Schrems II Urteil vom 16. Juli 2020 – Jetzt prüfen die Datenschutzaufsichtsbehörden
Mit einer Fragebogenaktion überprüfen die Datenschutzaufsichtsbehörden länderübergreifend die Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18, „Schrems II“) in Unternehmen.
Seit 2016 bildete das „Privacy Shield“ (EU-US-Datenschutzschild) die Grundlage für die Übermittlung von personenbezogenen Daten von EU-Bürgern in die Vereinigten Staaten von Amerika. Der EuGH kam im Jahr 2020 jedoch zu dem Schluss, dass das „[…] US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist.“ (vgl. Pressemitteilung der Datenschutzkonferenz DSK zu Schrems II vom 28.07.2020) Die nachrichtendienstlichen Erhebungsbefugnisse, die in den USA gelten, stehen den Anforderungen an den Schutz personenbezogener Daten, die sich in Europa aus der Datenschutz-Grundverordnung (DSGVO) ergeben, entgegen.
Mit seiner Entscheidung vom 16. Juli 2020 hat das Gericht das EU-US-Privacy Shield für ungültig erklärt. Treibende Kraft hinter dem EuGH-Verfahren ist der österreichische Jurist und Datenschutzaktivist Maximilian Schrems. Das Privacy Shield trat als Nachfolgeregelung für das „Safe Harbor“-Abkommen in Kraft, welches wiederum durch die Schrems I Entscheidung im Jahr 2015 für ungültig erklärt worden war. Durch das Schrems II Urteil soll nun der Datenschutz für EU-Bürger beim Datentransfer in die USA und andere Drittländer weiter gestärkt werden.
Folgen der Schrems II Entscheidung für Unternehmen
Für Unternehmen in Deutschland und Europa hat das Schrems II Urteil weitreichende Folgen, denn: Auch wenn viele Unternehmen gar nicht beabsichtigen, personenbezogene Daten in die USA und andere Länder außerhalb des Europäischen Wirtschaftsraums zu übermitteln, so kann dieser Fall bereits durch die Nutzung bestimmter E-Mail-Dienste, Programme oder Cloud-Server gegeben sein. Dementsprechend ist die mutmaßliche Anzahl der betroffenen Unternehmen hoch.
Die Datenschutzaufsichtsbehörden sind sich dieser Problematik bei der praktischen Anwendung des Schrems II Urteils bewusst. Die stichprobenartige Kontrolle von Unternehmen zielt zwar in erster Linie darauf ab, die Durchsetzung der Schrems II Entscheidung in der Praxis seit Juli 2020 zu überprüfen und unzulässige Transfers zu unterbinden. Durch die Fragebogenaktion sollen aber auch Lösungen für die Unternehmen in Zusammenarbeit mit den Behörden aufgezeigt und Fehler zukünftig verhindert werden. Auch Verständnisfragen seitens der Unternehmen können gegebenenfalls im Rahmen des Prüfungsverfahrens geklärt werden.
Kontrolle der Schrems II Entscheidung: Fragenkatalog zum Einsatz von externen Dienstleistern
Die teilnehmenden Datenschutzaufsichtsbehörden schreiben die ausgewählten Unternehmen in einer koordinierten Aktion an. Dabei liegt der Fokus der Befragung auf dem Einsatz von externen Dienstleistern in den folgenden Bereichen:
- beim E-Mail-Versand,
- beim Hosting von Webseiten,
- beim Webtracking,
- bei der Verwaltung von Bewerberdaten und
- beim unternehmensinternen Austausch von Daten über Kunden und Mitarbeiter.
Bei der Prüfung entscheidet jede Datenschutzaufsichtsbehörde individuell, in welchen dieser fünf Themenfeldern sie tätig werden wird. Die Länge der jeweiligen Fragebögen variiert – von fünf Seiten bis zu zehn Seiten. Neben ja/nein-Antworten und vorgegebenen Antwortmöglichkeiten werden von den Unternehmen auch Erläuterungen in Textform sowie ergänzende Unterlagen gefordert.
Fazit: Was müssen Unternehmen jetzt tun?
Die fünf Fragebögen stehen auf der Website des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit als PDF zum Download bereit. Anhand der Fragestellungen können sich auch Unternehmen, die nicht im Rahmen der Kontrolle angeschrieben werden, ein Bild von den Problembereichen machen und eigene interne Überprüfungen anstoßen. Häufig gestellte Fragen (FAQs) und Antworten zum Schrems II Urteil hat das European Data Protection Board bereits im Jahr 2020 auf seiner Website in einer Übersicht zur Verfügung gestellt.
In vielen Fällen erfordert das Schrems II Urteil eine Umstellung der bisherigen Geschäftsmodelle und -abläufe in Unternehmen. Die Standardvertragsklauseln der EU-Kommission (2010/87/EU) bei der Übermittlung personenbezogener Daten in Drittländer waren zwar auch nach dem Schrems II Urteil weiterhin gültig. Bietet der Empfängerstaat für diese Daten jedoch kein gleichwertiges Schutzniveau, können die sog. Standarddatenschutzklauseln nur noch in Verbindung mit wirksamen zusätzlichen Maßnahmen eingesetzt werden. In Drittländer, für die ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten existiert, können Daten dagegen ohne weitere Genehmigungen übermittelt werden, wenn die sonstigen Anforderungen der DSGVO eingehalten werden.
Neue Standardvertragsklauseln (SCCs) seit dem 4. Juni 2021: Nach ersten Entwürfen im November 2020 hat die EU-Kommission am 4. Juni 2021 neue Standardvertragsklauseln für internationale Datentransfers (SCC for international transfers) und Standardvertragsklauseln zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern (SCC for controllers and processors in the EU/EEA) angenommen. In diesen Klauseln sind die Vorgaben aus der Schrems II Entscheidung und die Anforderungen der DSGVO aufgenommen. Damit gibt die EU-Kommission Unternehmen in Europa neue „benutzerfreundliche“ Instrumente für mehr Rechtssicherheit an die Hand. Die modernisierten EU-Standard-Datenschutzklauseln sollen zudem insbesondere kleinen und mittleren Unternehmen helfen, die Anforderungen für einen sicheren Datentransfer zu erfüllen (vgl. Stellungnahme der Deutschland-Vertretung der EU-Kommission). Um dies beurteilen und zusichern zu können, müssen die Parteien eine Datentransfer-Folgenabschätzung durchführen.
Zusammenfassend stellt die Schrems II Entscheidung zahlreiche Unternehmen vor Probleme im Bereich Datenschutz. Die Fragebogenaktion zu Schrems II ist vorrangig ein Kontrollinstrument, aber auch ein Mittel, mit dem die Behörden mit den Unternehmen in einen Dialog eintreten und für Problembereiche sensibilisieren können. Und die neuen EU-Standard-Datenschutzklauseln tragen dem Umstand Rechnung, dass das Schrems II Urteil sowie die DSGVO letztlich in der Unternehmenspraxis auch gut umsetzbar sein müssen.