Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Tag

Art. 45 DSGVO

Tja. Man könnte sich fragen, ob sich die ganze Diskussion um Datenübermittlung in unsichere Rechtsstaat, womit in der Regel die USA gemeint sind, mit der Zeichnung der Exekutive Order von Joe Biden und dem wohl kommenden neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA erledigt hat.

Was? Das ging Ihnen zu schnell? Ok. Fangen wir noch mal – in aller Kürze von vorne an.

Schrems II, SVK, die Datenschutzbehörden und der risikobasierte Ansatz der DSGVO

Im Jahr 2020 erging die sogenannte Schrems-II-Entscheidung des EuGH. Mit diesem Urteil erklärte der EuGH den Angemessenheitsbeschluss »Privacy Shield« der EU-Kommission (EUKOM) i.S.d. Art. 45 DSGVO für ungültig. Damit entfiel die bis dato bestehende Rechtsgrundlage nach Art. 45 DSGVO für Datenübertragungen in die USA. Zeitgleich urteilte der EuGH über die Verwendung von sogenannten Standardvertragsklauseln (SVK) nach Art. 46 Abs. 2 c) DSGVO, die eine weitere Rechtsgrundlage zur Datenübertragung in unsichere Drittstaaten darstellen und konstatierte, dass der verantwortliche Datenexporteur in jedem Einzelfall prüfen müsse, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz gewährleistet. Der EuGH bezweifelte, dass die USA einen angemessenen Schutz nach Maßgabe des EU-Rechts bieten könnten.

Im Juni 2021 wurden neue Standardvertragsklauseln veröffentlich, die mit den Klauseln 14 a), b) eine solche transferspezifische und risikoorientierte Abwägung bei der Datenübermittlung vorsahen. Demnach ist unter anderem zu prüfen, welche Art von Daten übermittelt wurden, welchen Zweck die Verarbeitung hat, den Wirtschaftszweig, in dem die Übertragung erfolgt sowie die technisch und organisatorischen Maßnahmen, die bei der Verarbeitung ergriffen werden.

Der europäische Datenschutzausschuss (EDSA) negierte allerdings – ebenso wie die DSK, die Deutsche Datenschutzkonferenz – dass der risikobasierte Ansatz der DSGVO auch im Rahmen von Drittstaatentransfers zu berücksichtigen sei. Die europäischen Datenschutzbehörden vertraten die Ansicht, dass es nicht darauf ankäme, ob es sich bei den übermittelten personenbezogenen Daten um statistische Trackingdaten oder um hochsensible Gesundheitsdaten handelte und/oder wie hoch die Eintrittswahrscheinlichkeit von Risikoverwirklichungen wäre. Es sei nur zu prüfen, ob das Recht des importierenden Staat ein „angemessenes“ Schutzniveau böte.

Der geschätzte Kollege Heiko Roth und ich hielten und halten diese Auffassung schon deswegen für falsch, weil sie nicht mit der Dogmatik der DSGVO selbst in Einklang zu bringen ist. In unserem Aufsatz „Datenübermittlung in unsichere Rechtsstaaten“, ZdiW 08/2021, 313 setzen wir uns deswegen intensiv mit dem Prinzip des risikobasierten Ansatzes der DSGVO, dem Schrems -II-Urteil und eben der Datenübermittlung in unsichere Drittstaaten auf Basis der SVK nach Art. 46 Abs. 2 c) DSGVO auseinander. Wir kommen – sehr verkürzt – zu dem Ergebnis, dass die Datenübermittlung in unsichere Rechtsstaaten auch dann zulässig sein kann, wenn das Recht des Drittstaates gegebenfalls nicht in Gänze der Vorstellung der EuGH entspricht, aber das Risiko nach einer Risikoabwägung vertretbar ist. Alle Einzelheiten sind in unserem Aufsatz nachzulesen:

Den ganzen Artikel lesen.

Mitautoren: Tobias Hinderks*, Nina Diercks*

2020/2021. Die ganze EU diskutierte, wie nach dem EuGH Urteil C-311/18 (Schrems II) noch legal personenbezogene Daten in die USA übermittelt werden können. Die ganze EU? Nein, eine (kleine) Staatskanzlei in Düsseldorf sieht in einer Übertragung überhaupt kein Problem.

Ok, ein wenig Kontext? Die Landesregierung NRW hat eine kleine Anfrage der Grünen-Fraktion im Landtag NRW beantwortet, die sich um den Einsatz eines von Amazon Web Services gehosteten Messengers für Schüler*innen dreht. Die Grünen hatten unter anderem gefragt, ob die Landesregierung bei der Umsetzung auch Subunternehmen in Betracht gezogen hat, die nicht dem US CLOUD Act unterliegen. Hierauf antwortete die Landesregierung:

„Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

[…]

Aber selbst bei einer theoretischen Herausgabe der Daten durch [Amazon Web Services] an amerikanische Ermittlungsbehörde wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar.“ (Drs. 17/11271, S. 3)

Das ist ein interessantes Statement der Regierung des bevölkerungsreichsten Bundeslandes. Inhaltlich dazu später. Für uns soll es zunächst der Aufhänger sein, uns mit der Zeit nach Schrems II zu befassen.

  • Wo ist eigentlich das Problem mit der Datenübertragung in die USA?
  • Was sagt denn die US-Regierung zum Urteil?
  • Was haben die Aufsichtsbehörden zu Schrems II veröffentlicht?
  • Wie könnten Lösungen aussehen? Gibt es überhaupt Lösungen?

Fragen über Fragen und die dringende Suche nach einer Antwort.

An dieser Stelle müssen wir kurz durchatmen. Denn auf uns kommt viel Arbeit zu. Die Übermittlung von Daten in die USA war bereits vor Schrems II sehr intensiv diskutiert worden. Und nach der tiefgreifenden Änderung durch Schrems II ist man sich eigentlich nur noch in einem sicher: Es ist kompliziert.

Um ein verständliches Bild zu schaffen und dieses facettenreiche Thema abzuhandeln, braucht es mehr als einen Blog-Artikel. Deshalb ist dieser Blog-Beitrag der Beginn einer kleineren Serie rund um das Thema: Reaktionen auf Schrems II – Rechtslage im transatlantischen Datenverkehr, bestehend aus vier Beiträgen.

Wir beginnen mit Teil 1: Was hat der EuGH entschieden und wie beurteilen die USA die Auswirkungen. In Teil 2 sehen wir uns an, wie Datentransfer auf Basis von geeigneter Garantien gelingen könnten. Dabei setzen wir uns mit dem Schutzniveau und den Ansichten der Aufsichtsbehörden auseinander. Teil 3 wird sich um den CLOUD Act drehen und in Teil 4 nutzen wir die gewonnen Erkenntnisse um uns ein eigenes Bild der Ausführungen des EuGH zu machen  (Spoiler: Man muss nicht in allem einer Meinung mit dem EuGH sein) und ziehen ein Fazit zum Thema Datenübermittlungen in die USA.

Den ganzen Artikel lesen.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.