Von Dipl.-Jur. Florian Werkmeister
Werden personenbezogene Daten in sogenannte unsichere Drittländer – wie zum Beispiel derzeit die USA – ohne eine ausdrückliche Einwilligung i.S.d. Art. 49 Abs. 1 lit. a DSGVO übermittelt, benötigen Unternehmen für eine datenschutzkonforme Übermittlung regelmäßig Standarddatenschutzklauseln („SCC“). Diese stellen im Sinne des Art. 46 Abs. 2 lit. c und lit. d DSGVO „geeignete Garantien“ dar, ohne dass es einer besonderen Genehmigung einer Aufsichtsbehörde bedarf. Recht neu in diesem Zusammenhang ist, dass mit Beschluss der EU-Kommission vom 4. Juni 2021 (Beschluss 2021/914/EU) auch eine sogenannte „TIA“ (Transfer Impact Assessment) erstellt und dokumentiert werden muss. Die EU-Kommission reagierte damit auf das Schrems-II-Urteil des EuGH vom 16. Juli 2020. Die Pflicht für die Durchführung eines solchen TIA gilt bereits seit dem 27. Dezember 2022.
Die USA als unsicheres Drittland
Da durch das Schrems-II-Urteil das EU-US Privacy-Shield-Abkommen für ungültig erklärt wurde, sind die USA als unsicheres Drittland einzustufen. Die Pflicht zur Erstellung einer TIA trifft also unter anderem alle Unternehmen, die personenbezogene Daten in die USA übermitteln und diese Datenübermittlung nicht auf Grundlage einer – jederzeit widerrufbaren – ausdrücklichen Einwilligung durchführen wollen. Die Einholung einer solchen Einwilligung dürfte indes in den meisten Fällen zumindest logistisch unmöglich sein. Die Übermittlung von Daten zu US-amerikanischen Tochterunternehmen löst zudem ebenfalls regelmäßig diese Pflicht aus.
TIA als Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus
Im Kern handelt es sich bei der Durchführung eines TIA um eine einzelfallabhängige Bewertung des Sicherheitsniveaus des Drittlandes in Bezug auf die zu übermittelnden Daten. Der europäische Gesetzgeber möchte sicherstellen, dass ein angemessenes Datenschutzniveau im Drittland gewährleistet wird und der Datenschutz nicht durch nationale Gesetze, Verordnungen oder Gepflogenheiten „untergraben“ wird.
Artikel 14 lit. b) Nr. ii) SCC enthält für diese Beurteilung einen nicht abschließenden Katalog an Bewertungskriterien. Dazu gehören die Rechtslage und Gepflogenheiten des Drittlandes, die entsprechende Eintrittswahrscheinlichkeit eines behördlichen Zugriffs sowie die Kategorien der übermittelten personenbezogenen Daten. Bei der Risikoabschätzung sind auch bisherige praktische Erfahrungen im Hinblick auf behördliche Ersuchen zur Offenlegung von Daten (oder das Ausbleiben solcher Ersuchen) zu berücksichtigen. Erforderlich ist eine sorgfältige Auseinandersetzung mit der Sach- und Rechtslage, insbesondere den konkreten Umständen der Übermittlung, den Gesetzen und Praktiken im Drittland sowie den vorgesehenen vertraglichen, technischen oder organisatorischen Schutzmaßnahmen.
Schadensersatz und Bußgeld als Folgen der Nichteinhaltung
Es ist zu erwarten, dass Aufsichtsbehörden im Rahmen von Prüfungen und Audits rechtskonforme TIAs verlangen werden. Hinzu kommt, dass immer mehr Unternehmen, welche sich interne Compliance-Regelungen auferlegt haben, von Ihren Dienstleistern die Vorlage von TIA verlangen. Verletzungen der Pflicht zur Erstellung und Dokumentation einer TIA stellen gleichzeitig einen Verstoß gegen die DSGVO dar. Verstöße sind nach Art. 83 Abs. 5 lit. c) bußgeldbewährt. Die Dokumentation zur TIA ist zudem auf Anfrage der Aufsichtsbehörden zur Verfügung zu stellen. In diesem Zusammenhang musste bereits ein norwegisches Unternehmen knapp 500.000 € Bußgeld zahlen, welches ohne eine TIA personenbezogene Daten in ein Drittland übermittelte.
Vorteile einer TIA und der neuen SCC
Die Durchführung der TIA bietet – wie vom Gesetzgeber gewollt – Anlass zur Gelegenheit, sich im Falle einer Drittlandübermittlung noch einmal strukturiert mit dem internen Datenschutz auseinander zu setzen. Die TIA bietetein wirksames Instrument zur Evaluierung des Ist-Zustandes. Gleichzeitig bietet die TIA die Möglichkeit, festgestellte Defizite durch die Einführung ergänzender Sicherheitsmaßnahmen zu beheben. Hierzu stehen zahlreiche vertragliche, technische und organisatorische Schutzmaßnahmen zur Verfügung, die in vielen Fällen eine datenschutzkonforme Drittlandübermittlung ermöglichen.
