Sind Drittstaatenübermittlungen aktuell überhaupt rechtssicher möglich?

Das Thema „Drittstaatenübermittlungen“ lässt uns nicht los. Zwar wird meist nur über Übermittlungen in die USA diskutiert, eigentlich stehen aber aktuell alle Drittstaatenübermittlungen auf dem Prüfstand. Ursprünglicher Auslöser war das sogenannte „Schrems-2“-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020. Wir hatten damals hier und hier berichtet.

Wir hätten den Artikel auch mit „Österreichische Datenschutzaufsicht verbietet Google Analytics“ überschreiben können, aber das würde nur eine mögliche Auswirkung der Entscheidung der Aufsichtsbehörde betrachten und ginge unserer Meinung nach eher in Richtung Clickbaiting. Wir möchten uns hier mit der eigentlichen Aussage der Aufsichtsbehörde beschäftigen und für die ist die Tatsache, dass es um Google Analytics ging, eher zweitrangig.

Risikobetrachtung: Zwingend nötig und nicht zulässig

Im Nachgang zum „Schrems-2“ Urteil des EuGH hatte der Europäische Datenschutzausschuss (EDSA) ein Verfahren zur Risikobetrachtung (Transfer Impact Assessment, TIA) empfohlen. Auch die deutschen Aufsichtsbehörden hatten auf die Berücksichtigung eines angemessenen Risikos für die betroffenen Personen hingewiesen. Die Aufsicht Baden-Württemberg hatte in ihrer Orientierungshilfe, die sie im September 2021 nochmals aktualisiert hatte, sogar ein interessantes Entgegenkommen gezeigt. Die Behörde stellt in der Orientierungshilfe dar, dass sie auch die Unzumutbarkeit, eine Drittstaatenübermittlung ein- oder umzustellen als Grund für die Weiterführung von Übermittlungen in die USA anerkennen wollte (siehe Orientierungshilfe S. 14, blauer Kasten unten auf der Seite).

Am 22.04.2022 hat nun die österreichische Datenschutzaufsicht in einem Teilbescheid, welcher ebenfalls auf eine Beschwerde des Herrn Schrems zurückgeht, die Ansicht geäußert, dass die DSGVO zwar grundsätzlich einen risikobasierten Ansatz vorsehe, dieser jedoch aufgrund der Formulierungen des Art. 44 DSGVO für die Prüfung auf angemessene Garantien im Falle eines Drittstaaten-Transfers nicht zur Anwendung kommen könne.

An dieser Stelle ein kurzer Einschub, um die Relevanz einer Entscheidung aus Österreich für Deutschland zu erläutern: Die Aufsichtsbehörden der EU stimmen sich im Rahmen des Europäischen Datenschutzausschusses (EDSA) ab. Das dient dazu, abgestimmte Rechtsauffassungen zu veröffentlichen. Dadurch erhalten die Anwender von behördlicher Seite eine größtmögliche Rechtssicherheit. Außerdem soll somit das Ziel einer europaweit einheitlichen Rechtsanwendung im Bereich des Datenschutzes erreicht werden. Deshalb sind die Veröffentlichungen der Aufsichtsbehörden anderer EU-Staaten auch für die deutschen Anwender relevant.

Die Ansicht der österreichischen Datenschutzaufsicht bedeutet, dass eine Risikobetrachtung nur noch in der Hinsicht sinnvoll bzw. notwendig ist, dass diese ergeben muss, dass alle Risiken, die für die betroffenen Personen aus dem Transfer in ein Drittland herrühren können, vollkommen ausgeschlossen werden. Unerheblich ist nach Ansicht der Aufsicht hingegen, wie hoch das Risiko bzw. dessen Eintrittswahrscheinlichkeit ist. Ist das Risiko nicht „Null“, ist eine Übermittlung nicht zulässig.

