Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW

Nach dem Schrems II Urteil des EuGH (C-311/18) versuchen europäische Verantwortliche und Auftragsverarbeiter, den Einsatz von Dienstleistern aus Drittstaaten und natürlich insbesondere aus den USA den Anforderungen des EuGH anzupassen. Immer wieder diskutiert wird in diesem Zusammenhang auch, ob nicht eine Verlagerung der Daten auf Server in der EU eine Lösung wäre, selbst wenn diese durch ein Tochterunternehmer einer US-Muttergesellschaft betrieben werden. Denn in diesem Fall würde ja keine Übermittlung von Daten in die USA stattfinden.

US CLOUD Act

Wenn personenbezogene Daten über eine Tochtergesellschaft (oder direkt eine Niederlassung) einer amerikanischen Muttergesellschaft auf Server in Europa gehostet werden, wird in der Diskussion um mögliche Alternativen nach Schrems II oft der US CLOUD Act als Problem angeführt. Der US CLOUD Act (PDF) wurde im Jahr 2018 vom US-Kongress verabschiedet. Ziel des Gesetzes ist es u.a., US-Behörden das Recht zu geben, Daten von Unternehmen, die dem US-Recht unterliegen, für Strafverfolgungszwecke anzufordern. Explizit auch solche Daten, die außerhalb der USA gespeichert sind. Das bedeutet, dass auch personenbezogene Daten auf Servern in Europa angefordert werden können.

Gegebenenfalls kann es dann zu einem Konflikt zwischen US-Recht und der DSGVO kommen. Hierzu hatten sich schon einmal der EDSA und der EDSB in einer Stellungnahme geäußert (PDF).

Ein wichtiger Punkt im Rahmen des US CLOUD Act ist die Möglichkeit für betroffene Unternehmen, gegen eine behördliche Anfrage vorzugehen („may file a motion to modify or quash the legal process“). Zwar besteht diese Möglichkeit im Grundsatz, jedoch nur, wenn gewisse Voraussetzungen erfüllt sind. Eine dieser Voraussetzungen ist, dass das Unternehmen gegen das Recht einer sog. „qualifying foreign government“ verstößt. Hierbei handelt es sich um Länder, die mit den USA ein spezielles executive agreement unter dem CLOUD Act abgeschlossen haben (“with which the United States has an executive agreement that has entered into force under section 25239”). Ein solches Abkommen hat bisher nur das Vereinigte Königreich mit den USA abgeschlossen. Die EU verhandelt zu diesem Thema noch mit den USA.

Ansicht der Landesregierung NRW

In einer aktuellen Antwort (PDF) aus Anfang Oktober 2020 im Landtag NRW hat sich die Landesregierung NRW nun zu diesem Themenkomplex geäußert. Es ging dort um „LOGINEO NRW“, konkret den LOGINEO NRW Messenger. Der Messenger wird über einen AVV mit einem Dienstleister betrieben, der wiederum als Subdienstleister die „AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ einsetzt, also ein Tochterunternehmen von Amazon Web Services, Inc. In der Frage an die Landesregierung wird daher auch auf den US CLOUD Act und einen möglichen Konflikt mit der DSGVO eingegangen.

Die Landesregierung führt zunächst aus, dass sich die Betriebsserver für den Messengerdienst in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit würden die Datenschutzgrundverordnung und das nationale Datenschutzrecht gelten. Diese Aussage ist meines Erachtens zumindest missverständlich. Denn allein der Serverstandort (oder: Ort der Datenspeicherung) ist für die Anwendbarkeit der DSGVO nicht relevant. Man wird hier aber in Bezug auf AWS mindestens von der Anwendbarkeit der DSGVO über Art. 3 Abs. 1 DSGVO ausgehen können.

Sodann verweist die Landesregierung für die DSGVO-Compliance darauf, dass es AWS, nach der zu schließenden Auftragsverarbeitungsvereinbarung (diese ist auf der Webseite des Messengers abrufbar), untersagt sei, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Damit verweist die Landesregierung im Grunde auf den Zielkonflikt, dem Unternehmen unterliegen: welches Recht halten wir ein bzw. brechen wir? Wenn sich also hier z.B. der CLOUD Act und die DSGVO gegenüberstehen und die Unternehmen zwischen den Stühlen sitzen. Natürlich ist es möglich, dass vertraglich eine Weitergabe untersagt ist. Rein objektiv betrachtet wird es aber Situationen geben, in denen Unternehmen vor die Wahl gestellt sind, welcher Rechtsordnung sie den Vorzug geben. Dass dies nicht die gewünschte Situation sein kann, ist natürlich auch klar.

