Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Datenübermittlung in unsichere Drittstaaten – Relevanz des risiko basierten Ansatzes in Transfer Impact Assessments (TIA) nach den Standardvertragsklauseln

Tja. Man könnte sich fragen, ob sich die ganze Diskussion um Datenübermittlung in unsichere Rechtsstaat, womit in der Regel die USA gemeint sind, mit der Zeichnung der Exekutive Order von Joe Biden und dem wohl kommenden neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA erledigt hat.

Was? Das ging Ihnen zu schnell? Ok. Fangen wir noch mal – in aller Kürze von vorne an.

Schrems II, SVK, die Datenschutzbehörden und der risikobasierte Ansatz der DSGVO

Im Jahr 2020 erging die sogenannte Schrems-II-Entscheidung des EuGH. Mit diesem Urteil erklärte der EuGH den Angemessenheitsbeschluss »Privacy Shield« der EU-Kommission (EUKOM) i.S.d. Art. 45 DSGVO für ungültig. Damit entfiel die bis dato bestehende Rechtsgrundlage nach Art. 45 DSGVO für Datenübertragungen in die USA. Zeitgleich urteilte der EuGH über die Verwendung von sogenannten Standardvertragsklauseln (SVK) nach Art. 46 Abs. 2 c) DSGVO, die eine weitere Rechtsgrundlage zur Datenübertragung in unsichere Drittstaaten darstellen und konstatierte, dass der verantwortliche Datenexporteur in jedem Einzelfall prüfen müsse, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz gewährleistet. Der EuGH bezweifelte, dass die USA einen angemessenen Schutz nach Maßgabe des EU-Rechts bieten könnten.

Im Juni 2021 wurden neue Standardvertragsklauseln veröffentlich, die mit den Klauseln 14 a), b) eine solche transferspezifische und risikoorientierte Abwägung bei der Datenübermittlung vorsahen. Demnach ist unter anderem zu prüfen, welche Art von Daten übermittelt wurden, welchen Zweck die Verarbeitung hat, den Wirtschaftszweig, in dem die Übertragung erfolgt sowie die technisch und organisatorischen Maßnahmen, die bei der Verarbeitung ergriffen werden.

Der europäische Datenschutzausschuss (EDSA) negierte allerdings – ebenso wie die DSK, die Deutsche Datenschutzkonferenz – dass der risikobasierte Ansatz der DSGVO auch im Rahmen von Drittstaatentransfers zu berücksichtigen sei. Die europäischen Datenschutzbehörden vertraten die Ansicht, dass es nicht darauf ankäme, ob es sich bei den übermittelten personenbezogenen Daten um statistische Trackingdaten oder um hochsensible Gesundheitsdaten handelte und/oder wie hoch die Eintrittswahrscheinlichkeit von Risikoverwirklichungen wäre. Es sei nur zu prüfen, ob das Recht des importierenden Staat ein „angemessenes“ Schutzniveau böte.

Der geschätzte Kollege Heiko Roth und ich hielten und halten diese Auffassung schon deswegen für falsch, weil sie nicht mit der Dogmatik der DSGVO selbst in Einklang zu bringen ist. In unserem Aufsatz „Datenübermittlung in unsichere Rechtsstaaten“, ZdiW 08/2021, 313 setzen wir uns deswegen intensiv mit dem Prinzip des risikobasierten Ansatzes der DSGVO, dem Schrems -II-Urteil und eben der Datenübermittlung in unsichere Drittstaaten auf Basis der SVK nach Art. 46 Abs. 2 c) DSGVO auseinander. Wir kommen – sehr verkürzt – zu dem Ergebnis, dass die Datenübermittlung in unsichere Rechtsstaaten auch dann zulässig sein kann, wenn das Recht des Drittstaates gegebenfalls nicht in Gänze der Vorstellung der EuGH entspricht, aber das Risiko nach einer Risikoabwägung vertretbar ist. Alle Einzelheiten sind in unserem Aufsatz nachzulesen:

Auf Deutsch erhalten Sie den Aufsatz bei Wolters Kluwer, in dem Sie das Heft 08/21 für 32 EUR erwerben. Kostenfrei können Sie den gesamten Artikel hier in der englischen Version lesen.

Sind SVK, TIAs und Risikoabwägungen noch relevant, wenn der neue Angemessenheitsbeschluss für die USA kommt?

Wie oben geschrieben, hat Joe Biden bereits im Oktober 2022 die Executive Order gezeichnet, mit der etliche Forderungen aus dem Schrems-II-Urteil umgesetzt wurden. Das heißt mit der Executive Order wurden Gesetzesänderungen veranlasst, mit der auf die Kritik des EuGH reagiert wurde. Auf den Seiten der EU-Kommission wird das gut erklärt. Diese Executive Order war und ist die notwendige Voraussetzung für einen neuen Angemessenheitsbeschluss gewesen. Im Dezember 2022 hatte die EU-Kommission daraufhin den Entwurf eines neuen Angemessenheitsbeschlusses veröffentlicht und dem EDSA zur Stellungnahme übermittelt. Der EDSA, d.h. die europäischen Datenschutzbehörden, hat/haben sich nicht kritiklos, aber doch überraschend positiv zum Entwurf des Angemessenheitsbeschluss geäußert. Der vollständige Bericht des EDSA vom 28.02.2023 findet sich hier. Nach alldem ist wohl derzeit davon auszugehen, dass der neue Angemessenheitsbeschluss, das sogenannte „EU-U.S. Data Privacy Framework“ (zuvor als „Trans-Atlantic Data Privacy Framework – TADPF“ benannt) im dritten Quartal 2023 verabschiedet wird.

Das wäre großartig. Denn das würde endlich wieder Rechtssicherheit für die vielen Unternehmen, die Daten in die USA übermitteln, bedeuten. Jedenfalls solange nicht Herr Schrems wieder einen Grund findet, das neue EU-US Data Privacy Framework anzugreifen und ggf. vor dem EuGH zu Fall zu bringen. Das wird jedoch einige Jahr in Anspruch nehmen. Solange besteht für die Unternehmen Rechtssicherheit und „Arbeitsruhe“.

Das bedeutet aber nicht, dass die von Heiko Roth und mir gemachten Ausführungen obsolet wären. Selbst wenn wir davon ausgehen würden, dass der Entwurf des jetzigen Angemessenheitsbeschlusses verabschiedet und halten würde, so sind die USA doch nicht einzige Land, dass den Status des unsicheren Drittstaats aufweist. Indien etwa, eine aufstrebende Tech-Nation, die schon heute für zahlreiche Unternehmen den IT-Support leistet, gilt als unsicherer Drittstaat, es existiert kein Angemessenheitsbeschluss. Auch hier müssen Datenübermittlungen auf Basis von Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 c) DSGVO erfolgen und Transfer-Impact-Assessemtns nach Ziffer 14 a) und b) des SVK durchgeführt werden. Die Ausführungen in unserem Aufsatz gelten hier entsprechend.

Fazit

Mit dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ wird im Hinblick auf die USA natürlich alles leichter. Da aber weiterhin sehr viele Nationen wie etwa Indien aber auch Brasilien weiter als sogenannte unsichere Drittstaaten gelten, können SVK und TIAs trotzdem nicht in der Mottenkiste verschwinden.

In diesem Sinne,

möge stets alles immer etwas leichter werden!

 

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.