Was geht trotz „Schrems II“ auch künftig?

Die Entscheidung „Schrems II“ zwingt dazu, alle Datenübermittlungen in die USA auf den rechtlichen Prüfstand zu stellen (siehe Ehmann, Datenschutz PRAXIS 09/2020, Seite 1).

Anforderungen der Rechenschaftspflicht

Das gilt auch dann, wenn sie in der Vergangenheit nicht oder nicht ausschließlich auf die rechtliche Basis des Privacy Shield gestützt waren. Denn „Schrems II“ enthält fundamentale Aussagen, die nicht nur für den Privacy Shield von Bedeutung sind.

Deshalb stellt sich für alle Datenübermittlungen in die USA die akute Frage, ob sie rechtmäßig erfolgen (Art. 5 Abs. 1 Buchst. a DSGVO). Der Verantwortliche muss jederzeit nachweisen können, dass dies der Fall ist (Art. 5 Abs. 2 DSGVO).

Die Konsequenz: iteratives rechtliches Monitoring

Das führt zwangsläufig zu einem umfassenden rechtlichen Monitoring aller Datenübermittlungen in die USA. Eine „einmalige Aktion“ der Bestandsaufnahme und Bewertung genügt dafür nicht.

Angesichts der unklaren rechtlichen Situation werden endgültige Aussagen in vielen Fällen nicht möglich sein.

Angezeigt ist eine Art „iteratives Monitoring“. In geeigneten zeitlichen Abständen von beispielsweise wenigen Monaten sollten Verantwortliche alle Übermittlungsvorgänge jeweils erneut rechtlich überprüfen. Und das auch umfassend dokumentieren.

Idealerweise führt dies nach einer gewissen Zeit zu einer dauerhaft belastbaren rechtlichen Lösung.

Andere Angemessenheits­beschlüsse bleiben wirksam

Der Privacy Shield hatte gemäß einem Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau bei Datenübermittlungen in die USA bewirkt. Diesen Beschluss hat der Europäische Gerichtshof (EuGH) für ungültig erklärt.

Rechtsgrundlage des Beschlusses der Europäischen Kommission war Art. 45 Abs. 1 DSGVO. Alle anderen Beschlüsse, die die Europäische Kommission auf der Basis von Art. 45 Abs. 1 DSGVO gefasst hat, bleiben wirksam. Sie waren nicht Gegenstand von „Schrems II“.

Ein solcher Angemessenheitsbeschluss besteht etwa für den unmittelbaren US-Nachbarn Kanada. (Eine vollständige Auflistung aller Beschlüsse findet sich unter https://ogy.de/angemessenheitsbeschluesse.)

Sie bilden aber keine „Umgehungs-Brücke“

Das führt zu der Frage, ob sich Daten auf der Basis des Angemessenheitsbeschlusses nach Kanada übermitteln lassen, um dann von dort aus nach kanadischem Recht in die USA weiterübermittelt zu werden.

Die DSGVO blockiert solche Umgehungsversuche jedoch eindeutig. Sie bindet eine „etwaige weitere Übermittlung personenbezogener Daten durch das betreffende Drittland“ – hier also durch Kanada – an dieselben Voraussetzungen wie eine direkte Datenübermittlung in die USA (siehe Art. 44 Satz 1 Halbsatz 2 DSGVO).

Angemessenheitsbeschlüsse für andere Staaten als die USA bilden also für sich allein keine tragfähige rechtliche Brücke, um von diesen Staaten aus Daten in die USA weiterzuübermitteln.

Datenübermittlung zur Erfüllung eines Vertrags ist möglich

Unternehmen dürfen personenbezogene Daten in Drittländer wie die USA übermitteln, wenn es zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Art. 49 Abs. 1 Unterabs. 1 Buchst. b DSGVO bildet hierfür die Rechtsgrundlage.

Allerdings ist darauf zu achten, dass der Begriff der Erforderlichkeit eng auszulegen ist. Der Verantwortliche muss die Erforderlichkeit für sämtliche Daten einzeln darlegen können.

Vorteile der Rechtsgrundlage „Vertragserfüllung“

Der Ansatz „Erfüllung eines Vertrags“ wird in den meisten Unternehmen nur einen geringen Teil der Datenübermittlungen in die USA rechtlich legitimieren können.

Gleichwohl sollte er sorgfältig geprüft werden. Für die Datenübermittlungen, die er abdeckt, stellt er eine sofort nutzbare und dauerhaft belastbare Rechtsgrundlage dar.

Ein Widerspruchsrecht der betroffenen Person ist dabei nicht vorgesehen. Das ist für Prozessabläufe in einem Unternehmen von erheblicher Bedeutung.

Allerdings vertritt der Europäische Datenschutzausschuss in Ziffer 8 seiner Stellungnahme zu „Schrems II“ vom 23. Juli 2020 (abrufbar unter https://ogy.de/edpb-faqoncjeuc) die Auffassung, dass Verantwortliche lediglich „gelegentliche“ Datenübermittlungen auf den Aspekt der Vertragserfüllung stützen könnten.

