Weltkugel mit Datencodes
Unternehmen

Datenexporte

Hinweis zu den aktuellen Entwicklungen bezüglich eines zu erwartenden Angemessenheitsbeschlusses der EU-Kommission für die USA:

Bitte beachten Sie, dass sich die Rechtslage weder mit der Veröffentlichung der Executive Order 14086 des US-Präsidenten vom 7. Oktober 2022 noch mit der Veröffentlichung des Entwurfs einer Angemessenheitsentscheidung für die USA durch die EU-Kommission vom 13. Dezember 2022 geändert hat. Bis ein wirksamer Angemessenheitsbeschluss von der EU-Kommission verabschiedet und in Kraft getreten ist, werden voraussichtlich noch mehrere Monate vergehen (ca. Sommer/Herbst 2023). Erst dann – und vorbehaltlich einer geeigneten Zertifizierung von US-Unternehmen nach dem neuen Framework – werden Übermittlungen in die USA auf Grundlage eines Angemessenheitsbeschlusses möglich sein. Bis dahin gelten die Vorgaben des Europäischen Gerichtshofs (EuGH) aus dem „Schrems II“-Urteil (siehe unten) weiterhin in vollem Umfang.

Grundlagen zu Datenexporten in Drittländer

Sobald die Datenschutz-Grundverordnung (DSGVO) anwendbar ist, dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierfür eine Erlaubnis im Gesetz gibt. Sollen personenbezogene Daten in Drittländer außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, gelten zusätzliche Anforderungen. Denn auch wenn die Daten die EU oder den EWR verlassen, soll dies die Grundrechte der betroffenen Personen nicht beeinträchtigen. Hier ist dann eine zweistufige Prüfung erforderlich: 1. Stufe: Wäre die Datenverarbeitung erlaubt, wenn sie innerhalb der EU oder des EWR stattfinden würde? 2. Stufe: Ist darüber hinaus auch der Datenexport in das Drittland erlaubt?

Die Art. 44 ff. DSGVO sehen verschiedene Fälle vor, in denen Datenexporte in Drittländer erlaubt sind:

  • Angemessenheitsbeschluss: Die EU-Kommission kann förmlich beschließen, dass ein Drittland oder ein bestimmter Sektor in einem Drittland ein angemessenes Datenschutzniveau bietet (Art. 45 DSGVO). Die aktuelle Liste der Länder bzw. Regionen, für die ein Angemessenheitsbeschluss besteht, ist auf der Website der EU-Kommission einsehbar.

  • Transfer-Tools: Verschiedene rechtliche Instrumente können ein ausreichendes Datenschutzniveau gewährleisten, darunter Standarddatenschutzklauseln (insbesondere Standardvertragsklauseln oder SCCs genannt), die Datenexporteure mit den Datenimporteuren abschließen können (Art. 46 Abs. 2 DSGVO).

  • Genehmigung der Aufsichtsbehörde: Unter bestimmten Bedingungen kann auch die zuständige Aufsichtsbehörde den Datenexport genehmigen (Art. 46 Abs. 3 DSGVO).

  • Ausnahmetatbestände: Art. 49 DSGVO ermöglicht Datenexporte ausnahmsweise auch, wenn bestimmte Sonderfälle vorliegen. Dazu gehören insbesondere:

    • eine Einwilligung der betroffenen Person – die aber besonders hohen speziellen Anforderungen unterliegt –,

    • die Erforderlichkeit der Übermittlung zur Erfüllung eines Vertrags (im weiten Sinne) mit der betroffenen Person – etwa eine Hotelbuchung im Drittland durch die betroffene Person,

    • die Erforderlichkeit der Übermittlung zur Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags – etwa eine Hotelbuchung im Drittland für die betroffene Person durch eine:n Dritte:n.

    • Für hoheitlich handelnde Behörden gelten dabei einige Einschränkungen, insbesondere dürfen sie diese drei genannten Ausnahmetatbestände nicht nutzen.

Ist keiner dieser Fälle gegeben, dürfen die Daten nicht in das Drittland übermittelt werden.