Zudem führt die Landesregierung konkret zum US CLOUD Act an:

Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

Diese Aussage ist sicher auf für Unternehmen interessant, die gerade über eine Verlagerung der Datenspeicherung nach Europa denken. Nach Ansicht der Landesregierung ist der Prozess, der dem US CLOUD Act zugrunde liegt, nämlich jenem in Deutschland vergleichbar. Die Landesregierung argumentiert für die Zulässigkeit des Einsatzes von US-Dienstleistern (bzw. deren Tochtergesellschaften) also mit einer Vergleichbarkeit der Rechtslagen in den USA und Deutschland. Oder anders ausgedrückt: die Landesregierung sieht hier wohl Argumentationsspielraum dafür, von einer Gleichwertigkeit des Schutzniveaus für Daten auszugehen. Ich möchte hinsichtlich des Prozesses und konkret der Widerspruchsmöglichkeit für Unternehmen aber auch auf meine Ausführungen oben verweisen.

Interessant ist auch der Hinweis der Landesregierung, dass die Daten der Kommunikation sowohl „bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt“ seien und von an der Kommunikation Unbeteiligten nicht gelesen werden könnten. Meines Erachtens stellt sich dann aber die Frage, ob denn überhaupt eine Auftragsverarbeitungssituation vorliegt, wenn AWS keinen Zugriff auf verschlüsselte Daten hat. Bzw. wozu wird ein AVV abgeschlossen, wenn der Dienstleister gar nicht auf personenbezogene Daten zugreifen kann?

Ob die Ansicht zum US CLOUD Act auch deutsche Datenschutzbehörden teilen würden, ist meines Erachtens zumindest fraglich. Denn wie oben verlinkt, hat der EDSA sich zum US CLOUD Act bereits einmal inhaltlich geäußert und sieht wohl datenschutzrechtliche Probleme. Ich finde die Ansicht der Landesregierung dennoch interessant und meines Erachtens macht es für Unternehmen im Rahmen des internen Mappings von Drittlandsübermittlungen und der Prüfung des Schutzniveaus bei Empfängern in Drittländern durchaus Sinn, auch die Vorgaben des US CLOUD Act zu betrachten. Denn sollte es von Aufsichtsbehörden diesbezüglich, zB im Rahmen einer Prüfung, zu Rückfragen kommen, ist eine entsprechend dokumentierte Auseinandersetzung mit der Rechtslage in dem Drittland zu empfehlen.

 

Der „Dritte“ nach der DSGVO

Wer ist „Dritter“ im Sinne des Art. 4 Nr. 10 DSGVO und was hat diese Rolle für datenschutzrechtliche Folgen?

Mit diesem, in der Praxis durchaus relevanten, Thema, befassen sich u.a. die aktuell veröffentlichten Leitlinien des EDSA (im Entwurf, 07/2020, pdf).

Die DSGVO selbst grenzt in Art. 4 Nr. 10 DSGVO im Grunde zu den übrigen Rollen nur negativ ab, wer nicht (!) Dritter ist. „Dritter“ ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Jedoch nicht:

  • Die betroffene Person
  • Der Verantwortliche
  • Der Auftragsverarbeiter
  • Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (vgl. Art. 29 DSGVO)

Zunächst stellt der EDSA klar, dass die im letzten Spiegelstrich erwähnten „Personen“ solche sind, die zu der juristischen Einheit des Verantwortlichen/Auftragsverarbeiters gehören. Also vor allem Mitarbeiter. Dann werden sie quasi zu dem Verantwortlichen/Auftragsverarbeiter hinzugerechnet. Dies gilt jedoch nur soweit, wie diese Mitarbeiter innerhalb ihres Arbeitgebers befugt sind, mit personenbezogenen Daten umzugehen. Der EDSA geht davon aus, dass Mitarbeiter, die unbefugt/weisungswidrig Daten verarbeiten, nicht in diese privilegierte Kategorie fallen, sondern „Dritte“ sind.

