„Rumble in the jungle“ twitterte der baden-württembergische Datenschutzbeauftragte jüngst zu der Anhörung in der Rechtssache Schrems ./. Facebook II (C 311/18) am 09.07.2019 vor dem EuGH. In dem Verfahren geht es um die für viele Unternehmen wichtige Frage, ob und inwieweit der Transfer von Daten in Drittländer außerhalb der EU/des EWR nach der Datenschutzgrundverordnung zulässig ist. Das betrifft insbesondere auch die Übermittlung von Mitarbeiterdaten an ausländische Konzerngesellschaften. Obwohl eine Entscheidung voraussichtlich erst im ersten Halbjahr 2020 fallen wird, sind viele fachkundige Beobachter bereits heute besorgt.
I. Worum geht es genau?
Das Verfahren Schrems ./. Facebook hat eine lange Vorgeschichte. Berits 2011 hatte der damalige österreichische Student Maximilian Schrems eine Beschwerde gegen Facebook eingereicht, mit der er sich gegen den Transfer seiner personenbezogenen Daten in die USA wandte. Hintergrund waren die Snowden Enthüllungen um die Überwachungspraktiken der NSA. Im Jahr 2015 entschied der EUGH, dass das damals mit dem USA bestehende sogenannte „Safe Habour Abkommen“ keinen ausreichenden Schutz für eine Datenverarbeitung bietet und damit auf dieser Basis keine Übermittlung von Daten in die USA gerechtfertigt werden kann.
Das Nachfolgemodell ist das EU-US-Privacy-Shield Abkommen, das seit 2016 die Grundlage für einen Großteil der Datenübermittlungen in die USA bildet. Dabei handelte es sich um eine Art Selbstzertifizierungsmechanismus, organisiert vom US Department of Commerce, dem sich zurzeit ca. 4.800 amerikanische Unternehmen unterworfen haben. Damit soll ein ausreichender Schutz für EU-Daten gewährleistet sein.
Ein Großteil der Datentransfers von der EU in Drittstaaten (also außerhalb der EU und des EWR) erfolgt aber gar nicht auf der Grundlage des Privacy Shield Mechanismus, sondern auf Bais von sogenannten Standardvertragsklauseln, auf die sich auch Facebook nach der Safe-Habour-Entscheidung berief. Maximilian Schrems, mittlerweile Anwalt, passte seine Beschwerde an diese neuen Tatsachen an und fordert weiterhin, Facebook am Datentransfer in die USA zu hindern. Das Verfahren hat seinen Ursprung in Irland, nachdem sich dort die europäische Facebook-Zentrale befindet. Der irische High Court hat im Jahr 2018 eine gezielte massenhafte Überwachung durch die Regulierungsbehörden der Vereinigten Staaten festgestellt und dem EUGH eine Reihe von Fragen vorgelegt. Diese beschäftigen sich sowohl mit dem Privacy Shield Abkommen als auch mit den Standardvertragsklauseln, sodass der EUGH nunmehr eine Entscheidung über beide Transferregularien treffen muss.
II. Grundsätze für den Datentransfer in Staaten außerhalb der EU/EWR
Bevor eine Bewertung der möglichen Entscheidung des EUGH vorgenommen wird und hieraus Konsequenzen abgeleitet werden, empfiehlt sich ein Blick auf die Grundsätze für den Datentransfer in Drittländer.
1. Angemessenheitsbeschluss
Eine Übermittlung von personenbezogenen Daten in Drittstaaten ist nach europäischem Recht nur zulässig, wenn auch dort ein angemessenes Datenschutzniveau gesichert ist. Nach Art. 45 DSGVO kann die europäische Kommission feststellen, dass ein Drittland oder eine internationale Organisation ein solches angemessenes Datenschutzniveau gewährleistet. Ist dies der Fall bedarf es keiner weiteren Maßnahme, ein Datentransfer ist ohne weiteres zulässig. Angemessenheitsbeschlüsse auf EU-Ebene bestehen zur Zeit für folgende Staaten: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada, Neuseeland, die Schweiz und Uruguay.
Hinzu kommt für die USA das bereits erwähnte Privacy Shield Abkommen.