Zu beachten ist, dass der Begriff der Übermittlung sehr weit ist. Hierzu gehört beispielsweise, wenn die Daten zwar innerhalb der EU gespeichert sind, aber aus einem Drittland ein Zugriff auf die Daten möglich ist – etwa für die Betreuung von Kund:innen, für IT-Service oder IT-Administration. Diese Fälle sind sehr häufig, wenn globale Unternehmen als IT-Dienstleister:innen eingeschaltet werden. Zu betrachten ist dabei die gesamte Leistungskette: Nutzen deutsche Dienstleister:innen für den Betrieb ihrer Server Subunternehmen, welche die Daten in Deutschland speichern, aber für einen preiswerten Rund-um-die-Uhr-Service nach dem Prinzip „folge der Sonne“ Administrator:innen in Asien und Amerika einsetzen, ist ein Datenexport in diese Drittländer gegeben. Teilweise geben auch rein deutsche Unternehmen den Hardware-Hersteller:innen im Drittland Vollzugriff auf ihre Server und damit auch auf die Daten. Solche Fälle werden in der Praxis häufig übersehen, sodass es zu rechtswidrigen Datenexporten kommt.

Hintergrund zur aktuellen Rechtslage im internationalen Datenverkehr

Angesichts der Marktmacht US-amerikanischer IT-Unternehmen sind Datenexporte in die USA besonders praxisrelevant. Die EU-Kommission hatte daher für die USA besondere Angemessenheitsbeschlüsse erlassen: Zunächst im „Safe Harbor“ und nach dessen Ungültigerklärung durch den Europäischen Gerichtshof (EuGH) im „Privacy Shield“. Am 16. Juli 2020 hat der EuGH in der Rechtssache C-311-18 („Schrems II“) allerdings auch den Angemessenheitsbeschluss zum „Privacy Shield“ für ungültig erklärt.

Die Nutzung von Standardvertragsklauseln als Instrument für Übermittlungen in Drittländer ist zwar weiterhin möglich. Der EuGH hat diesbezüglich jedoch erhöhte Anforderungen aufgestellt, die bei Übermittlungen personenbezogener Daten auf Grundlage der Standardvertragsklauseln zusätzlich zu erfüllen sind. Die aktuellen Standardvertragsklauseln der EU-Kommission berücksichtigen diese Anforderungen bereits.

In seinem Urteil zum „Privacy Shield“ („Schrems II“) analysierte der EuGH in seinem Urteil die Rechtslage in den USA und kam zu der Einschätzung, dass das dort herrschende Schutzniveau für personenbezogene Daten aus der EU nicht den Anforderungen für einen zulässigen Datenexport im Sinne der DSGVO und der EU-Grundrechtecharta entspricht. Denn das US-Recht – insbesondere Section 702 FISA, E. O. 12333 sowie PPD-28 – gewährt den US-Behörden umfangreiche Zugriffsmöglichkeiten und weitgehend unbeschränkte Überwachungsbefugnisse, den betroffenen Personen hingegen keinerlei Garantien für deren Rechte. Die Befugnisse der US-Behörden verstoßen daher gegen den Verhältnismäßigkeitsgrundsatz. Zudem haben betroffene Personen keinerlei gerichtliche Rechtsschutzmöglichkeiten gegenüber den US-Behörden.

Da aktuell kein Angemessenheitsbeschluss für die USA besteht, kommt den Standardvertragsklauseln im Datenverkehr mit den USA besondere Bedeutung zu. Damit die Standardvertragsklauseln nach dem „Schrems II“-Urteil weiterhin genutzt werden können, müssen die Daten exportierenden Unternehmen allerdings zusätzliche Maßnahmen treffen. Die EU-Kommission hat neue, modular aufgebaute Standardvertragsklauseln erlassen, die EU-Verantwortlichen und EU-Auftragsverarbeiter:innen zusätzliche Kontrollmöglichkeiten an die Hand geben. Entsprechend der Rollen der exportierenden bzw. importierenden Stellen als Verantwortliche, Auftragsverarbeiter:innen oder gemeinsam Verantwortliche müssen hier die entsprechenden Module der Standardvertragsklauseln gewählt, die notwendigen Angaben gemacht und die Standardvertragsklauseln als Ganzes mit dem Importeur abgeschlossen werden.

