Themen A bis Z

Datenexporte

Grundlagen zu Datenexporten in Drittländer

Sobald die Datenschutz-Grundverordnung (DS-GVO) anwendbar ist, dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierfür eine Erlaubnis im Gesetz gibt. Sollen personenbezogene Daten in Drittländer außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, gelten zusätzliche Anforderungen. Denn auch wenn die Daten EU und EWR verlassen, soll dies die Grundrechte der betroffenen Personen nicht beeinträchtigen. Hier ist dann eine zweistufige Prüfung erforderlich: 1. Stufe: Wäre die Datenverarbeitung erlaubt, wenn sie in der EU/im EWR stattfinden würde? 2. Stufe: Ist darüber hinaus auch der Datenexport in das Drittland erlaubt?

Die Art. 44 ff. DS-GVO sehen verschiedene Fälle vor, in denen Datenexporte in Drittländer erlaubt sind:

  • Angemessenheitsbeschluss: Die EU-Kommission kann förmlich beschließen, dass ein Drittland oder ein bestimmter Sektor in einem Drittland ein angemessenes Datenschutzniveau bietet (Art. 45 DS-GVO).

  • Transfer-Tools: Verschiedene rechtliche Instrumente können ein ausreichendes Datenschutzniveau gewährleisten, darunter insbesondere Standarddatenschutzklauseln (auch Standardvertragsklauseln genannt), die Datenexporteure mit den Datenimporteuren abschließen können (Art. 46 Abs. 2 DS-GVO).

  • Genehmigung der Aufsichtsbehörde: Unter bestimmten Bedingungen kann auch die zuständige Aufsichtsbehörde den Datenexport genehmigen (Art. 46 Abs. 3 DS-GVO).

  • Ausnahmetatbestände: Art. 49 DS-GVO ermöglicht Datenexporte ausnahmsweise auch, wenn bestimmte Sonderfälle vorliegen. Dazu gehören insbesondere

    1. eine Einwilligung der betroffenen Person – die aber besonders hohen speziellen Anforderungen unterliegt –,

    2. die Erforderlichkeit der Übermittlung zur Erfüllung eines Vertrages (im weiten Sinne) mit der betroffenen Person – etwa eine Hotelbuchung im Drittland durch die betroffene Person,

    3. die Erforderlichkeit der Übermittlung zur Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrages – etwa eine Hotelbuchung im Drittland für die betroffene Person durch eine:n Dritte:n.

    Für hoheitlich handelnde Behörden gelten dabei einige Einschränkungen, insbesondere dürfen sie diese drei genannten Ausnahmetatbestände nicht nutzen.

     

Ist keiner dieser Fälle gegeben, dürfen die Daten nicht in das Drittland übermittelt werden.

Zu beachten ist, dass der Begriff der Übermittlung sehr weit ist. Hierzu gehört beispielsweise, wenn die Daten zwar in der EU gespeichert sind, aber aus einem Drittland ein Zugriff auf die Daten möglich ist – etwa für Kund:innen-Betreuung, IT-Service oder IT-Administration. Diese Fälle sind sehr häufig, wenn globale Player als IT-Dienstleister eingeschaltet werden. Zu betrachten ist dabei die gesamte Leistungskette: Nutzt ein deutscher Dienstleister für den Betrieb seiner Server einen Subunternehmer, der die Daten in Deutschland speichert, aber für einen preiswerten Rund-um-die-Uhr-Service nach dem Prinzip „folge der Sonne“ Administrator:innen in Asien und Amerika einsetzt, ist ein Datenexport in diese Drittländer gegeben. Teilweise geben auch rein deutsche Unternehmen den Hardware-Herstellern im Drittland Vollzugriff auf die Server und damit auch auf die Daten. Solche Fälle werden in der Praxis häufig übersehen, sodass es zu rechtswidrigen Datenexporten kommt.

