23
Jul
2020
Dr. Christian Tinnefeld
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
& Dr. Christian Tinnefeld

„Schrems II“-Urteil: Übersicht zu Positionierungen der Aufsichtsbehörden

Der Europäische Gerichtshof (EuGH) hat in der vergangenen Woche für einen Paukenschlag gesorgt, als er mit seiner „Schrems-II“ Entscheidung vom 16. Juli 2020 (Rechtssache C-311/18) den Privacy Shield-Beschluss für ungültig erklärt hat. Das Urteil wirft insbesondere mit Blick auf Datenübermittlungen in die USA eine Reihe von Fragen auf und stellt Unternehmen bei der Ausgestaltung ihrer internationalen Datentransfers vor erhebliche Herausforderungen. Da der EuGH die Aufsichtsbehörden berufen hat, die Einhaltung der vom EuGH festgestellten Grundsätze durchzusetzen, sollten Unternehmen die Positionierungen der Aufsichtsbehörden und öffentlichen Stellen beobachten. Wir helfen mit einem Überblick über die bereits veröffentlichten Behördenpositionen.

Hinweis: Dieser Beitrag wurde zuletzt aktualisiert am 26. August 2020 (Ergänzung neuer Stellungnahmen).

Stellungnahmen der deutschen Aufsichtsbehörden

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einer Pressemitteilung vom 28.07.2020 erstmalig zur einheitlichen Umsetzung des Schrems II-Urteils durch die deutschen Datenschutzbehörden Stellung bezogen. Dabei stellt sie klar, dass Drittlandtransfers auf Grundlage des Privacy Shields unverzüglich einzustellen sind. Eine Schonfrist gilt nicht. Gleichzeitig sind Drittlandtransfers auf Grundlage von Standardvertragsklauseln, vorbehaltlich einer Einzelfallprüfung, weiterhin möglich. Bei Übermittlungen in die USA sind jedoch grundsätzlich zusätzliche Schutzmaßnahmen zu treffen. Die Verwendung von Standardvertragsklauseln zur Legitimierung des Transfers in die USA ist ohne derartige Schutzmaßnahmen in aller Regel nicht ausreichend. Darüber hinaus sind die Erwägungen, die der EuGH zu dem Privacy Shield und den Standardvertragsklauseln angestellt hat, auch auf andere Garantien im Sinne des Art. 46 DSGVO anwendbar, insbesondere auf verbindliche interne Datenschutzvorschriften nach Art. 47 DSGVO. Wird der Drittlandtransfer auf diese gestützt, hat auch hier eine Prüfung des Schutzniveaus im Zielland zu erfolgen, und bei Übermittlungen in die USA sind entsprechend zusätzliche Schutzmaßnahmen zu treffen.

Neben der DSK haben sich auch einzelne Aufsichtsbehörden zu der Entscheidung des EuGH geäußert, darunter die Datenschutzbehörden aus Berlin, Hamburg, Nordrhein-Westfalen, Rheinland-Pfalz, Baden-Württemberg und Thüringen. Trotz Festlegung der Verwaltungspraxis durch die DSK sollten auch diese Positionierungen berücksichtigt werden, da sie wertvolle Hinweise auf die künftigen Maßnahmen der jeweiligen Behörde liefern. Die Stellungnahmen der einzelnen Behörden zeigen sich durchaus heterogen: Erste Äußerungen reichen von gemäßigten und vorsichtigen Einschätzungen bis zur Prophezeiung eines Paradigmenwechsels für internationale Datenübermittlungen und einer generellen Unzulässigkeit von Datentransfers in die USA. Eine umfassende Übersicht der veröffentlichten behördlichen Stellungnahmen unter Zusammenfassung der Kernaussagen finden Sie in der nachfolgend verlinkten Übersicht. Wir werden diese laufend aktualisieren und um künftig veröffentlichte Stellungnahmen ergänzen:

Stellungnahmen anderer europäischer Datenschutzbehörden

Eine Übersicht zu den Stellungnahmen der einzelnen europäischen Datenschutzbehörden stellen wir zudem im folgenden Beitrag zur Verfügung (Englisch):

Auf europäischer Ebene hat der Europäische Datenschutzausschuss (Ausschuss) eine Woche nach seiner ersten Stellungnahme vom 17. Juli 2020 nun am 24. Juli 2020 FAQ zum „Schrems II“-Urteil veröffentlicht, um eine erste Hilfestellung zur Umsetzung der Anforderungen des Urteils zu bieten. Darin betont auch der Ausschuss, dass Übermittlungen auf Grundlage des Privacy Shields unverzüglich einzustellen sind. Zudem haben die datenschutzrechtlich Verantwortlichen künftig die Pflicht, Übermittlungen in die USA oder andere Drittländer auf Grundlage von Standardvertragsklauseln oder weiteren Garantien, wie z.B. verbindlichen internen Datenschutzvorschriften, im Einzelfall hinsichtlich eines angemessenen Datenschutzniveaus zu prüfen. Je nach Prüfungsergebnis sind gegebenenfalls zusätzliche Schutzmaßnahmen zu treffen oder der Transfer einzustellen. Der Ausschuss macht keine Angaben dazu welche konkreten Schutzmaßnahmen in Betracht kommen, kündigt aber künftige Orientierungshilfen diesbezüglich an.