Gleichwohl kann ein zivilrechtlicher Vertrag zwischen dem Daten exportierenden und dem Daten importierenden Unternehmen die Behörden eines Drittlands nicht binden. Der EuGH fordert für sämtliche Übermittlungen daher zusätzlich eine detaillierte Prüfung der Rechtsordnung und der Praxis des Drittlands hinsichtlich eines etwaigen Zugriffs der dortigen Behörden auf die übermittelten personenbezogenen Daten, was auch die Standardvertragsklauseln aufgenommen haben. Nur wenn das geforderte Schutzniveau auch in diesen Fällen gegeben ist, sorgen die Standardvertragsklauseln für den erforderlichen Datenschutz. Wenn dies – wie im Fall der USA bereits durch den EuGH festgestellt – nicht der Fall ist, müssen die Garantien in den Standardvertragsklauseln durch zusätzliche Maßnahmen ergänzt werden.

Notwendigkeit ergänzender Maßnahmen

Der Europäische Datenschutzausschuss hat vor diesem Hintergrund Empfehlungen erarbeitet, wie Verantwortliche und auftragsverarbeitende Stellen, die personenbezogene Daten in Drittländer übermitteln wollen, vorgehen sollten. Diese Empfehlungen enthalten neben einer Schritt-für-Schritt-Anleitung auch denkbare ergänzende Maßnahmen, um Defizite des Datenschutzniveaus im Zielland des Datenexports nach Möglichkeit auszugleichen.

Lassen sich keine wirksamen und geeigneten ergänzenden Maßnahmen finden, die die Gefährdungen für den Schutz personenbezogener Daten im Drittland beseitigen, müssen Datenexporte sofort beendet bzw. dürfen nicht begonnen werden. Eine Verpflichtung hierzu besteht insbesondere dann, wenn das Recht des jeweiligen Drittlands dem Daten importierenden Unternehmen Verpflichtungen – etwa hinsichtlich eines Zugangs der Behörden dieses Drittlands zu den Daten – auferlegt, die den Standardvertragsklauseln widersprechen und die die Einhaltung der darin festgelegten Pflichten rechtlich unmöglich machen bzw. zumindest dazu geeignet sind, die vertraglich vereinbarte Garantie eines angemessenen Schutzniveaus zu untergraben.

Bei vielen Cloud-Diensten keine ergänzenden Maßnahmen möglich

In Anhang 2 seiner bereits angesprochenen Empfehlungen hat der Europäische Datenschutzausschuss auch verschiedene praktische Anwendungsfälle geprüft, ob und welche ergänzenden Maßnahmen geeignet sind, nach europäischem Recht unzulässige Zugriffsbefugnisse der Drittlands-Behörden auszugleichen. Dazu gehören eine sichere Verschlüsselung oder eine für die Dienstleister:innen und die Drittlands-Behörden nicht auflösbare Pseudonymisierung. Für die im Bereich der Cloud-Dienste besonders relevanten Fälle, in denen die eingeschalteten Dienstleister:innen die personenbezogenen Daten im Klartext verarbeiten müssen, konnte der Europäische Datenschutzausschuss dagegen keine ausreichenden Maßnahmen identifizieren. In diesen Fällen sind die Datenexporte unzulässig. Die Nutzung der betroffenen IT-Dienstleister:innen muss daher unterbleiben.