Hintergrund zur aktuellen Rechtslage im Internationalen Datenverkehr

Angesichts der Marktmacht US-amerikanischer IT-Unternehmen sind Datenexporte in die USA besonders praxisrelevant. Die EU-Kommission hatte daher für die USA besondere Angemessenheitsbeschlüsse erlassen: Zunächst für Unternehmen im „Safe Harbor“ und nach dessen Ungültigerklärung durch den Europäischen Gerichtshof (EuGH) für Unternehmen im „Privacy Shield“. Am 16. Juli 2020 hat der EuGH (Rechtssache C-311-18, „Schrems II“) nun auch den Angemessenheitsbeschluss zum „Privacy Shield“ für ungültig erklärt.

Die Nutzung von Standardvertragsklauseln als Instrument für Übermittlungen in Drittländer ist zwar weiterhin möglich. Der EuGH hat diesbezüglich jedoch erhöhte Anforderungen aufgestellt, die bei Übermittlungen personenbezogener Daten auf Grundlage der Standardvertragsklauseln zusätzlich zu erfüllen sind.

Konkret analysierte der EuGH in seinem Urteil die die Rechtslage in den USA und kam zu der Einschätzung, dass das dort vorherrschende Schutzniveau für personenbezogene Daten aus der EU nicht den Anforderungen für einen zulässigen Datenexport im Lichte der DS-GVO und der Charta der Grundrechte der Europäischen Union entspricht. Denn das dortige Recht – insbesondere Section 702 FISA, E. O. 12333 sowie PPD-28 – gewährt den US-Behörden umfangreiche Zugriffsmöglichkeiten und weitgehend unbeschränkte Überwachungsbefugnisse, den betroffenen Personen hingegen keinerlei Garantien für ihre Rechte. Die Befugnisse der US-Behörden verstoßen daher gegen den Verhältnismäßigkeitsgrundsatz. Zudem haben betroffene Personen keinerlei gerichtliche Rechtsschutzmöglichkeiten gegenüber US-Behörden.

Da kein Angemessenheitsbeschluss für die USA mehr besteht, kommt den Standardvertragsklauseln im Datenverkehr mit den USA besondere Bedeutung zu. Damit die Standardvertragsklauseln nach dem „Schrems II“-Urteil weiterhin genutzt werden können, müssen die Datenexporteure allerdings zusätzliche Maßnahmen treffen. Die EU-Kommission hat neue, modular aufgebaute Standardvertragsklauseln erlassen, die EU-Verantwortlichen und EU-Auftragsverarbeitern zusätzliche Kontrollmöglichkeiten an die Hand geben. Gleichwohl kann ein zivilrechtlicher Vertrag zwischen Datenexporteur und -importeur die Behörden eines Drittlandes nicht binden. Der EuGH fordert für sämtliche Übermittlungen daher zusätzlich eine detaillierte Prüfung der Rechtsordnung und Praxis des Drittlandes hinsichtlich eines etwaigen Zugriffs der dortigen Behörden auf die übermittelten personenbezogenen Daten. Nur wenn das geforderte Schutzniveau auch in diesen Fällen gegeben ist, sorgen die Standardvertragsklauseln für den erforderlichen Datenschutz. Wenn dies – wie im Fall der USA bereits durch den EuGH festgestellt – nicht der Fall ist, müssen die Garantien in den Standardvertragsklauseln durch zusätzliche Maßnahmen ergänzt werden.

Notwendigkeit ergänzender Maßnahmen

Der Europäische Datenschutzausschuss hat vor diesem Hintergrund Empfehlungen erarbeitet, wie Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten in Drittländer übermitteln wollen, vorgehen sollten. Diese Empfehlungen enthalten neben einer Schritt-für-Schritt-Anleitung auch denkbare ergänzende Maßnahmen, um Defizite des Datenschutzniveaus im Zielland des Datenexports nach Möglichkeit auszugleichen.