Er erläutert nicht näher, was er dabei mit dem begrifflichen Gegensatz von „occasional“ und „non-occasional“ meint. Möglicherweise spricht er den Gegensatz von Datenübermittlungen im Einzelfall und regelmäßig wiederkehrenden Datenübermittlungen an. Das würde die Ausgestaltung entsprechender Abläufe jedoch kaum stören.

Praktisches Beispiel für die Übermittlung auf Grundlage eines Vertrags: Ein Reiseveranstalter organisiert für einen Kunden eine Rundreise in den USA. Sie besteht aus einer ganzen Reihe von Einzelleistungen, von Übernachtungen über Bereitstellung von Fahrzeugen bis hin zur Teilnahme an kulturellen Veranstaltungen.

Es liegt auf der Hand, dass der Reiseveranstalter seine vertraglichen Pflichten normalerweise nur erfüllen kann, wenn er Daten seines Kunden an Hotels, Autovermieter und Konzertveranstalter übermittelt.

Welche filigranen Überlegungen dabei erforderlich sind, zeigt das Beispiel eines Konzerts. Sofern der Veranstalter den Kauf von nicht personalisierten Tickets anbietet, bedarf es auch keiner Übermittlung von Daten der betroffenen Person an ihn.

Binding Corporate Rules: kaum je ein Ausweg

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) kommen weiterhin als Rechtsgrundlage für Datenübermittlungen in die USA in Betracht. Das ist vom Grundsatz her außer Streit. Auch der Europäische Datenschutzausschuss sieht das so (siehe dazu v.a. Ziffer 9 seiner oben erwähnten Stellungnahme zu „Schrems II“ vom 23. Juli 2020).

Jedenfalls kurzfristig bietet ein „Umstieg auf BCR“ aber keine Alternative zum Privacy Shield. BCR setzen eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde voraus (Art. 47 Abs. 1 DSGVO). Zuvor erfolgt eine Abstimmung mit allen Aufsichtsbehörden in der EU.

Am 24. Mai 2018, also buchstäblich am Vorabend der DSGVO, waren EU-weit deutlich über 100 BCR genehmigt (siehe https://ogy.de/binding-corporate-rules, Link auf ein PDF in der letzten Zeile dieses offiziellen Dokuments „BCR overview until 25th May 2018“).

Derzeit befinden sich EU-weit über 125 weitere BCR im Genehmigungsverfahren (so der Hessische Datenschutzbeauftragte, Tätigkeitsbericht 2019, Seiten 10/11, abrufbar unter https://ogy.de/TB-Hessen-2019).

Wirksame Einwilligung – nur mit Gefahrenhinweis!

Art. 49 Abs. 1 Unterabs. 1 Buchst. a DSGVO sieht eine Einwilligung der betroffenen Person als mögliche Rechtsgrundlage vor.

Allerdings muss die betroffene Person die Einwilligung erteilt haben, „nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“

Der Verantwortliche ist also zu einem ausdrücklichen und detaillierten Gefahrenhinweis verpflichtet. Dazu gehört bei Datenübermittlungen in die USA auch eine eingehende Darstellung der dortigen staatlichen Zugriffsbefugnisse. Mit ihnen rechnet die durchschnittliche betroffene Person aus Deutschland nicht.

Der besondere Gefahrenhinweis kommt zu den Anforderungen hinzu, die Art. 7 DSGVO generell als Bedingungen für die Wirksamkeit einer Einwilligung vorsieht.

Widerruf der Einwilligung – eine echte Tücke

Wie bei jeder Einwilligung ist zu beachten, dass die betroffene Person sie mit Wirkung für die Zukunft jederzeit widerrufen kann (Art. 7 Abs. 3 Sätze 1 und 2 DSGVO). Eine Begründung ist dafür nicht erforderlich.

Das Einholen einer wirksamen Einwilligung verursacht schon wegen des notwendigen Gefahrenhinweises einen erheblichen Aufwand. Erfolgt dann ein Widerruf, ist dieser Aufwand jedenfalls für die Zukunft entwertet.

In der Regel dürfte es sich daher nicht lohnen, ihn zu investieren. Ziffer 8 der schon erwähnten Stellungnahme des Europäischen Datenschutzausschusses zu „Schrems II“ vom 23. Juli schweigt zu den Folgen, die mit dem Widerruf einer Einwilligung verbunden sind.

Ernüchternde Zwischenbilanz

Insgesamt gesehen können alternative rechtliche Wege den Privacy Shield derzeit nur sehr eingeschränkt ersetzen. Die Nutzung von Standardvertragsklauseln für Datenübermittlungen in die USA (Standard Contractual Clauses – SCC) behandelt wegen ihrer besonderen Tücken demnächst ein eigener Beitrag.

Dr. Eugen Ehmann