Mit seinem Urteil in der Rechtssache C-311/18 (Schrems II) hat der EuGH festgehalten, dass allein die Implementierung von Standarddatenschutzklauseln oder auch anderer vertraglicher Garantien im Sinne von Artikel 46 DS-GVO (z.B. sog. Binding Corporate Rules) nicht ausreicht, um sicher zu sein, dass die Anforderungen von Kapitel V DS-GVO vollständig eingehalten werden. Es ist vielmehr in jedem konkreten Transferszenario zu untersuchen, ob der Datenimporteur auch in der Lage ist, seinen vertraglichen Pflichten nachzukommen. Ist dies nicht der Fall, müssen zusätzliche Maßnahmen getroffen werden, die sicherstellen, dass das vereinbarte Datenschutzniveau (unabhängig davon, welche der in Kapitel V DS-GVO vorgesehenen Übermittlungsgrundlagen konkret verwendet wird) auch tatsächlich eingehalten werden kann. Ist dies auch durch zusätzliche Maßnahmen nicht zu erreichen, muss der Transfer unterbleiben. Zur Durchführung dieser Prüfung empfiehlt der HBDI folgendes Vorgehen:
I. Identifikation von Drittstaatentransfers
1. In einem ersten Schritt ist zu prüfen, ob die konkrete Datenverarbeitung (zum Beispiel der Einsatz eines Videokonferenzsystems) mit dem Transfer personenbezogener Daten in Drittstaaten im Sinne des Kapitel V DS-GVO einhergeht. Wird ein Dienstleister für die Verarbeitung eingeschaltet, sollte sich dies aus den Vertragsunterlagen ergeben.
2. Wenn Verantwortliche/Auftragsverarbeiter hierzu keine Aussagen finden oder unsicher sind, sollten sie bei ihrem Dienstleister nachfragen und sich schriftlich erklären lassen, ob und wenn ja welche personenbezogenen Daten von einem Drittstaatentransfer betroffen sind.
3. Kommen Verantwortliche/Auftragsverarbeiter zu dem Ergebnis, dass die von ihnen geprüfte Verarbeitung ohne Transfers personenbezogener Daten in Drittländer auskommt, ist die Prüfung hier zunächst beendet. Da sich die Gegebenheiten zukünftig ändern können, sollten sich Verantwortliche/Auftragsverarbeiter allerdings in regelmäßigen Abständen vergewissern, dass ihre Feststellung weiterhin zutrifft. Auch dies sollte schriftlich dokumentiert werden.
II. Identifikation der genutzten Übermittlungsgrundlage
1. Wenn Verantwortliche/Auftragsverarbeiter im ersten Schritt festgestellt haben, dass die von ihnen geprüfte Verarbeitung mit Übermittlungen personenbezogener Daten in einen oder mehrere Drittstaaten einhergeht, müssen sie in einem zweiten Schritt prüfen, welche der in Kapitel V DSGVO aufgeführten und vorgesehenen Übermittlungsgrundlagen Sie oder der Dienstleister verwenden. Auch dies sollte sich aus den Unterlagen des Dienstleisters ergeben oder bei diesem erfragt werden.
2. Wenn die Europäische Kommission das Datenschutzniveau in dem Drittland, der Region oder dem Sektor, wohin der Verantwortliche/Auftragsverarbeiter personenbezogene Daten übermittelt, bereits durch einen ihrer Angemessenheitsbeschlüsse für angemessen erklärt hat, ist die Prüfung zunächst beendet. Allerdings muss auch hier von Zeit zu Zeit überprüft werden, ob eine Veränderung der Gegebenheiten ein weiteres Tätigwerden erforderlich macht. So können etwa andere Drittstaaten hinzutreten, Angemessenheitsbeschlüsse wegfallen oder hinzukommen.
3. Liegt kein Angemessenheitsbeschluss vor, müssen Verantwortliche/Auftragsverarbeiter für regelmäßige und wiederkehrende Übermittlungen in der Regel Standarddatenschutzklauseln der Europäischen Kommission oder eine der anderen in Art. 46 DS-GVO aufgeführten Übermittlungsgrundlagen verwenden.
4. Wenn die Verarbeitung nur ausnahmsweise zu nicht wiederkehrenden Übermittlungen personenbezogener Daten in Drittstaaten führt, besteht unter Umständen die Möglichkeit, den Datentransfer auf eine der Ausnahmeregelungen des Art. 49 DS-GVO zu stützen.
III. Prüfung, ob das Recht des Drittstaats verhindert, dass die Verpflichtungen des Empfängers eingehalten werden können
1. Mit der Auswahl einer der in Art. 46 DS-GVO vorgesehenen Übermittlungsgrundlagen ist es noch nicht getan. Die jeweilige Grundlage für die Übermittlung muss auch gewährleisten, dass das durch die DS-GVO verbürgte Schutzniveau nicht durch die Übermittlung unterschritten wird. Mit anderen Worten: Die Grundlage für die Übermittlung, die der Datenexporteur auswählt, muss auch tatsächlich effektiv sein. Damit ist gemeint, dass die übermittelten personenbezogenen Daten ein Schutzniveau genießen, das dem im EWR garantierten Niveau der Sache nach gleichwertig ist. Dies ist nicht der Fall, wenn der Datenimporteur wegen den Rechtsvorschriften und der Praxis, die im Drittland für die Übermittlung gelten, daran gehindert ist, seine Verpflichtungen, die sich aus der ausgewählten Übermittlungsgrundlage ergeben, einzuhalten.
2. Für die USA hat der EuGH z.B. entschieden, dass etwa Section 702 des US-amerikanischen FISA (Foreign Intelligence Surveillance Act) keine Garantien beinhaltet, die sicherstellen, dass sich die hierdurch erfolgten Eingriffe in die Rechte der Betroffenen auf das absolut Notwendige beschränken und den Grundsatz der Verhältnismäßigkeit wahren. Zudem stellt das Gericht fest, dass für Betroffene solcher Maßnahmen keinerlei gerichtlicher Rechtsschutz besteht. FISA 702 richtet sich an „electronic communication service provider“. Werden diese also mit einem Herausgabeverlangen von US-Behörden konfrontiert, können sie nicht gleichzeitig die Anforderungen des US-Rechts erfüllen und den Verpflichtungen gegenüber dem Verantwortlichen/Auftragsverarbeiter nachkommen.
3. Bei der Prüfung, ob das Recht des Drittstaats verhindert, dass die Verpflichtungen des Empfängers eingehalten werden können, sollten die vom EuGH in der Rechtssache C-311/18 (Schrems II) aufgestellten Grundsätze beachtet werden. Darüber hinaus können aber auch Vorschriften in anderen Rechtsbereichen dazu führen, dass Dienstleister gehindert sind, ihre Verpflichtungen gegenüber dem Datenexporteur einzuhalten.
IV. Wenn die Rechtslage im Drittstaat die Einhaltung der Vereinbarungen in der verwendeten Übermittlungsgrundlage behindert: Prüfung und Implementierung von zusätzlichen Maßnahmen
1. Wenn Verantwortliche/Auftragsverarbeiter im Rahmen ihrer Prüfung zu dem Ergebnis kommen, dass die eingesetzte Übermittlungsgrundlage für sich allein genommen keinen ausreichenden Schutz der übermittelten personenbezogenen Daten im Drittstaat gewährleistet, der Datentransfer aber gleichwohl unumgänglich erscheint, müssen Verantwortliche/Auftragsverarbeiter prüfen, ob es möglich ist, die unter III. identifizierten Probleme durch das Ergreifen zusätzlicher Schutzmaßnahmen zu heilen.
2. Der Europäische Datenschutzausschuss hat hierzu HandlungsempfehlungenÖffnet sich in einem neuen Fenster veröffentlicht.
V. Ggfs. Genehmigung der Aufsichtsbehörde einholen
Sofern Sie in Schritt II. eine Übermittlungsgrundlage nach Art. 46 Absatz 3 DS-GVO, Art. 47 DS-GVO identifiziert haben, bedarf die Nutzung dieser Übermittlungsgrundlage der Genehmigung der zuständigen Aufsichtsbehörde.
VI. Evaluierung der Schritte I.-V. in angemessenen Intervallen
Die zuvor genannten Prüfschritte sollten in regelmäßigen Intervallen (etwa alle 6 Monate) oder wenn hierzu Anlass besteht, wiederholt werden.
Stand: 22.06.2021