgaben des Urteils. Gleichwohl bedeutet es nicht, dass nun jeder Datenverkehr in die USA sofort eingestellt werden muss. Vielmehr sind in Art. 49 DS-GVO einige Ausnahmen vom Grundsatz des Art. 45 DSGVO enthalten, der entsprechende Garantien bei jeder Übermittlung personenbezogener Daten in ein Drittland fordert. Für Konzerne hat in diesem Zusammenhang insbesondere Art. 49 Abs. 1 lit. b DSGVO große Bedeutung, wonach keine besonderen Garantien für solche Übermittlungsvorgänge vorgehalten werden müssen, die für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind.

Der Arbeitsvertrag zwischen einem Angestellten und einer Konzerngesellschaft kann ein Vertragsverhältnis in diesem Sinne darstellen. Es reicht jedoch nicht jeder beliebige Arbeitsvertrag aus, sondern die Datenübermittlung in ein Drittland muss bereits in den vertraglichen Pflichten angelegt sein. Ein solcher Auslandsbezug besteht etwa dann, wenn der Arbeitsvertrag eine gewisse Konzerndimension besitzt und den Einsatz des Arbeitnehmers innerhalb der Konzerngruppe oder die Betreuung internationaler Kunden vorsieht. Insbesondere die Notwendigkeit der Betreuung von Kunden in Drittländern rechtfertigt ein gewisses Maß der Übermittlung personenbezogener Daten wie etwa Kontaktdaten der Beschäftigten oder im Falle einer Vor Ort-Betreuung auch Reisedaten (so EDSA-Leitlinien 2/2018, 11).

Problem: Zentralisierte Lohnbuchhaltung und Personalverwaltung

Inwieweit eine zentralisierte Lohnbuchhaltung oder Personalverwaltung außerhalb der EU Übermittlungsvorgänge auf der zweiten Stufe rechtfertigen kann, wird aufsichtsbehördlich und in der Fachliteratur kritisch gesehen. Gemeinsames Wesensmerkmal der Ausnahmetatbestände des Art. 49 DSGVO ist, dass sie keine systematischen, das heißt auf Dauer angelegte Übermittlungsvorgänge rechtfertigen können. Gefordert wird ein „gelegentlicher“ Charakter der Datenübermittlungen, der bei einer zentralisierten Lohnbuchhaltung und Personalverwaltung nicht mehr gegeben sei. Die geeigneteren Instrumente in diesem Zusammenhang sind Standarddatenschutzklauseln und BCR, da in ihnen der Umfang der Verarbeitung konkretisiert werden kann. Diese Instrumente sollten nun unter Beachtung der Vorgaben des Urteils des EuGH auf ihre Eignung hin überprüft werden, ob sie weiterhin als Grundlage für den Datentransfer dienen können.

Unsere Einschätzung

Das Urteil des EuGH stellt nicht nur, aber insbesondere, internationale Großkonzerne vor Herausforderungen. Bei der Umsetzung der gerichtlichen Vorgaben sollte auch geprüft werden, inwieweit die Ausnahmetatbestände des Art. 49 DSGVO herangezogen werden können. Um wertvolle Zeit zu gewinnen, sollten zunächst kurzfristig so viele Übermittlungsvorgänge wie möglich auf diese Ausnahmetatbestände gestützt werden. Dieses erfordert eine intensive Prüfung und hinreichende Dokumentation, die auch den Ausnahmecharakter der Vorschriften in Bezug nehmen. Mittel- bis langfristig sollte der internationale konzerninterne Datenverkehr jedoch auf ein stabileres Fundament gestützt werden, welches in dem Abschluss (modifizierter) Standardvertragsklauseln oder BCR zu sehen ist.

Unternehmen, die Fragen hierzu haben oder Unterstützung bei der Formulierung von Sofort-Lösungen benötigen, können sich gerne und jederzeit an die Experten von SKW Schwarz wenden. Kontaktieren Sie uns gerne unter kommunikation@skwschwarz.de.

Weiterführende Informationen und Artikel