Nun stellt man sich aber die Frage: was ist denn nun dieser „Dritte“ datenschutzrechtlich? Treffen ihn irgendwelche Pflichten der DSGVO (diese spricht ja zumeist den Verantwortlichen oder Auftragsverarbeiter an). Wenn „Dritter“ nach Art. 4 Nr. 10 DSGVO nicht der Verantwortliche oder der Auftragsverarbeiter ist, was soll er dann sein, wenn er mit personenbezogenen Daten umgeht?

Der EDSA vertritt die Ansicht, dass der „Dritte“ grundsätzlich beide Rollen einnehmen kann, je nachdem, wie er in Bezug auf die Daten agiert. Um bei dem Beispiel des Mitarbeiters zu bleiben: verwendet er die Daten weisungswidrig für eigene Zwecke, so agiert er als Verantwortlicher (und ihn treffen alle DSGVO-Pflichten).

Die Figur des „Dritten“ ist also als vorgelagertes Abgrenzungskriterium (zu dem Verantwortlichen/Auftragsverarbeiter, der betroffenen Person und den berechtigten Personen innerhalb einer Organisation) zu verstehen, welches aus dem Blickwinkel des Verantwortlichen/Auftragsverarbeiters bewertet wird. In welcher Pflichtenrolle (Verantwortlicher oder Auftragsverarbeiter) der Dritte agiert, bemisst sich nach der jeweiligen Situation und wie der Dritte mit den Daten umgeht (insb., ob er selbst Zwecke und Mittel der Verarbeitung festlegt).

Meines Erachtens kommt man zu diesem Ergebnis auch durch eine sehr genaue Betrachtung des Wortlauts von Art. 4 Nr. 10 DSGVO. Dort steht immer „dem“ Verantwortliche oder „dem“ Auftragsverarbeiter. Damit bezieht sich der Gesetzgeber (abgrenzend zum Dritten) auf den aktuell bzw. bisher Verantwortlichen/Auftragsverarbeiter.

Wann und warum verhängten Datenschutzbehörden Bußgelder – ein kleiner Überblick

Im Rahmen der Evaluierung der DSGVO nach Art. 97 DSGVO, haben auch die europäischen Datenschutzbehörden Antworten auf verschiedenste Fragen zur Anwendung und praktischen Umsetzung der DSGVO-Vorgaben gegeben. Die Liste aller Antworten ist hier abrufbar.

Die gesammelten Antworten (pdf) der deutschen Datenschutzbehörden sind meines Erachtens durchaus lesenswert. Die zum Teil angegeben Zahlen (zB zu Beschwerden) scheinen meines Erachtens den Stand ca. Ende 2019 abzubilden. Insgesamt gab es seit Mai 2018 danach 66.965 Beschwerden bei den Datenschutzbehörden.

Ganz interessant finde ich die Antworten zu Bußgeldern (S. 17). In dem Fragebogen wird angegeben, dass 208 Bußgelder unter Anwendung der DSGVO verhängt wurden (wie gesagt, wird nicht klar, bis zu welchem Datum die Zahlen erhoben wurden). Zudem informieren die deutschen Behörden auch darüber, in welchen Fällen (also für welche Art von Verstößen) Sanktionen verhängt wurden. Hier eine Auswahl:

