Der Beschluss der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer ist weiterhin gültig: Was das für die Rechtsunterworfenen bedeutet.
In der kürzlich ergangenen und medial groß beachteten Entscheidung C‑311/18 erklärt der EuGH den Beschluss der Kommission über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. Der Beschluss der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer ist hingegen – zumindest theoretisch – weiterhin gültig. Doch was bedeutet das nun für die Rechtsunterworfenen?
Grundsätzlich dürfen personenbezogene Daten gemäß der Datenschutzgrundverordnung (DSGVO) nur in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau herrscht. Demnach darf eine Übermittlung in die USA daher primär ohne gesonderte Genehmigung vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet und die Daten daher einem gleichwertigen Schutz unterliegen wie innerhalb der EU. Mangels eines solchen Beschlusses dürfen personenbezogene Daten an ein Drittland nur übermittelt werden, sofern "geeignete Garantien" vorgesehen sind und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Solche geeignete Garantien bieten bspw. die weit verbreiteten Standardvertragsklauseln (SCC). Darüber hinaus regelt die DSGVO, wann personenbezogene Daten übermittelt werden dürfen, wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen; etwa auf Basis der ausdrücklichen Einwilligung oder wenn diese Übermittlung zur Vertragserfüllung notwendig ist.
Mit Durchführungsbeschluss 2016/1250 erklärte die Kommission nach langen Verhandlungen, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds ("Privacy Shield") aus der EU an Organisationen in den USA übermittelt werden, gewährleisten würden. Darunter fallen Übermittlungen an US-Organisationen, die nach entsprechender Zertifizierung in der Privacy Shield Liste aufgeführt sind, die vom US-Handelsministerium geführt wird. Das Privacy Shield folgt daher dem zuvor gekippten Safe Harbour Abkommen und sollte die Schwachstellen des Vorgängers beheben.
Eine Frage der Angemessenheit
Nach Ansicht des EuGH gewährleisten die USA jedoch die geforderte Angemessenheit gerade nicht, da amerikanische Behörden, insbesondere Geheimdienste, auf diese Daten zugreifen und sie verwenden dürfen, ohne dass dieser Zugriff verhältnismäßig oder auf das notwendige Maß beschränkt wäre, EU-Bürger davon geschützt wären (wie es bspw. US-Bürger sind) oder diesen zumindest ein wirksamer Rechtsbehelf zur Verfügung stehen würde.
Damit sind nach Ansicht des EuGH insbesondere die bislang bekannten Überwachungsprogramme PRISM und UPSTREAM gemeint. Im Rahmen des PRISM-Programms sind Internetdienstanbieter bspw. verpflichtet, der NSA sämtliche Nachrichten an und von einem "Selektor" zu übermitteln, von denen einige auch an das FBI und die CIA weitergeleitet werden können. Im Rahmen des Programms UPSTREAM sind die Telekommunikationsunternehmen, die das "Backbone" des Internets - das heißt das Netz von Kabeln, Anschlüssen und Routern - betreiben, verpflichtet, der NSA das Kopieren und Filtern von Internet-Verkehrsströmen zu gestatten, um Nachrichten von, an oder über einen mit einem "Selektor" verbundenen Nicht-US-Bürger zu erhalten.
Im Rahmen dieses Programms hat die NSA Zugang sowohl zu den Metadaten als auch zum Inhalt der betreffenden Nachrichten. Zusätzlich ermöglicht die präsidiale Executive Order 12333 der NSA durch Zugang zu den Unterseekabeln auf dem Atlantikboden sowie der Möglichkeit der Erhebung solcher Daten vor ihrer Ankunft in den Vereinigten Staaten den Zugriff auf Daten, die sich "auf der Durchreise" in die USA befinden. Diese Daten unterliegen dann wiederrum PRISM und UPSTREAM. Aktivitäten, die gemäß dieser Executive Order durchgeführt werden, sind überdies überhaupt nicht durch Gesetze geregelt.
Die Gültigkeit der SCC bekräftigte der EuGH dagegen weiterhin. Gleichzeitig hält er jedoch fest, dass mangels Angemessenheitsbeschlusses die Aufsichtsbehörden der einzelnen Mitgliedsstaaten die Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten haben, wenn sie der Auffassung sind, dass die SCC nicht eingehalten werden oder nicht eingehalten werden können.
Fragliche Garantien
Theoretisch bieten daher SCC weiterhin geeignete Garantien, die eine Datenübermittlung in die USA rechtlich ermöglichen. Die großen Dienstleister wie Google oder Facebook stützen sich daher mittlerweile auf diese, um ihre (internen) Datentransfers zu rechtfertigen. Ob dies aber tatsächlich der Fall ist bzw. diese Garantien wirklich eingehalten werden können, muss jede Datenschutzbehörde selbst entscheiden. Im Lichte der Ausführungen des EuGH im Zuge der Beurteilung des Privacy Shields scheint dies jedoch mehr als fraglich. Um eine unterschiedliche Auslegung und daher verschiedene rechtliche Rahmenbedingungen in den einzelnen Mitgliedsstaaten zu verhindern, sollten sich die zuständigen Behörden daher schnell einig werden, ob SCC bei Übermittlungen in die USA noch geeignete Garantien bieten können.
Wird dies verneint, bleiben für Übermittlungen in die USA eigentlich nur mehr die Möglichkeiten des Art 49 Abs 1 DSGVO. Eine Übermittlung wäre demnach insbesondere zulässig, wenn die betroffene Person, nachdem sie ausführlich über die möglichen Risiken unterrichtet wurde, in die Datenübermittlung ausdrücklich (also bspw. nicht in AGB) eingewilligt hat oder die Übermittlung für die Erfüllung eines Vertrags mit oder im Interesse der betroffenen Person erforderlich ist. Diese Möglichkeiten sind aber kritisch zu betrachten und dürfen keinesfalls leichtfertig eingesetzt werden. Insbesondere die Einwilligung kann jederzeit widerrufen werden und bietet sich für eine dauerhafte bzw. regelmäßige Übermittlung daher kaum an. Ob und inwiefern eine Übermittlung in ein Drittland zur Vertragserfüllung tatsächlich notwendig ist, muss anhand eines sehr strengen Maßstabes in jedem Einzelfall genau geprüft werden.
Faktische Datenverarbeitung oft in den USA
Bis zu einer Entscheidung der europäischen Datenschutzbehörden hinsichtlich der grundsätzlichen Eignung von SCC zur Übermittlung von personenbezogenen Daten in die USA sollten aber zur Sicherheit trotzdem schnellstmöglich SCC abgeschlossen werden. Die oftmals fehlende Bereitschaft zum Abschluss seitens amerikanischer Dienstleister führte aber schon im Zeitraum zwischen Safe Harbour und dem Privacy Shield zu massiven Problemen im Hinblick auf den transatlantischen Datenverkehr.
Auch bei der Nutzung von Diensten, die angegeben, dass für europäische Nutzer die jeweiligen europäischen (etwa irischen) Niederlassungen verantwortlich für die Datenverarbeitung sind, ist Vorsicht geboten. Eine direkte Datenübermittlung seitens des europäischen Nutzers in die USA findet so zwar in der Theorie nicht statt, sodass europäische Nutzer vielfach auf den ersten Blick nicht unmittelbar von der Ungültigkeit des Privacy Shield Abkommens betroffen sind. Aber: Es muss jedem bewusst sein, dass viele europäische Niederlassungen im Grunde nur auf dem Papier existieren. Die faktische Datenverarbeitung wird von den US-Gesellschaften in den USA vorgenommen. Dazu bedient sich die europäische Gesellschaft der amerikanischen als Auftragsverarbeiter. Als Verantwortlicher der Datenverarbeitung können sich die europäischen Nutzer nicht einfach "abputzen" und argumentieren, dass es Sache des Dienstleisters sei, wie die Daten intern transferiert werden, sondern muss jeder Verantwortliche sicherstellen, dass auch bei den Sub-Verarbeitern, hier also die US-Gesellschaften, die datenschutzrechtlichen Grundsätze eingehalten werden. Dass dies offenbar nicht der Fall ist, wird aber spätestens durch die Entscheidung des EuGH offensichtlich.