In der vergangenen Woche wurden wir mit Fragen zu den Auswirkungen des berühmten Schrems-II-Falles auf internationale Datentransfers überhäuft, insbesondere zur Gültigkeit des Privacy Shields und der Standardvertragsklauseln. Daher haben wir den folgenden FAQ zusammengestellt, um Unternehmern und Entscheidungsträgern zu helfen, die Auswirkungen dieses Falles auf die Datenpraktiken im Unternehmen besser zu verstehen.
Was ist das Schrems II-Urteil?
Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-311/18 Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems (“Schrems II”) die Gültigkeit der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter außerhalb der EU/des EWR bestätigt und gleichzeitig das EU-US-Privacy-Shield für ungültig erklärt. Der Fall Schrems II geht auf die Entscheidung des EuGH aus dem Jahr 2015 in der Rechtssache C-362/14 Maximilian Schrems gegen Data Protection Commissioner (“Schrems I”) zurück, in der die Safe Harbor-Entscheidung zum EU-US-Datenschutz aus dem Jahr 2000 (der sogenannte “Safe Harbor”) für den internationalen Transfer personenbezogener Daten für ungültig erklärt wurde.
In Schrems II bestätigte der EuGH, dass die EU-Standardvertragsklauseln (SCCs) angemessene Garantien für den internationalen Transfer von personenbezogenen Daten darstellen. Er betonte jedoch, dass Datenexporteure, die in der Europäischen Union einen Sitz haben, nicht nur die zwischen ihnen und dem im Drittland ansässigen Datenimporteur vereinbarten internationalen Datenübermittlungsvereinbarungen auf der Grundlage der SCCs berücksichtigen müssen, sondern auch die relevanten Aspekte der Rechtsordnung des Datenimporteurs. Insbesondere geht es dabei um den etwaigen Zugriff von Behörden auf die übermittelten Daten. Kann ein im Wesentlichen gleichwertiger Schutz nicht sichergestellt werden, sind die für die Datenverarbeitung Verantwortlichen verpflichtet, solche Datenübermittlungen und gegebenenfalls auch den Vertrag mit dem Auftragsverarbeiter im Drittland zu kündigen.
Darüber hinaus vertrat der EuGH die Auffassung, dass ein anderer Datentransfermechanismus, das EU-U.S. Privacy Shield, keine ausreichenden Beschränkungen enthält, um den Schutz personenbezogener Daten aus der EU vor dem Zugriff und der Nutzung durch US-Behörden auf der Grundlage des innerstaatlichen Rechts der USA zu gewährleisten. Der EuGH hat daher den EU-US-Privacy-Shield-Beschluss für ungültig erklärt, so dass dieser ab sofort nicht mehr für EU-US-Datentransfers angewendet werden kann.
Unser Unternehmen ist nicht unter dem Privacy Shield zertifiziert. Hat die Schrems II-Entscheidung Auswirkungen auf das Unternehmen?
Wenn es sich um ein unter dem US-Privacy Shield zertifiziertes US-Unternehmen handelt, oder wenn es ein Schweizer oder EU-Unternehmen ist, das personenbezogene Daten auf der Grundlage des US-Privacy Shield an US-Unternehmen übermittelt, muss eine neue Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU und der Schweiz in die USA gefunden werden(siehe nächste Frage). Das Schrems-II-Urteil hat jedoch keine Auswirkungen auf die Übermittlungen personenbezogener Daten in die/aus den USA, wenn das Unternehmen sich auf andere Übermittlungsmechanismen verlässt (z. B. die SCC oder verbindliche Unternehmensregeln).
Sind SCCs immer noch gültig, und ist das Unternehmen abgedeckt, wenn es diese verwendet?
Nach Schrems II bleiben die Standardvertragsklauseln (SCCs) gültig. Der EuGH betonte jedoch die Anforderungen, die Unternehmen erfüllen müssen, um sich in Zukunft auf die SCCs verlassen zu können. Diese Anforderungen beinhalten die Durchführung einer Bewertung des Schutzniveaus im Zielland. Dabei müssen sowohl die zwischen dem EU-Datenexporteur und dem Nicht-EU-Datenimporteur vereinbarten Vertragsklauseln als auch die relevanten Aspekte des Rechtssystems dieses Drittlandes berücksichtigt werden.