Liegt kein Angemessenheitsbeschluss vor, geht die Datenschutzgrundverordnung grundsätzlich davon aus, dass kein angemessenes Datenschutzniveau im Drittland vorliegt. In diesem Fall muss also die Datenübermittlung von weiteren Schutzmaßnahmen begleitet werden. In Betracht kommen folgende Möglichkeiten:
2. Standardvertragsklauseln
Standardvertragsklauseln, die von der europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlung in Drittländer und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in die zugrundeliegenden Verträge übernommen werden. Nachdem die europäische Kommission nach dem Inkrafttreten der DSGVO noch keine Standardvertragsklauseln erlassen hat, gilt gemäß Art. 46 Abs. 5 DSGVO, dass die zuvor zur EU- Datenschutz-Richtlinie erlassenen Standardvertragsklauseln weiter gültig sind.
Inwieweit diese Standarddatenschutzklauseln, die das am häufigsten genutzte Mittel für den Datentransfer in Drittländer (insbesondere solche außerhalb der USA) sind, künftig noch tauglich sind, wird in dem EUGH-Verfahren Schrems ./. Facebook II entschieden werden.
3. Genehmigte Regelwerke
Alternativ können auch einzeln ausgehandelte Vertragsklauseln datenschutzkonform sein, sie müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.
Ähnliches gilt für verbindliche interne Datenschutzvorschriften (Binding Corporate Rules/BCR), die insbesondere in großen internationalen Konzernen Anwendung finden. Sie regeln allerdings nur den internen Datentransfer zwischen Konzernunternehmen und erlauben grundsätzlich keinen Datentransfer z. B. zu Serviceprovidern.
Eine weitere Möglichkeit stellen genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigter Zertifizierungsmechanismus dar, auch hier bedarf es jedoch einer Genehmigung durch die zuständigen Aufsichtsbehörden bzw. spezieller Zertifizierungsstellen.
Wichtig bei allen vorgenannten erforderlichen Genehmigungen ist, dass die Aufsichtsbehörde prüfen muss, ob es rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen im Drittland gibt. Hieran scheitern solche Regelungen oft, da es an der Durchsetzbarkeit für betroffene EU-Bürger und Unternehmen im Ausland fehlt.
4. Allgemeine Rechtfertigungsgründe
Neben speziellen Garantien für Behörden gibt es noch die allgemeinen Ausnahmen nach der DSGVO, namentlich das Vorliegen einer Einwilligung einer betroffenen Einzelperson (die im Arbeitsrecht allerdings kaum Bedeutung hat), die Erforderlichkeit der Übermittlung von Daten für die Erfüllung oder den Abschluss eines Vertrages zwischen der Einzelperson und dem Verantwortlichen (auch dies spielt bei der Übertragung personenbezogener Daten im Arbeitskontext keine Rolle), die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses sowie die Datenübermittlung für die Wahrung der zwingenden berechtigten Interessen der Organisation. Die vorgenannten Ausnahmen sind eng auszulegen und dürfen nach dem Leitfaden des europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.
Die vorstehende Rechtslage zeigt, wie bedeutsam Standardvertragsklauseln bzw. im Verhältnis zu den USA das Privacy Shield Abkommen sind. Dies unterstreicht die Bedeutung der anstehenden Entscheidung des EUGH.
III. Ausblick – Game over oder es ist noch immer gut gegangen?
Bislang ist keine abschließende Tendenz des EUGH abzusehen. In der Verhandlung am 09.07.2019 wurden seitens der Parteien und Beteiligten (darunter die EU und die Regierung der USA) lediglich Argumente ausgetauscht. Datenschutzexperten sind sich jedoch relativ sicher, dass die Standardvertragsklauseln jedenfalls nicht in ihrer Gesamtheit die Überprüfung durch den EUGH überstehen dürften. Die fundamental zu entscheidenden Fragen haben sich nämlich seit der EUGH-Entscheidung in Sachen Schrems ./. Facebook I nicht geändert, ganz im Gegenteil sind mittlerweile zusätzliche Aspekte wie der amerikanische „Clarifying Lawful Overseas Use of Data Act“ (CLOUD-Act) hinzugekommen. Durch den CLOUD-Act muss ein dem US-Recht unterstehender Anbieter elektronischer Kommunikationsdienste Daten unter seiner Kontrolle offen legen, wenn beispielsweise eine US Behörde wie das FBI deren Herausgabe verlangt. Europäische Daten werden also so behandelt, als seien sie innerhalb der USA gespeichert, US-Behörden haben in jedem Fall Zugriff auch auf Daten, die außerhalb der USA liegen. Hierfür ist nicht einmal, anders als nach bisherigem Recht, ein Rechtshilfeersuchen erforderlich. Vor diesem Hintergrund ist schwer vorstellbar, dass die Standardvertragsklauseln das Verfahren unbeschadet überleben werden.