Gutachten zur Rechtslage in den USA

US-amerikanische Unternehmen – insbesondere im IT-Sektor – sind aufgrund Ihrer Marktmacht von besonderer Bedeutung für europäische Unternehmen. Nach dem „Schrems II“-Urteil haben Verantwortliche vielfach auf die Unsicherheiten hingewiesen, die Datenflüsse in die USA und Datenverarbeitungen unter Beteiligung US-amerikanischer Unternehmen mit sich bringen. Unklarheit bestand insbesondere hinsichtlich der Frage, welche Unternehmen unter die US-amerikanische Geheimdienstgesetzgebung fallen, sowie hinsichtlich der Frage nach den erfassten Datenkategorien und den Rechtsschutzmöglichkeiten, die den Adressat:innen im Falle behördlicher Anordnungen offenstehen. Darüber hinaus stellt sich die Frage, ob US-Behörden auch dann Zugriffsrechte haben, wenn Daten ausschließlich in Europa verarbeitet werden. Hier ist etwa an IT-Dienstleistungen von US-Unternehmen oder deren europäischen Tochtergesellschaften zu denken, wobei in der Praxis in diesen Fällen meist auch Datenexporte vorliegen.

Die deutschen Datenschutzaufsichtsbehörden haben daher unter Federführung der Berliner Beauftragten für Datenschutz und Informationsfreiheit ein Rechtsgutachten bei Prof. Stephen I. Vladeck, University of Texas, Austin, in Auftrag gegeben. Vladeck ist ein renommierter Kenner des US-amerikanischen Geheimdienstrechts und hatte im „Schrems II“-Verfahren bereits ein Rechtsgutachten für Facebook erstellt. Er kommt zu dem Schluss, dass sehr viele Unternehmen als „electronic communication service provider“ gelten und damit unter die relevante US-Gesetzgebung fallen. Der Begriff „electronic communication service provider“ ist an sich bereits sehr weit und umfasst nicht nur Telekommunikationsunternehmen, sondern auch Cloud-Dienstleister:innen. Darüber hinaus können nach Prof. Vladecks Gutachten auch viele andere Unternehmen als „electronic communication service provider“ gelten – etwa wenn sie ihren Mitarbeitenden einen E-Mail-Zugang bereitstellen. Verarbeitungen, an denen derartige Unternehmen – ob als Verantwortliche oder als Auftragsverarbeiter:innen – beteiligt sind, unterliegen dann den entsprechenden Gesetzen. In der Folge unterliegen sämtliche Daten des Unternehmens den Zugriffen der US-Behörden – nicht nur solche mit Bezug zu dem Dienst, der die Einstufung als „electronic communication service provider“ verursacht hat. Verpflichtet werden können auch US-Unternehmen oder Tochtergesellschaften von US-Unternehmen, die Daten nur in der EU verarbeiten (etwa wenn sich die Standorte der Server nur in EU-Mitgliedsstaaten befinden). Auch in den USA tätige EU-Unternehmen fallen unter diese Vorgaben.

Prüfungen von Amts wegen und auf Beschwerden hin zu rechtswidrigen Übermittlungen in die USA durch Berliner Unternehmen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit beteiligt sich an einer länderübergreifenden Prüfaktion zur Umsetzung des „Schrems II“-Urteils. Hierfür wurden rund 900 Berliner Unternehmen hinsichtlich möglicher Datenexporte in Staaten außerhalb der EU oder des EWR (Drittländer) einer automatisierten Vorprüfung unterzogen. Der Fokus lag hierbei auf möglichen Datenübermittlungen im Rahmen von E-Mail- und Web-Hosting. Ein Teil dieser Unternehmen wurde aufgrund der sich aus der Vorprüfung ergebenden Erkenntnisse um Stellungnahme gebeten, wobei sich der größte Teil der Verdachtsmomente bestätigte.

Es zeigte sich, dass die Umsetzung der „Schrems II“-Entscheidung die Mehrheit der Unternehmen vor große Herausforderungen stellt, da das Urteil des EuGH nicht nur die Speicherung personenbezogener Daten auf in Drittstaaten befindlichen Servern – also die unmittelbare Übermittlung von Daten – betrifft, sondern jedenfalls im Fall der USA auch bei der Einbindung von US-Unternehmen oder ihren europäischen Tochtergesellschaften zu beachten ist. In der Praxis vielfach genutzte Dienste von US-Unternehmen oder ihren europäischen Tochtergesellschaften können daher aktuell in vielen Fällen nicht mehr rechtskonform eingesetzt werden, sodass bisherige Geschäftspraktiken zum Teil erheblich umgestellt werden müssen.

