Mitautoren: Tobias Hinderks*, Nina Diercks*

2020/2021. Die ganze EU diskutierte, wie nach dem EuGH Urteil C-311/18 (Schrems II) noch legal personenbezogene Daten in die USA übermittelt werden können. Die ganze EU? Nein, eine (kleine) Staatskanzlei in Düsseldorf sieht in einer Übertragung überhaupt kein Problem.

Ok, ein wenig Kontext? Die Landesregierung NRW hat eine kleine Anfrage der Grünen-Fraktion im Landtag NRW beantwortet, die sich um den Einsatz eines von Amazon Web Services gehosteten Messengers für Schüler*innen dreht. Die Grünen hatten unter anderem gefragt, ob die Landesregierung bei der Umsetzung auch Subunternehmen in Betracht gezogen hat, die nicht dem US CLOUD Act unterliegen. Hierauf antwortete die Landesregierung:

„Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

[…]

Aber selbst bei einer theoretischen Herausgabe der Daten durch [Amazon Web Services] an amerikanische Ermittlungsbehörde wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar.“ (Drs. 17/11271, S. 3)

Das ist ein interessantes Statement der Regierung des bevölkerungsreichsten Bundeslandes. Inhaltlich dazu später. Für uns soll es zunächst der Aufhänger sein, uns mit der Zeit nach Schrems II zu befassen.

• Wo ist eigentlich das Problem mit der Datenübertragung in die USA?
• Was sagt denn die US-Regierung zum Urteil?
• Was haben die Aufsichtsbehörden zu Schrems II veröffentlicht?
• Wie könnten Lösungen aussehen? Gibt es überhaupt Lösungen?

Fragen über Fragen und die dringende Suche nach einer Antwort.

An dieser Stelle müssen wir kurz durchatmen. Denn auf uns kommt viel Arbeit zu. Die Übermittlung von Daten in die USA war bereits vor Schrems II sehr intensiv diskutiert worden. Und nach der tiefgreifenden Änderung durch Schrems II ist man sich eigentlich nur noch in einem sicher: Es ist kompliziert.

Um ein verständliches Bild zu schaffen und dieses facettenreiche Thema abzuhandeln, braucht es mehr als einen Blog-Artikel. Deshalb ist dieser Blog-Beitrag der Beginn einer kleineren Serie rund um das Thema: Reaktionen auf Schrems II – Rechtslage im transatlantischen Datenverkehr, bestehend aus vier Beiträgen.

Wir beginnen mit Teil 1: Was hat der EuGH entschieden und wie beurteilen die USA die Auswirkungen. In Teil 2 sehen wir uns an, wie Datentransfer auf Basis von geeigneter Garantien gelingen könnten. Dabei setzen wir uns mit dem Schutzniveau und den Ansichten der Aufsichtsbehörden auseinander. Teil 3 wird sich um den CLOUD Act drehen und in Teil 4 nutzen wir die gewonnen Erkenntnisse um uns ein eigenes Bild der Ausführungen des EuGH zu machen  (Spoiler: Man muss nicht in allem einer Meinung mit dem EuGH sein) und ziehen ein Fazit zum Thema Datenübermittlungen in die USA.

Den ganzen Artikel lesen.

Der EuGH hat das Privacy Shield für ungültig erklärt! Gut, das kam nicht überraschend. Interessanter sind daher die Ausführungen zu den Standardvertragsklauseln. Diese sind grundsätzlich abstrakt wirksam, es ist aber im Einzelfall zu prüfen, ob die konkrete Übermittlung von personenbezogenen Daten in ein bestimmtes Drittland damit gerechtfertigt werden kann (Urteil des EuGH vom 16.07.2020, C-311/18, Schrems II).

Aha. Ist das wichtig?

Ja! Die Entscheidung schafft Klarheit im Bezug auf den Transfer von personenbezogen Daten in ein Drittland (alles außerhalb des EWR, also außerhalb von EU, Norwegen, Island und Liechtenstein). Reine Absichtsbekundungen dahingehend, personenbezogene Daten schützen zu wollen, reichen nicht aus, daher wurde das Privacy Shield gekippt. Aber auch ein „Weiter so“ mit den Standarddatenschutzklauseln wird es nicht geben.

Den ganzen Artikel lesen.