Bitte beachten Sie, dass dies selbstverständlich nicht bedeutet, dass nun keine Risikobetrachtung mehr notwendig wäre. Diese wird zur Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO weiterhin nötig sein. Lediglich die Folgen der Risikobetrachtung sind andere: Es kann trotz eines unter Umständen nur geringen Risikos nun nicht mehr von einer Zulässigkeit ausgegangen werden. Mit anderen Worten: Auch bei geringem Risiko ist die Übermittlung personenbezogener Daten in einen Drittstaat nicht zulässig. Sofern Sie die Übermittlung trotz eines bestehenden (gegebenenfalls nur geringen) Risikos nicht einstellen beziehungsweise neu etablieren, besteht nun ein erhöhtes Bußgeldrisiko.

Die Aufsichtsbehörde Hamburg hat sich dieser Ansicht bereits angeschlossen. Mit Spannung erwarten wir die Positionierungen weiterer Aufsichtsbehörden.

Ausnahmen

An dieser Stelle kommen nun auch die Ausnahmen des Art. 49 DSGVO ins Spiel. Die vermutlich bekannteste und am einfachsten nutzbare (und die einzige, auf die wir hier eingehen) ist die ausdrückliche Einwilligung der betroffenen Person in die Übermittlung aus Art. 49 Abs. 1 lit. a DSGVO. Wichtig ist hier nicht nur das kleine Wörtchen „ausdrücklich“, sondern auch die Tatsache, dass Art. 49 Abs. 1 lit. a DSGVO verlangt, dass diese Einwilligung von der betroffenen Person erteilt wird, „nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“.

Das bedeutet, es reicht nicht aus, um die Einwilligung zu bitten, sondern es muss (Transparenzgebot!) sehr ausführlich und gegebenenfalls sogar drastisch dargestellt werden, das beispielsweise bei einem Transfer in die USA jederzeit ein Zugriff durch Geheimdienste auf die Daten erfolgen kann, dass de facto keine Möglichkeit des Rechtsschutzes besteht und dass die betroffenen Personen von einem Zugriff auf die Daten wohl noch nicht einmal etwas erfahren würden.

Mit der Frage der „ausdrücklichen“ Einwilligung haben wir uns in diesem Artikel und auch hier bereits beschäftigt. Unsere Aussage im zweiten der beiden Artikel, dass wir die Ausnahmen des Art. 49 Abs. 1 DSGVO auch als Dauerlösung und nicht nur für den Einzelfall sehen, gilt übrigens weiterhin. Leider sehen es die Aufsichtsbehörden, vertreten durch den EDSA, nach wie vor anders.

Die österreichische Datenschutzaufsicht hatte im Zuge des Verfahrens hinterfragt, ob eine entsprechende Ausnahme des Art. 49 DSGVO umgesetzt worden war. Im Zuge der Einwilligung in das Tracking hätte man auch eine zweite Einwilligung einholen können (eigentlich müssen, wie die Entscheidung zeigt), dass einer Übermittlung von Daten in die USA zugestimmt wird. Dieses war nicht der Fall. Die Übermittlung war ausschließlich auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO gestützt.

Risiko!

Auf dieser Basis muss zum jetzigen Zeitpunkt insbesondere vom Einsatz jeglicher Dienstleistungen, welche unter Zuhilfenahme von Dienstleistern aus den USA oder Dienstleistern, die Sub-Dienstleister mit einem analogen US-Hintergrund einsetzen, erfolgen, abgeraten werden. Selbst für den Fall, dass eine ausdrückliche Einwilligung der betroffenen Personen vorliegt, besteht das Risiko, dass die deutschen Aufsichtsbehörden ihre dogmatische Rechtsauffassung beibehalten und den Beschluss der DSK, über den wir hier berichtet hatten, durchsetzen. Sofern Sie sich dennoch für den Einsatz eines solchen Dienstleisters entscheiden, besteht für Sie aktuell ein datenschutzrechtliches Risiko.