  • Nichtbenennung eines Datenschutzbeauftragten
  • Unzureichende Authentifizierungsmaßnahmen in Callcentern
  • Bußgeld gegen einen Polizeibeamten, der seinen Zugang zu arbeitsbezogenen Datenbanken nutzte, um an die persönlichen Daten einer Frau, einschließlich ihrer Telefonnummern, zu gelangen, und sie dann aus privaten Gründen kontaktierte
  • Geldstrafe gegen ein Unternehmen, das keinen schriftlichen Vertrag mit dem Auftragsverarbeiter hatte (Artikel 28 (9) GDPR) und die Rechte der betroffenen Personen durch die Verwendung einer intransparenten und unklaren Sprache verletzt hat (Artikel 12 (1) GDPR),
  • verspätete Benachrichtigung über eine Datenverletzung und keine Information der betroffenen Personen
  • Direktmarketing trotz Widerspruch
  • verspätete Benachrichtigung gemäss Artikel 33 GDPR
  • unbefugtes Abrufen von Daten durch Mitarbeiter
  • Videoüberwachung an Verkaufsstellen
  • Videoüberwachung von Angestellten
  • Offenlegung von Anwalt/Mandanten-Beziehungen gegenüber einer dritten Partei
  • rechtswidrige Sammlung persönlicher Daten über Dashcam
  • unrechtmäßige Übermittlung personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen
  • keine oder unzureichende Informationen an die Aufsichtsbehörde
  • Entsorgung personenbezogener Daten ohne notwendige Sicherheitsvorkehrungen
  • unrechtmäßige Offenlegung persönlicher Daten in sozialen Medien
  • Videoüberwachung von Mitarbeitern und Kunden
  • im öffentlichen Gesundheitssektor wegen Vermischung von Patientendaten und nicht ausreichender TOM
  • unzulässige Videoüberwachung
  • Versand von Werbe-E-Mails
  • E-Mail-Zustellung
  • Verletzungen von Zugangsrechten
  • mangelnde Kooperation
  • verdeckte Videoüberwachung
  • unbeantwortete Anfrage nach Informationen
  • Versäumnis, der Aufsichtsbehörde Zugang zu den Räumlichkeiten des Kontrolleurs zu gewähren.

Diese Information ist mE vor allem deshalb relevant, da man als Berater bzw. Unternehmen so auch einen guten Überblick darüber bekommt, welche Verarbeitungsbereiche oder Prozesse besondere Risiken bergen.

Zudem erläutern die Datenschutzbehörden auf Basis ihres Bußgeldkonzepts, welche Faktoren erhöhend oder mindernd auf das potenzielle Bußgeld wirken (S. 19).

Erhöhend:

  • (sehr) lange Dauer
  • Art, Umfang oder Zweck der Verarbeitung sind datenschutzrechtlich zu missbilligen/kritisch
  • (sehr) viele betroffene Personen
  • (sehr) schwer erlittener Schaden
  • notwendige Maßnahmen nicht eingeleitet
  • keine / schlechte Zusammenarbeit im Verwaltungsverfahren
  • vom Beschwerdeführer gemeldetes Vergehen / Hinweis / Presse
  • wirtschaftliche Situation (z.B. sehr hohe Umsatzrentabilität)

Mindernd:

  • (sehr) kurze Dauer
  • (sehr) wenige betrafen betroffene Personen
  • (sehr) wenig / kein Schaden erlitten
  • Maßnahmen haben Schäden ausgeschlossen
  • Zusammenarbeit übertraf deutlich das erwartete Niveau
  • Der Kontrolleur meldete das Vergehen von sich aus
  • wirtschaftliche Situation (z.B. drohende Insolvenz)
  • Schuldeingeständnis

Ergänzungen der EU-Standardvertragsklauseln – ist eine Genehmigung durch die Datenschutzbehörde wirklich erforderlich?

Nach dem Schrems II Urteil des EuGH (C-311/18) wird viel darüber diskutiert, wie die vom EuGH vorgeschlagenen „zusätzlichen Maßnahmen“ (Rz. 133) in die geltenden Standardvertragsklauseln (SCC) aufgenommen oder an diese angehängt werden können, ohne Gefahr zu laufen, dass die so ergänzten Klauseln einer Genehmigung durch die Aufsichtsbehörde bedürfen. Der nachfolgenden Analyse liegt stets eine geplante Ergänzung der Klauseln zu Grunde, die sich positiv auf die Betroffenen auswirken würde (auch wenn allein schon diese Frage in der Praxis nicht immer einfach zu beantworten ist).

Zum Hintergrund

Nach Art. 46 Abs. 2 lit. c) iVm Abs. 5 DSGVO können die die bisherigen SCC als geeigneten Garantien eingesetzt werden, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre. Der Einsatz der unveränderten SCC ist mithin sicher genehmigungsfrei.