Hervorzuheben ist, dass der Ausschuss eine Pflicht des Verantwortlich zur Meldung des Drittlandtransfers an die zuständige Aufsichtsbehörde für den Fall vorsieht, dass der Transfer trotz mangelnder Garantien fortgesetzt wird. Sollte sich zudem herausstellen, dass ein eingesetzter Dienstleister die verarbeiteten Daten an einen Unter-Beauftragten in den USA oder einem anderen Drittland weiterleitet und für diesen Transfer kein angemessenes Schutzniveau hergestellt werden kann, ist der Verantwortliche nach Sicht der Behörden verpflichtet mit seinem Dienstleister eine Vertragsergänzung zu vereinbaren, die den Drittlandtransfer untersagt. Unternehmen sind angehalten, die erforderlichen Maßnahmen jetzt einzuleiten und vorzunehmen. Eine Übergangsfrist besteht dem Ausschuss nach nicht.

Stellungnahme des Europäischen Datenschutzbeauftragten

In diesem Sinne lohnt sich auch ein Blick auf die erste Stellungnahme vom 17. Juli 2020 des Europäischen Datenschutzbeauftragten, zu dessen Aufgabenbereich die Koordinierung der einheitlichen Umsetzung des Datenschutzes innerhalb der EU zählt. Der Europäische Datenschutzbeauftragte äußerte sich zuversichtlich, dass die USA alle erdenklichen Anstrengungen und Mittel bemühen werden, um einen rechtlichen Rahmen zu schaffen, der den vom EuGH aufgestellten Anforderungen entspricht. Zudem betont auch er die Pflichten der Verantwortlichen und Aufsichtsbehörden zur Prüfung des Vorliegens eines gleichwertigen Schutzniveaus bei der Nutzung von Standardvertragsklauseln.

Stellungnahmen aus der Politik

Das Urteil des EuGH hat zweifellos auch eine weitreichende politische Dimension. Der EU-US Privacy Shield entstammte einer Zusammenarbeit zwischen dem U.S. Handelsministerium und der Europäischen Kommission. Ebenso gründen sich die Standardvertragsklauseln sich als geeignete Garantien i.S.d. Art. 46 Abs. 1 DSGVO auf einen Beschluss der Europäischen Kommission.

Die Europäische Kommission hat in Reaktion auf die Entscheidung des EuGH in einer ersten Stellungnahme am 16. Juli 2020 angekündigt, ihre unmittelbaren Bemühungen darauf zu stützen, ein angemessenes Datenschutzniveau bei transatlantischen Datentransfers sicherzustellen. Dabei sollen vor allem die Standardvertragsklauseln schnellstmöglich überarbeitet und an die Anforderungen des Urteils angepasst werden. Zudem solle die Zusammenarbeit mit amerikanischen Behörden gestärkt werden.

Für das Fortführen der gemeinsamen Kooperation hat sich zwischenzeitlich auch das U.S. Handelsministerium in seiner Stellungnahme vom 16. Juli 2020 ausgesprochen. Weiterhin stellte das Ministerium klar, dass das Urteil des EuGH solche Unternehmen, die nach dem EU-US Privacy Shield zertifiziert sind, nicht von ihren Pflichten entbindet. Unternehmen sollen sogar nach wie vor die Möglichkeit haben, sich unter dem EU-US Privacy Shield zertifizieren zu lassen.

 Ausblick

Die nächsten Wochen und Monate werden wegweisend für die Ausgestaltung internationaler Datentransfers in den kommenden Jahren sein. Unternehmen sind daher angehalten, die Entwicklung der Diskussion weiter zu verfolgen, um ihre internationalen Datentransfers schnellstmöglich in Einklang mit den Vorgaben der Aufsichtsbehörden datenschutzkonform ausgestalten zu können und verwaltungsbehördliche Verfahren sowie Sanktionen möglichst zu verhindern.

Wir danken unserem wissenschaftlichen Mitarbeiter Timm Smid für seine Unterstützung bei der Erstellung dieses Artikels.