Konzerninterner Datenaustausch nach „Schrems II“

Eugh-Urteil und die Folgen _ Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen EU-US Privacy Shield zwischen der EU und den USA für unwirksam erklärt und die EU-Standardvertragsklauseln („SCC“) zur Überprüfung gestellt (s. a PLATOW Recht v. 5.8.). Internationale Konzerne müssen nun ohne Übergangsfrist die Rechtsgrundlage für den internen Datenaustausch prüfen, weiß Ariane Loof von der KPMG Law Rechtsanwaltsgesellschaft.

EU-Unternehmen dürfen personenbezogene Daten an Empfänger in Drittländern übermitteln, wenn dabei ein angemessenes und dem europäischen Datenschutz vergleichbares Niveau garantiert werden kann. Dies ist u. a. der Fall, wenn die Empfänger der Daten 1. sich in einem Land befinden, für das die EU-Kommission die Angemessenheit des Datenschutzniveaus durch Beschluss festgestellt hat, 2. mit dem datenexportierenden Unternehmen Verträge gemäß den von der EU-Kommission beschlossenen drei Mustern von SCC geschlossen haben, oder 3. mit dem datenexportierenden Unternehmen einen Konzern bilden und konzerneinheitliche Datenschutzregeln (Binding Corporate Rules – BCR) vereinbart haben, die von der zuständigen Datenschutzbehörde in Europa genehmigt wurden.

EuGH bemängelt „Öffnungsklausel“

Für die Übermittlung personenbezogener Daten an Empfänger in den USA hatten die EU und die USA mit dem Abkommen „EU-US Privacy Shield“ Datenschutzstandards vereinbart, bei deren Einhaltung ein angemessener Datenschutz gewährleistet war. Die Angemessenheit hatte die EU-Kommission durch Beschluss festgestellt. US-Unternehmen konnten sich in den USA für die Anwendung des EU-US Privacy Shields registrieren und galten dann als sichere Empfänger personenbezogener Daten. Seit dem EuGH-Urteil vom 16.7.20 kann die Übermittlung aber nicht mehr auf dieses Abkommen gestützt werden.

Der Grund dafür ist eine Öffnungsklausel im Abkommen, die es US-Behörden ermögliche, aus Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der USA, auf personenbezogene Daten zuzugreifen und sie zu verwenden. Der Zugriff könne durch die nationalen Sicherheitsbehörden im Rahmen der auf die Sec. 702 der Ergänzung zum „Foreign Intelligence Surveillance Act of 1978 (FISA)“ gestützten Überwachungsprogramme PRISM und UPSTREAM als auch auf der Grundlage der „Executive Order 12333 United States Intelligence Activities (E.O. 12333)“ erfolgen. Der FISA und die E.O. 12333 genügen nicht den Anforderungen der Europäischen Charta der Menschenrechte. Einschränkungen der Persönlichkeitsrechte gem. Art. 7 und der Datenschutzrechte gem. Art. 8 der Charta dürfen gemäß Art. 52 Abs. 1 der Charta nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen werden. Der FISA lasse in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zu Überwachungsprogrammen Einschränkungen bestehen oder dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren.

Zugleich hat der EuGH festgestellt, dass die SCC weiter Bestand haben. Sie sind auch für den Datentransfer in andere Drittländer von großer praktischer Bedeutung. Der EuGH betont ausdrücklich, dass der Datenexporteur in Europa und der Datenimporteur im Drittland dafür verantwortlich sind, zu prüfen, ob auf Grund der Rechtslage im Empfängerland die mit den SCC getroffenen Regelungen tatsächlich auch gelebt werden können. Ist dies nicht der Fall, müssen sie prüfen, ob durch ergänzende Maßnahmen ein angemessenes Datenschutzniveau hergestellt werden kann. Für BCR gilt dasselbe. Der Europäische Datenschutzausschuss kündigte in seinen FAQs (Stand 23.7.20) an, dass er Hinweise zu möglichen ergänzenden Maßnahmen für SCC geben wird. Es könne sich um rechtliche, technische oder organisatorische Maßnahmen handeln. Die Vizepräsidentin der EU-Kommission Vera Jourová hatte am 16.7.20 bereits angekündigt, dass ergänzte Muster-SCC beschlossen werden sollen. Jourová teilte ferner mit, dass Verhandlungen mit den USA geführt werden. Ob allerdings in der aktuellen politischen Situation ein neues Datenschutzabkommen möglich ist, das den europäischen Datenschutzstandard in den USA garantiert, ist fraglich.

Unternehmen drohen hohe Bußgelder

Bei der Prüfung, wie die SCC für den Konzerndatentransfer ergänzt werden können, ist zu berücksichtigen, dass die Daten im Konzern nicht ohne Weiteres mit denen von Facebook vergleichbar sind, die Gegenstand des EuGH-Urteils waren. Unternehmen sind vom persönlichen Anwendungsbereich des FISA (Sec. 1801) erfasst, wenn sie einer ausländischen Regierung zugehörig sind oder die Herstellung oder Lieferung von Massenvernichtungswaffen zum Gegenstand haben. Gegenstand der E.O. 12333 ist gemäß Sec. 2.2 die Sammlung von Informationen über Datenerhebungstechniken, Terror und Spionage. Es ist daher zu prüfen, ob die Datenübermittlung an Konzerngesellschaften in den USA durch zusätzliche technische Verschlüsselung bei der Übermittlung und durch Rechtsschutzmittel der Konzerngesellschaft in den USA gegen Herausgabeverlangen von US-Behörden ausreichend gesichert werden kann.

Unternehmen in der EU, die eine Übermittlung personenbezogener Daten nicht auf einen der – nur begrenzt zulässigen – Erlaubnistatbestände des Art. 49 Abs. 1 DSGVO stützen können und sich nicht an die vorstehenden Vorgaben zur Gewährleistung eines angemessenen Datenschutzniveaus halten, müssen mit einem empfindlichen Bußgeld von bis zu 4% ihres weltweiten Jahresumsatzes oder 20 Mio. Euro rechnen.