Bitte beachten Sie auch, dass eine solche ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO im Beschäftigungskontext vermutlich nicht wirksam sein wird, sofern es sich um eine im Unternehmen als „Standard-Arbeitsmittel“ genutzte Verarbeitung handelt in deren Rahmen Übermittlungen in Drittstaaten stattfinden. In solchen Fällen wird es regelmäßig an der Freiwilligkeit der erteilten Einwilligung durch die beschäftigten Personen mangeln. Anders könnte es aussehen, wenn zusätzliche und gegebenenfalls arbeitserleichternde Tools genutzt werden sollen, die nicht zwingend für die Tätigkeit notwendig sind. Es ist also auch die Betrachtung jedes Einzelfalls notwendig.

Nicht nur USA

Und noch ein Hinweis: Auch wenn diese Darstellung sich inhaltlich hauptsächlich auf die USA bezieht, besteht ein analoges Risiko auch beim Einsatz von Dienstleistern aus anderen Drittstaaten, sofern ein nicht akzeptables Risiko durch beispielsweise nationale Geheimdienst- oder Sicherheitsgesetzgebung besteht. In diesem Zusammenhang weisen wir auch noch einmal auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO hin: Der für die Verarbeitung Verantwortliche muss nachweisen können, dass die DSGVO vollständig eingehalten wird. Es wird also nicht möglich sein, sich darauf zu berufen, dass man nun wirklich nicht die Geheimdienstgesetzgebung aller Staaten der Welt kennen könne. Wenn ein Transfer in Land X durchgeführt werden soll, muss man sich mit dem dort herrschenden Rechtsrahmen auseinandersetzen und diese Auseinandersetzung sowie das Ergebnis davon dokumentieren. Mit anderen Worten: Ein TIA ist weiterhin unerlässlich.

Sichere Drittstaaten

Die einzigen Drittstaaten, in die aktuell Übermittlungen ohne datenschutzrechtliches Risiko in Bezug auf Verstöße gegen die Art. 44 ff DSGVO vorgenommen werden können, sind die wenigen, für die ein Angemessenheitsbeschluss der EU-Kommission besteht. Dieses sind aktuell: Andorra, Argentinien, Kanada (nur Wirtschaftsunternehmen), Faröerinseln, Guernsey, Israel (nur für papierhafte Übermittlung), Isle of Man, Japan, Jersey, Neuseeland, Südkorea, Schweiz, Vereinigtes Königreich (UK), Urugay. Bitte beachten Sie in diesem Zusammenhang auch, dass die Übermittlung an Strafverfolgungs- oder Ermittlungsbehörden gem. Verordnung 2016/680 nur in das Vereinigte Königreich zulässig ist.

Auch das Privacy Shield Abkommen zwischen den USA und der EU war ein Angemessenheitsbeschluss, wenn auch unter Auflagen. Die Geschichte des Privacy Shield lehrt uns, dass das Bestehen eines Angemessenheitsbeschlusses keine Garantie auf Dauer für einfache Drittstaatentransfers darstellt. Insbesondere für das Vereinigte Königreich beinhaltet bereits der Angemessenheitsbeschluss selbst ein Verfallsdatum: Den 27.06.2025. Sofern er nicht aktiv verlängert wird, ist das UK dann wieder ein unsicherer Drittstaat – und unsere Befürchtung ist, dass es durchaus genau so kommen kann.

Wie geht es weiter?

Für die USA haben die EU-Kommission und das Weiße Haus am 25.03.2022 Fortschritte in den Verhandlungen zu einem neuen Angemessenheitsbeschluss (Trans Atlantic Data Protection Framework, TADPF) bekanntgegeben. Es ist allerdings aufgrund der Komplexität des Verfahrens nicht zu erwarten, dass dieser Angemessenheitsbeschluss noch im Jahr 2022 verabschiedet wird. Bislang stehen lediglich Eckpunkte und Versprechungen im Raum, mehr dazu finden Sie hier.

 

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.