Wer den Newsletter dieses Blogs abonniert hat oder mir auf Twitter oder LinkedIn folgt, der weiß, dass sich am vergangenen Freitag auf Initiative von Peter Hense und Johannes Nehlsen nicht nur das #TeamDatenschutz zum 1. virtuellen Stammtisch traf, sondern ich dort auch mit einem Beitrag zur „Datenübermittlung im Konzern“ vertreten war. Ehrlich gesagt, gingen wir von einem familiären, nerdigen Treffen mit 20, maximal 40 TeilnehmerInnen, aus und waren in Folge dessen von den mehr als 150 FachteilnehmerInnen wirklich überrascht. Ebenso groß war natürlich die Freude, dass das Format so gut ankam.  Oder wie Peter es auf Twitter ausdrückte „Es braucht offenbar keine EUR 1000/Tag-Veranstaltung, um mit Kollegen zu plaudern.„. Es steht auch schon fest, es wird eine Wiederholung geben. Mit anderen Themen und anderen ReferentInnen. (Wer Interesse hat: Einfach Johannes Nehlsen auf Twitter folgen!)

Doch nun weg vom famosen Stammtisch (dennoch: Danke nochmal, Johannes, für Deine Orga!) hin zu meinem Beitrag und dem oben stehenden Titel: „Datenübermittlung  im Konzern“. Auf das Thema kam ich,  da ich schon seit Ewigkeiten einen recht umfangreichen Aufsatz dazu in der Schublade liegen habe. So umfangreich, dass er für eine Zeitschrift zu lang ist. Leider auch zu kurz, um ein Büchlein draus werden zu lassen. Und natürlich wäre es möglich zu kürzen oder das Ganze noch weiter aufzubohren. Aber woher all die Zeit nehmen und nicht stehlen? Und dann die Absprachen mit den Verlagen. Kürzer? Welcher Fokus? Länger? Wohin denn bitte? Und ach ja, da sind wir wieder beim Problem der nicht vorhandenen Zeit. Und so nahm ich den virtuellen Stammtisch als Anlass, meine Gedanken dort einmal in die Runde zu schicken. Unvorsichtigerweise fragte ich danach, ob Interesse bestünde, das Ganze noch einmal ausführlicher in Form eines Aufsatzes nachlesen zu können, den ich einfach zur Diskussion auf den Blog stellen könne. Die Antwort lautete „Ja!“.

Und da habe ich nun an diesem Sonntag den Salat. Natürlich dauert die „kurze“ Überarbeitung für die Online-Stellung schon den ganzen Nachmittag und ich fürchte, ich habe einen Sonnenbrand auf der Stirn (was tue ich nicht alles für den Datenschutz!1!11).  Aber hier ist er nun, frisch gedruckt, äh, in das Internet gestellt:

Datenübermittlung im Konzern

Rechtsgrundlagen und formelle Anforderungen

Oder auch: Existiert ein Konzernprivileg und sind Intercompany-Verträge eine Lösung?

Ja, der Aufsatz hat nun keine rechtswissenschaftliche Redaktion durchlaufen. Aber wir machen das jetzt einfach wie die Virologen. Der Aufsatz wird online gestellt und muss sich dem kritischen Auge der fachlich versierten LeserInnen stellen. Ich freue mich auf Kritik, Ergänzungen oder am besten vollständige Erwiderungen an anderer Stelle. Und ja, natürlich noch mehr über Zustimmungen. 😉 (Und wer weiß, vielleicht sind wir 2020 ja auch so weit, dass Gedankengänge, die nicht zuerst auf Papier gedruckt wurden, einmal Eingang in die klassischen Literaturempfehlungen finden. Die Hoffnung stirbt bekanntermaßen zuletzt…)

Der Aufsatz hat nun natürlich auch kein Lektorat gesehen. Ich bitte also, sämtliche Typos etc. zu verzeihen. Wenn ich dazu kommen sollte, stelle ich vielleicht die Tage auch noch mal eine korrigierte Fassung bereit.

Nun wünsche ich erst einmal viel Spaß beim Lesen!

Last but not least, an meine interessierten Laien-Leser: Es handelt sich wirklich um einen juristischen Aufsatz. Sie können den gerne lesen. Aber suchen Sie nicht die gleiche Verständlichkeit wie sonst im Blog. Vielleicht machen wir auch noch mal eine Blog-Fassung daraus, versprechen möchte ich an dieser Stelle aber nichts.

In diesem Sinne,

so oder so, auf bald!