Lassen sich keine wirksamen und geeigneten ergänzenden Maßnahmen finden, die die Gefährdungen für den Schutz personenbezogener Daten im Drittland beseitigen, müssen Datenexporte unverzüglich beendet bzw. dürfen nicht begonnen werden. Eine Verpflichtung hierzu besteht insbesondere dann, wenn das Recht des jeweiligen Drittlands dem Datenimporteur Verpflichtungen z. B. hinsichtlich eines Zugangs der Behörden dieses Drittlands zu den Daten auferlegt, die den Standardvertragsklauseln widersprechen und die die Einhaltung der darin festgelegten Pflichten rechtlich unmöglich machen bzw. zumindest dazu geeignet sind, die vertraglich vereinbarte Garantie eines angemessenen Schutzniveaus zu untergraben.

Bei vielen Cloud-Diensten keine ergänzenden Maßnahmen möglich

In Anhang 2 seiner bereits angesprochenen Empfehlungen hat der Europäische Datenschutzausschuss auch verschiedene praktische Anwendungsfälle geprüft, ob und welche ergänzenden Maßnahmen geeignet sind, nach europäischem Recht unzulässige Zugriffsbefugnisse der Drittlands-Behörden auszugleichen. Dazu gehören eine sichere Verschlüsselung oder eine für den Dienstleister und die Drittlands-Behörden nicht auflösbare Pseudonymisierung. Für die im Bereich der Cloud-Dienste besonders relevanten Fälle, in denen der eingeschaltete Dienstleister die personenbezogenen Daten im Klartext verarbeiten muss, konnte der Europäische Datenschutzausschuss dagegen keine ausreichenden Maßnahmen identifizieren. In diesen Fällen sind die Datenexporte unzulässig. Die Nutzung der betroffenen IT-Dienstleister muss daher unterbleiben.

Rechtsgutachten zum Umfang der US-Geheimdienstgesetze

US-amerikanische Unternehmen – insbesondere im IT-Sektor – sind aufgrund Ihrer Marktmacht von besonderer Bedeutung für europäische Unternehmen. Nach dem „Schrems II“-Urteil haben Verantwortliche vielfach auf die Unsicherheiten hingewiesen, die Datenflüsse in die USA und Datenverarbeitungen unter Beteiligung US-amerikanischer Unternehmen mit sich bringen. Unklarheit bestand insbesondere hinsichtlich der Frage, welche Unternehmen unter die US-amerikanische Geheimdienstgesetzgebung fallen, der erfassten Datenkategorien und der Rechtsschutzmöglichkeiten, die den Adressat:innen im Falle behördlicher Anordnungen offenstehen. Darüber hinaus stellt sich die Frage, ob US-Behörden auch dann Zugriffsrechte haben, wenn Daten ausschließlich in Europa verarbeitet werden. Hier ist etwa an IT-Dienstleistungen von US-Unternehmen oder ihren europäischen Tochtergesellschaften zu denken, wobei in der Praxis in diesen Fällen meist auch Datenexporte vorliegen.

Die deutschen Datenschutz-Aufsichtsbehörden haben daher unter unserer Federführung ein Rechtsgutachten (deutsche Übersetzung: hier) bei Professor Stephen I. Vladeck, University of Texas, Austin, in Auftrag gegeben. Professor Vladeck ist renommierter Kenner des US-amerikanischen Geheimdienstrechts und hatte im „Schrems II“-Verfahren bereits ein Rechtsgutachten für Facebook erstellt. Er kommt zu dem Schluss, dass sehr viele Unternehmen als „electronic communication service provider“ gelten und damit unter die relevante US-Gesetzgebung fallen. Der Begriff ist an sich bereits sehr weit und umfasst nicht nur Telekommunikationsanbieter, sondern auch Cloud-Dienstleister. Darüber hinaus können nach dem Gutachten auch viele andere Unternehmen als „electronic communication service provider“ gelten – etwa wenn sie ihren Mitarbeitenden einen E-Mail-Zugang bereitstellen. Verarbeitungen, an denen derartige Unternehmen – ob als Verantwortliche oder als Auftragsverarbeiter – beteiligt sind, unterliegen dann den entsprechenden Gesetzen. In der Folge unterliegen sämtliche Daten des Unternehmens den Zugriffen der US-Behörden – nicht nur solche mit Bezug zu dem Dienst, der die Einstufung als „electronic communication service provider“ verursacht hat. Verpflichtet werden können auch US-Unternehmen oder Tochtergesellschaften von US-Unternehmen, die Daten nur in der EU verarbeiten (z. B. wenn sich die Standorte der Server nur in EU-Mitgliedsstaaten befinden). Auch in den USA tätige EU-Unternehmen fallen unter die Vorgaben.

