Wie geht es mit Schrems II weiter? – Eine erste Einordnung der Pressemitteilung der DSK

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich zu dem Schrems II Urteil in einer Pressemitteilung positioniert. Wir geben einen Überblick, welche weiteren Feststellungen in der Pressemitteilung zu finden sind, und bewerten diese.

Der Hintergrund des Schrems II EuGH-Urteils zum EU-US Privacy Shield

Nachdem der EuGH das EU-US-Privacy Shield mit dem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt hat, hat sich Ende Juli nun auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu dem Urteil in einer Pressemitteilung positioniert. Grundsätzlich sieht die DSK mit dem Urteil die Grundrechte der Bürger in der Europäischen Union gestärkt. Wir geben einen Überblick, welche weiteren Feststellungen in der Pressemitteilung zu finden sind, und bewerten diese. Dieser Beitrag ergänzt unsere erste Einordnung des Urteils für die Verwendung von Standarddatenschutzklauseln und seine Bedeutung für die Praxis.
 

Wie positioniert sich die DSK zum Schrems II Urteil?

Für die Übermittlung personenbezogener Daten in die USA hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

1. Soweit Übermittlungen in die USA stattfinden, die auf Grundlage des Privacy Shield erfolgen, müssen diese umgehend eingestellt werden. Insbesondere bietet das US-Recht keine hinreichenden Rechtsschutzmöglichkeiten für die betroffenen EU Bürger.

2. Die DSK sagt, dass die Standarddatenschutzklauseln zwar weiterhin genutzt werden könnten, hebt allerdings die Verantwortung des Verantwortlichen und des Empfängers hervor, zu prüfen, ob diese Klauseln auch im jeweiligen Drittland ein gleichwertiges Schutzniveau wie in der Union gewährleisten.

3. Die Wertungen des Urteils seien auch auf andere Garantien nach Art. 46 DSGVO übertragbar. Insbesondere seien verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) von dieser erweiterten Prüfpflicht umfasst.

4. Eine Übermittlung aufgrund der Ausnahmen nach Art. 49 DSGVO sei weiterhin möglich, solange ihr Ausnahmecharakter berücksichtigt bliebe.

5. Verantwortliche besäßen eine unverzügliche Prüfpflicht, ob die Voraussetzungen für den Datentransfer in die USA noch weiterhin bestünden.
 

Prüfpflicht auch für weitere Garantien

Die Positionierung der DSK verdeutlicht – neben einer kleinen Überraschung –  im Wesentlichen den Ernst der Lage insofern, als dass sie die unverzügliche Einstellung jeder Übermittlung personenbezogener Daten fordert, die auf Grundlage des für nichtig erklärten Privacy Shield erfolgt. Zur Vermeidung von Missverständnissen muss diese Aussage dahingehend ergänzt werden, dass nur solche Datenübermittlungen einzustellen sind, die allein auf Grundlage des Privacy Shield erfolgen. Weitere Garantien in Art. 46 f. DSGVO oder Ausnahmen nach Art. 49 DSGVO bleiben dem Grunde nach anwendbar und können die Übermittlung auf der 2. Stufe gleichwertig zu Angemessenheitsbeschlüssen legitimieren. Vor diesem Hintergrund sollten die Aussagen der DSK nicht dahingehend missverstanden werden, dass sämtliche Datenübermittlungen ohne weiteres einzustellen sind. Vielmehr sollten Unternehmen prüfen, ob und inwieweit weitere Garantien und Ausnahmen hiervon möglich sind.

Gleichwohl hebt die DSK die Verantwortung des Übersenders und des Empfängers der Daten hervor, im Falle der Nutzung von Standarddatenschutzklauseln ist eine Prüfung der Angemessenheit des Datenschutzniveaus im Drittland vorzunehmen. Diese Prüfpflicht möchte die DSK nun auch insbesondere auf BCRs angewendet wissen, wobei die Nennung der BCRs hier allerdings nur beispielhaft zu verstehen ist, da die DSK die diesbezügliche Feststellung explizit auf alle Garantien ausweitet. BCRs werden wohl nur deshalb explizit genannt, weil sie nach Angemessenheitsbeschlüssen und Standarddatenschutzklauseln insbesondere für Großkonzerne die wohl höchste Praxisrelevanz besitzen.
 

Notwendigkeit konkreterer Abwägungsparameter

Die Pflicht zur Prüfung aller Garantien nach Art. 46 f. DSGVO erscheint auf den ersten Blick sehr weitgehend und jedenfalls vom Wortlaut des Urteils nicht gedeckt, ist allerdings konsequent. Die Gründe der Nichtigkeit des Angemessenheitsbeschlusses sind nach dem EuGH fast ausschließlich im US-Recht zu finden, nämlich dem Fehlen geeigneter rechtsstaatlicher Mechanismen zur Gewährung von Individualrechtsschutz für EU-Bürger. Diesem Umstand wird durch das Gericht eine so hohe Bedeutung beigemessen, dass er geeignet ist, die Angemessenheit des datenschutzrechtlichen Schutzniveaus in den USA zu negieren. Da aber auch alle anderen Garantien der DSGVO den Zweck haben, ein solches Schutzniveau herzustellen, sind sie damit zwangsweise auch von diesen Feststellungen des Gerichts betroffen.

Hieran anknüpfend stellt sich jedoch generell die Frage, wo denn ein vom Verantwortlichen noch auszufüllender Beurteilungsspielraum zu sehen ist, wenn fehlende Regelungen im US-Recht der Grund für das fehlende Datenschutzniveau sind. Die DSK verpasst es hier als Abstimmungsgremium der nationalen Datenschutzbehörden konkretere Abwägungsparameter zu identifizieren, nach denen die geforderte Überprüfung der Garantien durchzuführen ist. Tatsächlich scheinen angesichts der gerichtlichen Feststellungen insbesondere nur noch technische und organisatorische Instrumente wie eine End-to-End-Verschlüsselung oder Pseudonymisierungs- und Anonymisierungstechniken geeignet zu sein, ein hinreichendes Datenschutzniveau zu wahren.
 

Unser Fazit zur DSK Pressemitteilung zu Schrems II

Die Positionierung der DSK hält eine kleine Überraschung bereit, da sie die vom EuGH angemahnte Prüfpflicht für die Angemessenheit des Datenschutzniveaus in den USA nun auch auf sämtliche Garantien des Art. 46 f. DSGVO ausweitet. Da sich die Lage hierdurch noch weiter verschärft, wäre es zu begrüßen gewesen, wenn die DSK konkretere Abwägungsparameter identifiziert hätte, anhand derer eine solche Prüfung stattzufinden hat, und die vor allem geeignet sein sollen, solch weitreichende rechtsstaatliche Mängel im US-amerikanischen Recht auszugleichen. Der Verweis auf die eigenständige Verantwortlichkeit der Datenübermittler, die Rechtmäßigkeit der Verarbeitung zu gewährleisten, verfängt hier nicht. Angesichts des Inhalts und der Bedeutung des Urteils wären konkretere Hinweise notwendig, um eine einheitliche Anwendung der Bestimmungen der DSGVO sicherzustellen. Insbesondere KMUs sollten in diesem juristischen Sonderfall zumindest hinreichende Informationen zur Verfügung gestellt werden, damit die eigenen datenschutzrechtlichen Pflichten erfüllt werden können.

Unternehmen, die Fragen hierzu haben oder Unterstützung bei der Formulierung von Sofort-Lösungen benötigen, können sich gerne und jederzeit an die Experten von SKW Schwarz wenden. Kontaktieren Sie uns gerne unter kommunikation@skwschwarz.de.