Insoweit ist daran zu erinnern, dass schon die bloße Zugriffsmöglichkeit auf Daten von außerhalb der EU rechtlich einen Fall des Datenexports darstellt. Solche Zugriffsmöglichkeiten sind insbesondere bei Administration und Support aus Drittländern gegeben, auch wenn die Daten unter Umständen gar nicht zur Kenntnis genommen werden sollen oder nur kurzzeitig zur Kenntnis genommen werden.

In vielen Fällen stellte sich heraus, dass die Unternehmen einerseits die rechtlichen Probleme nicht ausreichend erfasst hatten, sich andererseits aber auch auf die Aussagen der eingeschalteten Dienstleister:innen verlassen hatten, die nicht vollständig den Tatsachen entsprachen. Letztlich erklärten sich sehr viele der im Rahmen der Amtsprüfung geprüften und alle der in einem zweiten Schritt gesondert kontaktierten Unternehmen bereit, ohne förmliche Maßnahmen der Berliner Datenschutzbeauftragten den Einsatz der problematischen Dienstleister:innen zu beenden. In Einzelfällen begleitete die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Umstellung auf rechtskonforme Dienstleister:innen und ergriff bei Bedarf Maßnahmen, wenn diese Umstellung nicht binnen einer angemessenen Frist erfolgte. In einigen Fällen musste die Berliner Datenschutzbeauftragte feststellen, dass die mitgeteilte Information, die problematischen Dienstleister:innen nicht mehr zu verwenden, nicht den Tatsachen entsprach. Obwohl das primäre Ziel der koordinierten Amtsprüfung nicht in der Sanktionierung, sondern in der Herstellung rechtmäßiger Zustände liegt, müssen diese Unternehmen nun mit Anordnungs- und Bußgeldverfahren rechnen.

Hinweise zum möglichen neuen Angemessenheitsbeschluss für die USA

Am 13. Dezember 2022 hat die EU-Kommission einen Entwurf für einen neuen Angemessenheitsbeschluss für die USA nach Art. 45 DSGVO vorgestellt. Es muss jedoch darauf hingewiesen werden, dass sich die Rechtslage weder mit diesem Entwurf noch mit der Veröffentlichung der Executive Order 14086 des US-Präsidenten vom 7. Oktober 2022 geändert hat. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit wird die Dokumente zusammen mit anderen europäischen Datenschutzbehörden bewerten und mit diesen im Rahmen des Europäischen Datenschutzausschusses (EDSA) eine Stellungnahme abgeben.

Bis ein wirksamer Angemessenheitsbeschluss von der EU-Kommission verabschiedet und in Kraft getreten ist, werden voraussichtlich noch mehrere Monate vergehen (ca. Sommer/Herbst 2023). Erst dann – und vorbehaltlich einer geeigneten Zertifizierung von US-Unternehmen nach dem neuen Framework – werden Übermittlungen in die USA auf Grundlage eines Angemessenheitsbeschlusses möglich sein.

Jeder Angemessenheitsbeschluss muss die Gesamtheit der Anforderungen berücksichtigen, die der EuGH im „Schrems II“-Urteil aufgestellt hat. Dazu gehören insbesondere:

  • die Anwendung des Grundsatzes der Verhältnismäßigkeit bei der Verarbeitung personenbezogener Daten durch US-Behörden sowie

  • die Möglichkeit für betroffene Personen, vor einem unabhängigen und unparteiischen Gericht einen wirksamen Rechtsbehelf gegen die Verarbeitung ihrer personenbezogenen Daten durch US-Behörden zu erhalten.

Solange der Angemessenheitsbeschluss nicht erlassen und eventuelle Bedingungen für seine Wirksamkeit erfüllt sind, können sich datenexportierende Stellen nicht auf den geplanten Angemessenheitsbeschluss berufen. Bis dahin gelten die oben genannten Vorgaben des EuGH aus dem „Schrems II“-Urteil weiterhin in vollem Umfang.

zurück zur Seite: