Der Europäische Gerichtshof hat mit dem Beschluss (EU) C-311/18 ein wichtiges Urteil zum Thema Datenexport in das Nicht-EU-Ausland gefällt. Das Urteil hat verschiedene Auswirkungen, die in den Wochen nach dem Urteil umfangreich diskutiert und herausgearbeitet wurden. Die deutschen Aufsichtsbehörden haben verschiedene Orientierungshilfen/Checklisten veröffentlicht.
EU-US-Privacy-Shield
Das Datenschutz-Abkommen mit den USA ist vom EuGH für ungültig erklärt worden und dieses stellt keine gültige Rechtsgrundlage mehr für den Export personenbezogener Daten in die USA dar.
Somit ist z. B. der Einsatz von IT-Dienstleistern, mit dem eine Übermittlung von personenbezogenen Daten in die USA verbunden ist, unzulässig, wenn als einzige „rechtliche“ Garantie der Dienstleister dem EU-US-Privacy-Shield beigetreten ist.
Gleiches gilt für Subunternehmerketten, in denen erst in zweiter oder dritter Reihe US-Unternehmen eingesetzt werden.
Die Schweiz hat ein gleichlautendes Abkommen mit den USA ebenfalls für unwirksam erklärt.
EU-Standarddatenschutzklauseln
Die einschlägige Alternativ ist der Abschluss einer Vereinbarung mit den EU-Standarddatenschutzklauseln zwischen Verantwortlichem und dem Dienstleister.
Der EuGH hat sich in diesem Zusammenhang auch mit den EU-Standarddatenschutzklauseln beschäftigt.
Der EuGH hat darauf hingewiesen, dass auch die EU-Standarddatenschutzklauseln in Ländern mit unzureichendem Rechtsschutz keine ausreichende Rechtsgrundlage darstellen können.
Für die USA hat der EuGH klar formuliert, dass allein der Abschluss dieser Klauseln nicht ausreicht. Eine Übermittlung von Daten mithilfe der EU-Standarddatenschutzklauseln in die USA ist daher nur in eng begrenzten Fällen und mithilfe zusätzlicher Garantien möglich.
Somit ist z. B. der Einsatz von IT-Dienstleistern (z. B. Google), mit dem eine Übermittlung von personenbezogenen Daten in die USA verbunden ist, mit hoher Wahrscheinlichkeit unzulässig, wenn als einzige Rechtsgrundlage der Verantwortliche und der Dienstleister die Standarddatenschutzklauseln ohne weitere Garantien abgeschlossen haben.
Das betrifft wieder die gesamte Subunternehmerkette.
Das kann auch Leistungen betreffen, bei denen zwar eine Speicherung oder Verarbeitung innerhalb Europas versprochen wird, der Vertragspartner (inkl. Subunternehmer) aber dennoch in einem Land mit unzureichendem Rechtsschutz sitzt (z. B. USA).
Unter zusätzlichen Garantien wird z. B. der Einsatz weiterer Schutzmaßnahmen wie eine Ende-zu-Ende-Verschlüsselung verstanden. Diese Garantien sind unter Prüfung und Beachtung des jeweiligen Einzelfalls zu bestimmen und im Sinn der Rechenschaftspflichten (Art. 5 Abs. 2 DS-GVO) auch nachzuweisen.
Datenexport in andere nicht-EU-Staaten diesseits der USA
Der Beschluss des EuGH ist nicht nur auf die USA, sondern auf alle anderen Länder außerhalb der EU anzuwenden.
Die Grundsatzaussagen des EuGH-Urteils sind auf alle Länder außerhalb der EU übertragbar. Nach Aussagen der Aufsichtsbehörden, ist von den Verantwortlichen vor dem Export personenbezogener Daten in das nicht-EU-Ausland der Rechtsschutz in dem jeweiligen Land zu prüfen („Transfer-Impact-Assessment“ – TIA) und erforderlichenfalls die Datenverarbeitung einzustellen oder weitere Maßnahmen zu treffen.
Orientierungshilfen
Weitere Details können der inzwischen wachsenden Anzahl von Orientierungshilfen entnommen werden. Z. B. dieser hier:
Bildquellen:
- Lady Justice Statue: AA+W | stock.adobe.com