Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat am 25.08.2020 die „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ veröffentlicht. Darin gibt der LfDI Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) fest.
Gemäß dem Urteil des EuGH findet die Datenschutz-Grundverordnung auf die
Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen Anwendung, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.
In diesem Zusammenhang wurde das sogenannte „Privacy Shield“, ein Angemessenheitsbeschluss der Kommission nach Art. 45 DSGVO (2016/1250 vom 12.07.2016, noch zur Datenschutz-Richtlinie 95/46/EC), mit dem diese 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau für die Daten natürlicher Personen bieten und so die Übermittlung von Daten in die USA allgemein ermöglicht hatte, als für ab sofort ungültig erklärt.
Zwar sind die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (2010/87/EU vom 05.02.2010), Art. 46 Abs. 2 Buchst. c DSGVO, weiterhin gültig, aber es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.
Der LfDI weist in seiner Orientierungshilfe darauf hin, dass der Verantwortliche nunmehr für den Einzelfall prüfen muss, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Denkbare Maßnahmen wären beispielsweise:
- Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann,
- Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.
Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden. Das gilt insbesondere, wenn das Recht des Drittlandes dem Datenimporteur Verpflichtungen auferlegt, die geeignet sind, vertraglichen Regeln, die einen geeigneten Schutz gegen den Zugriff durch staatliche Behörden vorsehen, zuwider zu laufen. Dies gilt beispielsweise – aber nicht ausschließlich – für folgende Fälle:
- Ein Unternehmen steht in Handelsbeziehung mit Unternehmen, die einen Sitz in den USA haben und tauschen mit diesen personenbezogene Daten über Kunden (Lieferadressen, Beschwerden, Bestellungen etc.) oder Ihre Beschäftigten (Verträge, Netzwerke, etc.) aus.
- Ein Verantwortlicher speichert Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird.
- Es wird ein Videokonferenzsystem eines US-amerikanischen Anbieters genutzt, der Daten der Teilnehmenden erhebt und in die USA übermittelt.
Ist ein angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, wenn der Schutz nicht durch andere Maßnahmen hergestellt werden kann.
Besonders interessant ist für Unternehmen und Behörden (nicht nur in Baden-Württemberg) die im Kapitel 4 der Orientierungshilfe enthaltene Checkliste.