Die Unternehmen haben sich an die Annahme gewöhnt, dass SCCs immer als Mittel verwendet werden können, um einen angemessenen Schutz für personenbezogene Daten zu gewährleisten, ohne dass zusätzliche Garantien erforderlich sind. Der EuGH stellt klar, dass dies nicht der Fall ist. Insbesondere dann, wenn ein Drittland Behörden den Zugriff auf Daten erlaubt, ist mehr erforderlich. In dieser Situation muss eine Partei, die sich auf die SCCs berufen will, das Rechtssystem des Drittlandes berücksichtigen – einschließlich der Faktoren, die bei einer Angemessenheitsentscheidung relevant sind, wie in Art. 45 (2) DSGVO beschrieben. Der EuGH weist auch darauf hin, dass diese Faktoren nicht vollständig sind. Das bedeutet, dass zusätzliche Faktoren in der Beurteilung der Angemessenheit berücksichtigt werden können. Diese Beurteilung muss vom Datenexporteur von Fall zu Fall vorgenommen werden.
Das Urteil Schrems II enthält einen kurzen Hinweis darauf, was die ergänzenden Massnahmen zu den SCCs sein könnten. Sie werden dort jedoch nicht im Detail beschrieben. Da das Kernproblem hier der potenzielle Zugriff von Behörden auf Daten ist, wird empfohlen, vor der Übermittlung technische Schutzmaßnahmen einzusetzen.
Wir arbeiten mit US-Unternehmen zusammen, die unter dem Swiss-US Privacy Shield zertifiziert sind. Was bedeutet Schrems II für unser Unternehmen?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat zuletzt eine Stellungnahme abgegeben. In dieser wird betont, dass das Swiss-US Privacy Shield weiterhin in Kraft ist, da das Urteil des EuGH nicht direkt auf die Schweiz anwendbar ist. Wie beim Safe Harbor-Urteil (Schrems I) können Unternehmen in der Schweiz weiterhin die Schweizer Version des Privacy Shields nutzen, solange diese angeboten wird. Es ist jedoch fraglich, ob das Privacy Shield nach der Entscheidung des EuGH noch lange in Kraft bleiben wird. Unternehmen sollten daher die Ankündigungen des EDÖB aufmerksam verfolgen und sich jetzt schon auf den Wechsel zu einer anderen Schutzmassnahme vorbereiten.
Wir arbeiten mit (Unter-)Auftragsverarbeitern zusammen, die unter dem EU-US Privacy Shield zertifiziert sind. Muss unser Unternehmen nun die Privacy Policy und Datenverarbeitungsvereinbarung anpassen?
Das könnte der Fall sein. Es ist üblich, dass in den Datenschutzrichtlinien etwas in der Art von “Wir können Auftragsverarbeiter verwenden, die unter dem EU-US Privacy Shield zertifiziert sind, das angemessene und geeignete Garantien zur Einhaltung der DSGVO gemäss der Entscheidung der EU-Kommission vom 12. Juli 2016 (C(2016) 4176) festlegt.” steht. Das Unternehmen sollte in Betracht ziehen, dies nach Rücksprache mit den Auftragsverarbeitern anzupassen. Damit kann das Unternehmen sicherstellen, dass diese Auftragsverarbeiter tatsächlich auf einen anderen Schutzmechanismus als das Privacy Shield umgestellt haben.
Zum Beispiel ist folgende Formulierung ratsam: “Wir ergreifen alle angemessenen Massnahmen, um sicherzustellen, dass keine Übermittlung Ihrer personenbezogenen Daten an eine Organisation oder ein Land erfolgt, wenn keine angemessenen Kontrollen vorhanden sind. Insbesondere für Übermittlungen von personenbezogenen Daten ausserhalb des EWR stellen Verträge, die die EU-Standardvertragsklauseln gemäß den Entscheidungen der EU-Kommission vom 27. Dezember 2004 (2004/915/EG) und 05. Februar 2010 (K(2010)593) enthalten, angemessene und geeignete Garantien dar, um die Einhaltung der DSGVO zu gewährleisten.”
In der Datenverarbeitungsvereinbarung des Unternehmens sollte der Abschnitt über internationale Datentransfers angepasst werden, um das Privacy Shield auszuschliessen. Zusätzlich sollte geprüft werden, ob das Unternehmen zusätzliche SCCs unterzeichnen muss, um Datentransfers in die USA abzudecken.