Die in dem Verfahren relevanten Standardvertragsklauseln (2010/87/EU) schreiben in Art. 10 vor: „Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.“ (Hervorhebung nur hier)

Der EuGH geht in seinem Urteil nun aber davon aus, „die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen“ (Hervorhebung nur hier), um die Einhaltung des unionrechtlich verlangten Schutzniveaus zu gewährleisten (Rz. 133). Als Begründung stellt der EuGH u.a. auf ErwG 109 DSGVO ab, in dem es heißt: „[d]ie dem Verantwortlichen … offenstehende Möglichkeit, auf die von der Kommission … festgelegten Standard-Datenschutzklauseln zurückzugreifen, … den Verantwortlichen [nicht] daran hindern [sollte], ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen“ (Hervorhebung nur hier) und dass der Verantwortliche insbesondere „ermutigt werden [sollte], [durch Ergänzung der Standarddatenschutzklauseln] zusätzliche Garantien zu bieten“.

Sowohl aus dem ErwG 109 DSGVO als auch dem Urteil des EuGH ergibt sich damit klar, dass „weitere Klauseln“ oder „Ergänzungen“ der geltenden SCC möglich, ja sogar zwingend erforderlich sein können, um ein angemessenes Schutzniveau im jeweiligen Drittland gewährleisten zu können. Zu einer daraus resultierenden Genehmigungspflicht äußert sich weder der EuGH, noch verhält sich ErwG 109 hierzu.

Woraus ergibt sich also die Ansicht, dass Ergänzungen der SCC genehmigt werden müssen? Meines Erachtens sprechen ErwG 109 DSGVO also auch die Vorgabe des EuGH zumindest nicht für eine Genehmigungspflicht.

Ansichten der Datenschutzbehörden

A.

Noch zur alten Rechtslage hat sich hierzu die AG „Internationaler Datenverkehr“ der deutschen Aufsichtsbehörden geäußert.

„Bei Änderung eines Standardvertrages, die eindeutig zugunsten des Betroffenen ausfällt, besteht u. U. keine Genehmigungspflicht nach § 4 c Abs. 2 BDSG, was durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären ist“.

(Abgestimmte Positionen der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13. Februar 2007 – Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006 Punkt II Nr. 4). Zumindest gingen die Behörden damals nicht per se von einer Genehmigungsbedürftigkeit aus. Jedoch sollte die Behörde um Rat gefragt werden.

B.

Aktueller ist die Ansicht des Landesbeauftragten für Datenschutz in Rheinland-Pfalz.

Sofern die Standardvertrags- bzw. Standarddatenschutzklauseln in unveränderter Form verwendet werden, sind die Datenübermittlungen genehmigungsfrei. Dies gilt auch noch dann, wenn ihnen weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den Standardklauseln stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beschneiden (Erwägungsgrund 109). Bei solchen Hinzufügungen sollten Unternehmen jedoch eine gewisse Vorsicht walten lassen, da im Falle eines inhaltlichen Widerspruchs zu den Standardvertrags- bzw. Standarddatenschutzklauseln die Übermittlung genehmigungspflichtig wird“ (Hervorhebungen nur hier)

Der LfDI sieht also durchaus die zulässige Möglichkeit, die SCC durch zusätzliche Klauseln (etwa Pflichten für de Importeur) zu ergänzen, ohne, dass dadurch eine Genehmigungspflicht entsteht. Zudem informiert er darüber, dass eine solche Ergänzung wohl nur dann als genehmigungsfrei angesehen wird, wenn sie nicht im Widerspruch zu den Klauseln der SCC steht.

C.

Strenger, jedoch leider ohne Begründung, ist die Ansicht des Hessischen Beauftragten für Datenschutz.

Zwar ist es möglich, die Standarddatenschutzklauseln auch in umfangreichere Vertragswerke einzubauen oder um zusätzliche Klauseln zu ergänzen. Zu bedenken ist allerdings, dass die Übermittlung der Daten nur dann genehmigungsfrei ist, wenn die Standarddatenschutzklauseln unverändert verwendet werden (Hervorhebung nur hier). Die Behörde sieht wohl also gar keine Möglichkeit, die SCC zu ergänzen, ohne, dass eine Genehmigung der Behörde erforderlich wäre. Warum dies so ist, begründet die Behörde aber leider nicht.

D.

Einen Mittelweg wählt die Aufsichtsbehörde aus NRW.