Ob dies auch für das Privacy Shield gilt ist zwar eher fraglich, hat aber natürlich ohnehin nur für den Datentransfer in die USA Bedeutung. Sämtlicher Datenverkehr mit sonstigen Drittländern wie z. B. Indien oder China, um nur die wichtigsten zu nennen, ist hiervon selbstverständlich nicht erfasst und funktioniert nur nach den anderen Regelungen, insbesondere Standardvertragsklauseln.
Es scheint also nicht übertrieben, wenn in der Presse gemutmaßt wird, dass die Entscheidung des EUGHweitreichende Folgen für den internationalen Datentransfer haben kann (die FAZ spricht in einem Artikel vom 23.07.2019 von einer „drohenden Katastrophe“).
IV. Was ist schon jetzt zu tun?
Nachdem die Entscheidung des EUGH erst für das erste Halbjahr 2020 erwartet wird (allerdings wird die bevorstehende Stellungnahme des Generalanwalts am 12.12.2019 erste Indikationen geben), sind praktische Ratschläge naturgemäß mit Vorbehalten versehen. Dennoch werden Unternehmen gut beraten sein, sich auf den worst case vorzubereiten. Immerhin ist zu bedenken, dass die Entscheidung zum Safe Habour Abkommen ohne Karenzzeit erging und rückwirkend Geltung beanspruchte, sodass selbst bei einer gewissen Zurückhaltung durch die Datenschutzbehörden jedenfalls ab dem Zeitpunkt der Entscheidung ein Datentransfer in einem dann nicht mehr erlaubten Umfang erhebliche Bußgelder auslösen könnte. Ohnehin ist zu berücksichtigen, dass Klagen einzelner Betroffener oder auch von der Datenschutzgrundverordnung erlaubte Sammelklagen unabhängig von der Praxis der Datenschutzbehörden möglich wären.
In jedem Fall sollten Unternehmen bereits heute überprüfen, welche Daten überhaupt in Drittstaaten fließen und ob ein solcher Datentransfer wirklich notwendig ist. Mögliche Alternativen, insbesondere Binding Corporate Rules, sollten geprüft werden. Anbieter in Drittstaaten sollten nach ihrer Exitstrategie für den Fall einer negativen EUGH-Entscheidung befragt werden. Zudem werden die Datenschutzexperten in Unternehmen sicherlich verpflichtet sein, dass Management und die übrigen Stakeholder eines Unternehmens (z.B. Anteilseigner) zu informieren.
Die Entscheidung des EUGH hat durchaus das Potenzial, die Landkarte des internationalen Datentransfers völlig neu zu zeichnen. Ohnehin zwingt die nationale Gesetzgebung in vielen Staaten bereits heute zum Handeln. So verpflichten beispielsweise die neuen chinesischen Sicherheitsgesetze alle in China tätigen Unternehmen, ihre Daten ausschließlich im Land zu speichern und nur mit behördlicher Genehmigung zu transferieren. Daher erscheint es nicht ausgeschlossen, dass es in Zukunft bei international tätigen Unternehmen vermehrt zu sogenannten Insellösungen kommt, in deren Rahmen Datenbestände innerhalb eines Rechtsraumes behalten und nicht transferiert werden. Dies bedeutet zwar einen Mehraufwand in der Administration, wird jedoch den Belangen des Datenschutzes wahrscheinlich eher gerecht als ein freier Datenfluss über alle Grenzen hinweg.