Des Weiteren bieten die neuen Standarddatenschutzklauseln für Auftragsverarbeitungsverhältnisse den großen Vorteil, dass nun kein gesonderter Auftragsverarbeitungsvertrag (AVV) mehr erforderlich ist. Der Abschluss und die Verhandlung eines AVV, der den Anforderungen des Artikel 28 DSGVO genügt entfällt damit künftig.
Die Rechtslage für die Drittlandübermittlung in die USA
Die Durchführung der TIA gestaltet sich vor allem für die Datenübertragung in die USA als anspruchsvoll. Dort bestehen zahlreiche Eingriffsgrundlagen und geheimdienstliche Überwachungsmaßnahmen, denen nicht immer effektive Informationsrechte und Rechtsschutzmöglichkeiten gegenüberstehen. Dies muss im Rahmen der TIA berücksichtigt und umfassend einzelfallabhängig gewürdigt werden. Eine wichtige Prüfung im Rahmen der TIA ist daher die Frage, mit welcher Wahrscheinlichkeit und Eingriffsintensität die übermittelten Daten Ziel von Maßnahmen sind und sein können.
Als wichtigste Eingriffsgrundlage ist hier insbesondere Section 702 des Foreign Intelligence Act (FISA) zu nennen. Die Norm bildet die Rechtsgrundlage für weitreichende Eingriffsbefugnisse gegenüber Anbietern von sogenannten elektronischen Kommunikationsdiensten („electronic communication service provider“).
Zugriffsrechte US-amerikanischer Behörden als Grundlage der Risikoanalyse
Stark vereinfacht begründen FISA 702, E.O. 12.333, and PPD 28 umfassende Auskunftsrechte US-amerikanischer Behörden und Gerichte. Diese liegen beispielsweise dann vor, wenn für eine strafrechtliche Untersuchung Beweismittel erforderlich sind, die Daten für die Spionageabwehr bzw. nationale Sicherheit relevant sein können oder die Einhaltung zivilrechtlicher Normen in bestimmten Branchen überwacht werden soll. Begleitet werden die Auskunftspflichten von zahlreichen Aufbewahrungspflichten, die dazu dienen, den Behörden die tatsächliche Möglichkeit zu verschaffen, die benötigten Daten auf dem allgemeinen Rechtsweg zu erhalten.
Eingeschränkt werden die Eingriffsrechte durch den Privacy Act und den vierten Zusatz zur US-Verfassung. Verboten sind beispielswese „unangemessene“ Durchsuchungen und Beschlagnahmen. Wann eine Durchsuchung „unangemessen“ sein könnte, bleibt jedoch größtenteils unbestimmt.
Zu berücksichtigen ist, dass der CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) von 2018 den Adressatenkreis von US-amerikanischen Eingriffsbefugnissen in besonderer Weise erweitert. Danach sind amerikanische Unternehmen auch dann verpflichtet, US-Behörden Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung außerhalb der USA erfolgt.
Das Trans-Atlantic-Data-Privacy-Framework und der neue Angemessenheitsbeschluss
Als Nachfolger des Privacy Shields wird derzeit das Trans-Atlantic-Data-Privacy-Framework zwischen den USA und der Europäischen Union ausgehandelt. In einem Beschlussentwurf der Europäischen Kommission wird den USA in diesem Zusammenhang ein angemessenes Schutzniveau für personenbezogene Daten bescheinigt, nachdem die USA im Oktober 2022 in einem Dekret (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities) bereits strengere Regeln für Eingriffe durch US-Behörden und Rechtsschutzmöglichkeiten von Betroffenen zugestanden haben. So soll zum Beispiel die Einführung eines Data Protection Review Court (DPRC), bestehend aus drei Richtern und zahlreiche einschränkende Garantien in Bezug auf Eingriffsrechte von US-Behörden die datenschutzrechtlichen Bedenken des EuGH ausräumen. US-Unternehmen sollen soll sich zudem dem Framework EU-USA anschließen können, indem sie sich selbst zur Einhaltung von bestimmten Datenschutzrechten verpflichten. Der Angemessenheitsbeschluss hätte zur Folge, dass personenbezogene Daten aus der EU in die USA übermittelt werden könnten, ohne dass es weiterer Schutzmaßnahmen bedürfte.
Es bleibt allerdings abzuwarten, ob und wann mit einem Angemessenheitsbeschluss zu rechnen ist und ob ein solcher einer gerichtlichen Kontrolle vor dem EuGH standhalten wird.
Können wir Ihnen weiterhelfen?
Wir unterstützen Sie bei der Gestaltung und Nutzung von Standarddatenschutzverträgen ebenso wie bei der Ausarbeitung und Formulierung von TIAs. Sprechen Sie uns gerne an! Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.