Einer besonderen Genehmigung der EU-Standardvertragsklauseln durch die LDI NRW bedarf es nicht, denn die Eignung des Vertragswerks als Garantie im Sinne des Art. 46 Abs. 1 DS-GVO folgt bereits aus der Erwähnung in Art. 46 Abs. 2 lit. c) DS-GVO . Werden allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge miteinander vermischt, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Grundsätzlich können darunter auch Ergänzungen fallen, die der Anpassung an die DS-GVO dienen (etwa zur Erfüllung der Voraussetzungen des Art. 28 Abs. 3 DS-GVO durch die EU-Standardvertragsklauseln selbst). Ob im Einzelfall keine Genehmigungspflicht und/oder Abstimmungspflicht auf EU-Ebene besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.“ (Hervorhebung nur hier). Die LDI NRW tendiert wohl zu einer Genehmigungspflicht, empfiehlt jedoch, eine entsprechende Rückfrage bei der Aufsichtsbehörde zu stellen.

Eigene Interpretation

Als ich mich dem Thema genähert habe, habe ich mich zunächst gefragt, woraus sich eigentlich ergibt, dass Ergänzungen per se genehmigungsbedürftig seien? Aus der DSGVO ergibt sich dies mE nämlich nicht. Im Gegenteil sprechen die Vorgaben des ErwG 109 DSGVO meiner Ansicht nach eher für die Möglichkeit der Ergänzung, ohne Genehmigungspflicht.

Denn ErwG 109 DSGVO geht von der Möglichkeit der Verwendung der SCC (= genehmigungsfrei) aus, was den Verantwortlichen aber gerade nicht „daran hindern“ soll, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den SCC stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Ich verstehe diese Erläuterung so, dass die Einfachheit des Einsatzes (nicht daran hindern) eben gerade nicht durch Ergänzungen aufgehoben werden soll, wenn diese Ergänzungen positiv für Betroffene sind. Denn wozu wäre sonst der letzte Teil des Satzes relevant, wenn doch jede Anpassung ohnehin genehmigt werden müsste (egal ob positiv oder negativ). Oder anders ausgedrückt: eine Genehmigungsbedürftigkeit bei positiver Anpassung würde mich als Unternehmen daran hindern, die SCC in der eigentlich vorgesehen genehmigungsfreien Form zu nutzen.

Einziger Anhaltspunkt dafür, dass Änderungen zu einer Genehmigungspflicht führen, wäre meines Erachtens die Klausel 10 der SCC selbst. Dieser Klausel steht aber derzeit ErwG 109 DSGVO und die Vorgabe des EuGH entgegen.

Klar für eine genehmigungsfreie Anpassung der SCC sprechen auch die FAQ der EU-Kommission zu internationalen Datentransfers (pdf). Auf die Frage „9. CAN COMPANIES INCLUDE THE STANDARD CONTRACTUAL CLAUSES IN A WIDER CONTRACT AND ADD SPECIFIC CLAUSES?” wird dort geantwortet (B.1.9):

Yes. Parties are free to agree to add other clauses as long as they do not contradict, directly or indirectly, the standard contractual clauses approved by the Commission or prejudice fundamental rights or freedoms of the data subjects. It is possible, for example, to include additional guarantees or procedural safeguards for the individuals (e.g. online procedures or relevant provisions contained in a privacy policy).”

Unter B.1.10 gibt die Kommission dann zu Bedenken: „Once they change the standard contractual clauses these are no longer “standard”. The companies will consequently not benefit from the specific favourable treatment attached to the standard contractual clauses”.

Fazit

Für mich ergibt sich hieraus folgendes Bild: sowohl der EuGH als auch ErwG 109 DSGVO gestatten (ja fordern) ausdrücklich die Ergänzung der Klauseln um zusätzliche Garantien bzw. Klauseln. Damit die SCC ihren genehmigungsfreien Charakter nicht verlieren, muss wohl (so verstehe ich die FAQ der Kommission) darauf geachtet werden, dass die Klauseln der SCC selbst nicht angefasst werden, sondern quasi on top noch Pflichten oder mehr Rechte vereinbart werden. In der Praxis wird es sicher nicht immer einfach sein, klar eine Trennlinie zu ziehen, ob eine neue Pflicht oder neue Klausel auch wirklich keine Änderung der SCC-Klauseln darstellt. Meines Erachtens sprechen aber gute Gründe dafür, dass bei entsprechender Ergänzung der SCC um weitere (!) und zusätzliche (!) Garantien, eine Genehmigungsbedürftigkeit nicht besteht.

VG Schleswig: DSGVO erfordert keine öffentliche Stellenausschreibung für das Amt des Landesdatenschutzbeauftragten

Das VG Schleswig hat im Verfahren des einstweiligen Rechtschutzes entschieden (Beschl. v. 19.08.2020 – 12 B 36/20), dass die Wiederwahl der Landesbeauftragten in Schleswig-Holstein mit der DSGVO vereinbar war.

Sachverhalt

Der Antragsteller, ein Volljurist und seit 2016 bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen tätig, bewarb sich am 7.6.2020 für das Amt des Landesbeauftragten für Datenschutz. Zuvor (am 4.6.2020) beantragten die Fraktionen im Landtag die bisherige Landesbeauftragte wiederzuwählen.

Der Antragsteller begründete sein Vorbringen u.a. damit, dass die beabsichtigte Ernennung gegen Art. 53 DSGVO verstoße, da die Besetzung der Leitungsposition nicht „im Wege eines transparenten Verfahrens“ erfolge. Nach Art. 53 Abs. 1 DSGVO sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.

Entscheidung

Direkt vorab: die Wiederwahl von Frau Hansen zur Landesbeauftragten halte ich im Ergebnis für gut, denn Frau Hansen ist eine sehr kompetente und geschätzte Landesbeauftragte.

Kritisieren möchte ich daher hier auch nicht diese spezielle Wiederwahl, sondern die Begründung und Ansicht des Verwaltungsgerichts zur Auslegung von Art. 53 DSGVO.

Das Verwaltungsgericht begründet seine Ablehnung des Antrags damit, dass das in § 5 Abs. 1 S. 1 ULDErrG SH geregelte Wahlverfahren nicht gegen das Transparenzgebot verstoße.

Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es – anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 – nicht“.

Das ist die gesamte Begründung des Gerichts zu seiner Ansicht. Mehr nicht. Das Gericht verweist, zur Untermauerung dieser Ansicht, noch auf zwei Literaturansichten (Boehm, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl., Art. 53 DSGVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8).

Das Gericht lässt hierbei aber völlig die gegenteiligen Ansichten außer Betracht. Vgl. etwa:

–          Selmayr, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 53 Rn. 5.

–          Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 53 Rn. 4.

–          Tendenziell wohl auch Römer, in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl. 2020, Art. 53 Rn. 19.

Zudem ist meines Erachtens auch der Verweis auf die Ansicht von Prof. Boehm zum Beleg, dass eine Ausschreibung nicht erfolgen muss, nicht richtig. Prof. Boehm legt nur dar, dass diese Ausschreibung in Deutschland nicht vorgesehen ist, was aber nicht bedeutet, dass dies nach der DSGVO nicht erforderlich wäre. Im Gegenteil verlangt Prof. Boehm für das Verfahren, dass dieses für die Bürger überprüfbar und nachvollziehbar erfolgen muss.

Nach Ansicht des Verwaltungsgerichts war öffentlich bekannt, wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen. Zudem geht das Gericht davon aus, dass es einer öffentlichen Debatte über mögliche Kandidaten nicht bedurfte.

Die Ansicht des Verwaltungsgerichts zur Anwendung von Art. 53 Abs. 1 DSGVO halte ich für mindestens diskutabel und im Ergebnis dem Datenschutzrecht wenig zuträglich. Denn ich möchte vermuten, dass eine öffentliche Kenntnis von Anträgen in Landesparlamenten nicht unbedingt so an die Öffentlichkeit gelangen, wie eine öffentliche Ausschreibung mit einer Bewerbungsfrist. Ich persönlich sehe keinen Grund, warum man eine öffentliche Ausschreibung und ein Bewerbungsverfahren nicht durchführen sollte. Je weniger die Öffentlichkeit an diesem Prozess beteiligt ist, desto eher kann bei externen Beobachtern der Eindruck entstehen, dass man sich vorab intern auf einen Kandidaten geeinigt hat, der für die Position „passt“.