Prüfungen von Amts wegen und auf Beschwerden hin zu rechtswidrigen Übermittlungen in die USA durch Berliner Unternehmen

Die BlnBDI beteiligt sich an einer länderübergreifenden Prüfaktion zur Umsetzung des „Schrems II“-Urteils. Hierfür wurden rund 900 Berliner Unternehmen hinsichtlich möglicher Datenexporte in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer) einer automatisierten Vorprüfung unterzogen. Der Fokus lag hierbei auf möglichen Datenübermittlungen im Rahmen von E-Mail- und Web-Hosting. Ein Teil dieser Unternehmen wurde aufgrund der sich aus der Vorprüfung ergebenden Erkenntnisse um Stellungnahme gebeten, wobei sich der größte Teil der Verdachtsmomente bestätigte.

Es zeigte sich, dass die Umsetzung der „Schrems II“-Entscheidung die Mehrheit der Unternehmen vor große Herausforderungen stellt, da das Urteil des EuGH nicht nur die Speicherung personenbezogener Daten auf in Drittstaaten befindlichen Servern, also die unmittelbare Übermittlung von Daten, betrifft, sondern jedenfalls im Fall USA auch bei der Einbindung von US-Unternehmen oder ihren europäischen Tochtergesellschaften zu beachten ist. In der Praxis vielfach genutzte Dienste von US-Unternehmen oder ihren europäischen Tochtergesellschaften können daher aktuell in vielen Fällen nicht mehr rechtskonform eingesetzt werden, sodass bisherige Geschäftspraktiken zum Teil erheblich umgestellt werden müssen.

Insoweit ist daran zu erinnern, dass schon die bloße Zugriffsmöglichkeit auf Daten von außerhalb der EU rechtlich einen Fall des Datenexports darstellt. Solche Zugriffsmöglichkeiten sind insbesondere bei Administration und Support aus Drittländern gegeben, auch wenn die Daten unter Umständen gar nicht zur Kenntnis genommen werden sollen oder nur kurzzeitig zur Kenntnis genommen werden.

In vielen Fällen stellte sich heraus, dass die Unternehmen einerseits die rechtlichen Probleme nicht ausreichend erfasst hatten, sich andererseits aber auch auf die Aussagen der eingeschalteten Dienstleister verlassen hatten, die nicht vollständig den Tatsachen entsprachen. Letztlich erklärten sich sehr viele im Rahmen der Amtsprüfung geprüften und alle in einem zweiten Schritt gesondert kontaktierten Unternehmen bereit, ohne förmliche Maßnahmen unsererseits den Einsatz der problematischen Dienstleister zu beenden. Die Prüfung ist noch nicht beendet. In Einzelfällen begleiten wir die Umstellung auf rechtskonforme Dienstleister und werden bei Bedarf Maßnahmen ergreifen, wenn diese Umstellung nicht binnen angemessener Frist erfolgt. In einigen Fällen mussten wir feststellen, dass die uns gegebene Information, den problematischen Dienstleister nicht mehr zu verwenden, nicht den Tatsachen entsprach. Obwohl das primäre Ziel der koordinierten Amtsprüfung nicht in der Sanktionierung, sondern in der Herstellung rechtmäßiger Zustände liegt, müssen diese Unternehmen nun mit Anordnungs- und Bußgeldverfahren rechnen.

zurück zur Seite: