Nach dem Safe Harbor Urteil im letzten Oktober und wegen den anstehenden Änderungen durch die Datenschutz-Grundverordnung (DSGVO) herrscht beim internationalen Datentransfer zurzeit einiges an Unsicherheit. Eine Änderung ist vorerst nicht in Sicht, denn die Mechanismen zur Sicherstellung eines angemessenen Datenschutzniveaus außerhalb der EU/EWR stehen weiterhin unter Beschuss.
Der Inhalt im Überblick
Grundsätze des internationalen Datentransfers
Wie wir bereits mehrfach berichtet haben, ist die Zulässigkeit der Datenverarbeitung außerhalb der EU/EWR einer Zwei-Stufen-Prüfung zu unterziehen:
- Grundsätzliche Zulässigkeit der Datenverarbeitung (§ 4 Abs. 1 BDSG)
- Zulässigkeit der Übermittlung in das Empfängerland
Zulässigkeit der Übermittlung innerhalb der EU
Werden Daten innerhalb der EU/EWR übermittelt, ist dies unter denselben Voraussetzungen zulässig, wie Übermittlungen im Inland (§ 4b I, 4c BDSG), da europaweit die gleichen Prinzipien und damit das gleiche Datenschutzniveau herrscht.
Zulässigkeit der Übermittlungen in Drittstaaten
Problematisch wird es bei der Übermittlung in Drittstaaten. Personenbezogene Daten dürfen in solche generell nur übertragen werden, wenn ein angemessenes Datenschutzniveau vorliegt. Es gibt sichere und unsichere Drittländer. Sichere Drittländer sind jene, die über ein angemessenes Datenschutzniveau verfügen. Dieses wird durch ein sog. Angemessenheitsentscheidung der Europäischen Kommission attestiert (§ 4b II S. 2 BDSG). Dazu zählen beispielsweise Kanada (hier nur PIPEDA), Schweiz und Neuseeland.
Unsichere Drittländer sind solche, in denen kein angemessenes Datenschutzniveau herrscht. Allen voran seien hier natürlich die Vereinigten Staaten von Amerika genannt, die nicht erst seit der EuGH Entscheidung im Fall Schrems zu Safe Harbor mit kritischen Augen betrachtet werden. Damit die Übermittlungen in ein unsicheres Drittland dennoch möglich ist, muss der Betroffene in den Datentransfer einwilligen oder ein angemessenes Datenschutzniveau beim Empfänger sichergestellt werden. Dafür gibt es folgende Werkzeuge:
- Binding Corporate Rules – verbindliche konzerninterne Regelungen zum Datenschutz
- EU – U.S. Privacy Shield (Sonderfall USA)
- EU-Standardvertragsklauseln
An diesen Grundprinzipien wird sich auch nach der ab Mai 2018 geltenden Datenschutz-Grundverordnung nicht viel ändern (Art. 44 ff. DSGVO).
Europäische Kommission reagiert auf Safe Harbor Urteil
Wie nunmehr bekannt wurde, überarbeitet die Europäische Kommission – mithin die dafür zuständige Artikel 31 Gruppe – derzeit die Beschlüsse zu den EU-Standardvertragsklauseln und etwaigen Angemessenheitsentscheidungen. Dies ist im Lichte der Safe Harbor Entscheidung nicht verwunderlich, da der EuGH im Rahmen dessen die Zulässigkeit dieser Mechanismen anzweifelte und jüngst bereits erste Verfahren hiergegen angestrebt wurden.
Nachdem Ende November die Beschlüsse geleakt wurden, scheint der Prozess grundsätzlich bereits abgeschlossen zu sein. Erklärtes Ziel der Anpassung ist:
„to ensure the ‚full implementation‘ of the European Court of Justice (‚CJEU‘) judgment in Case C-362/14 Maximillian Schrems v. Data Protection Commissioner“.
Anpassungen Beschlüsse zu den EU-Standardverträgen
Die vorgeschlagenen Anpassungen der Artikel 31 Gruppe im Hinblick auf die Beschlüsse zu den EU-Standardverträgen (2001/497/EC; 2010/87/EC) halten sich in Grenzen. Hier und da wurden Artikel im Hinblick auf die Beschlüsse etwas überarbeitet (bspw. Artikel 4). Die Voraussetzungen für die Untersagung von Datentransfers werden gestrichen. Die Mitgliedstaaten werden hingegen aufgefordert, die Kommission über etwaige Untersagungen der Datenübermittlung seitens der Aufsichtsbehörden mitzuteilen.
Die EU-Standardvertragsklauseln selbst werden inhaltlich erstaunlicher Weise bis dato nicht angepasst.
Anpassungen Angemessenheitsbeschlüsse
Auch bei den Angemessenheitsbeschlüssen gibt es nur wenige Anpassungen. Neu ist Artikel 3a nach dem die EU Kommission verpflichtet wird, die Entwicklungen in den jeweiligen Drittländern im Auge zu haben und entsprechend zu reagieren.
Massive Kritik der Artikel 29 Datenschutzgruppe
Im Zuge der Beratung wurde ebenfalls die Artikel 29 Gruppe, das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, zu Rate gezogen. Der Umfang der Prüfung beschränkte sich dabei auf die EU Datenschutzrichtlinie 95/46/EG und berücksichtigte ausdrücklich nicht die DSGVO.
Die Artikel 29 Gruppe bemängelt in ihrer Stellungnahme, dass die Hinweise des EuGH in Sachen Schrems eben gerade nicht vollständig umgesetzt wurden. Die Artikel 29 Gruppe geht gar soweit, dass sie die geltenden Angemessenheitsbeschlüsse für Drittstaaten für ungültig halte, wie der Kollegedelegedata berichtet.
in seinem Blog„In order to ensure their compliance with the fundamental rights to respect for private life and protection of personal data, the Working Party 29 insists that the draft decisions on adequacy must assess whether public authorities of these third countries responsible for national security, law enforcement or other public interests do not interfere with the rights of individuals to privacy and to protection of their personal data beyond what is strictly necessary, and that there is effective legal protection against such interferences. The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/14 and could jeopardize their legal validity possibly leading to a referral to a competent Court.”
Zukunft fraglich
Die Zukunft der EU-Standardverträge und Angemessenheitsbeschlüsse bleibt daher weiterhin fraglich. Bereits im Mai 2016 wurden erste Verfahren beim EuGH zur Prüfung der Zulässigkeit der EU-Standardverträge angestrebt. Es ist daher nur noch eine Frage der Zeit, bis es hier konkrete Entscheidungen gibt.
Grundsätzlich wurden weder die derzeit geltenden Angemessenheitsbeschlüsse noch die EU-Standardverträge für unzulässig erklärt. Daher wird man davon ausgehen können, dass bislang im Einsatz befindliche EU-Standardvertragsklauseln auch weiterhin genutzt werden können. Unternehmen sollten jedoch die Entwicklungen im Auge behalten.