Zudem eine Anmerkung zu dem Verweis auf die Verordnung (EG) 45/2001. Diese ist überhaupt nicht mehr anwendbar. Und zwar seit dem 11.12.2018 (!). Denn es gibt eine Nachfolgeverordnung (Verordnung (EU) 2018/1725), in der die Aufhebung der alten Verordnung in Art. 99 VO 2018/1725 angeordnet wird. Das Verwaltungsgericht stützt seine Ansicht mithin u.a. auf eine nicht mehr anwendbare Verordnung. Freilich muss beachtet werden, dass in Art. 53 Abs. 1 VO 2018/1725 eine entsprechende Regelung für eine öffentliche Ausschreibung für das Amts des Europäischen Datenschutzbeauftragten geschaffen wurde.

Meines Erachtens muss aber nicht aus dieser Regelung geschlossen werden, dass im Rahmen der DSGVO das geforderte „transparente Verfahren“ gerade keine Ausschreibung verlangt. Der Unterschied beider Verordnungen liegt u.a. darin, dass sich VO 2018/1725 nicht an verschiedene Staaten mit unterschiedlichen nationalen Regelungen im Bereich des Beamten- oder Verwaltungsrechts richtet. VO 2018/1725 bezieht sich allein auf die EU-Ebene und die Regelung zur Ausschreibung konnte (bzw. musste sogar) in der VO 2018/1725 erfolgen.

Dass die Anforderungen an das transparente Verfahren wohl auch in Deutschland unterschiedlich interpretiert werden, zeigt beispielhaft die letzte öffentliche Stellenausschreibung für das Amt des Landesbeauftragten in Sachsen-Anhalt.

Die Auslegung und Anwendung von Art. 53 DSGVO ist aus meiner Sicht auf jeden Fall ein spannendes Thema, zu dem sicher noch diskutiert werden kann.

The role of „Convention No. 108” and “Convention No. 108+” as part of the examination of the level of protection in third countries under the GDPR

Following the decision of the European Court of Justice in the Schrems II case (C-311/18), it is becoming increasingly clear that the content of this ruling by no means only affects data transfers to the USA. In the absence of an adequacy finding by the European Commission, the ECJ requires data exporters to assess whether an equivalent level of protection for personal data exists in the respective third country prior to the transfer.

The question arises as to what significance Convention No. 108 and No. 108+ (one speaks of „No. 108+“ since the old Convention was adapted in 2018) of the Council of Europe for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention No. 108) plays in the examination of the level of protection in third countries that are party to this international agreement. My colleague Philipp Quiel and I have considered this issue in greater depth and compared the requirements of the GDPR for an „equivalent level of protection“ with the provisions of Convention No. 108+. The article can be downloaded here (PDF).

Die Rolle von „Übereinkommen Nr. 108+“ im Rahmen der Prüfung des Datenschutzniveaus in Drittländern nach der DSGVO

Nach der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) wird vermehrt deutlich, dass der Inhalt dieses Urteils bei weitem nicht nur Auswirkungen auf Datenübermittlungen in die USA hat. Wenn kein Angemessenheitsbeschluss der Europäischen Kommission existiert, fordert der EuGH von datenexportierenden Verantwortlichen, dass sie vor der Übermittlung prüfen, ob in dem jeweiligen Drittland ein gleichwertiges Schutzniveau für personenbezogene Daten existiert.

Es stellt sich die Frage, welche Bedeutung das Übereinkommen Nr. 108+ (man spricht von „Nr. 108+“, da das alte Übereinkommen im Jahre 2018 angepasst wurde) des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) bei der Prüfung des Schutzniveaus in Drittländer spielt, die Vertragspartei dieses völkerrechtlichen Übereinkommens sind. Mein Kollege Philipp Quiel und ich haben uns hierzu ein paar tiefergehende Gedanken gemacht und die Vorgaben der DSGVO für ein „gleichwertiges Schutzniveau“ den Regelungen des Übereinkommen Nr. 108+ gegenübergestellt. Den Beitrag kann man hier herunterladen (PDF).

Ergänzung vom 31.8.2020: aufgrund des Feedbacks auf Twitter haben wir die gegenüberstellende Analyse um die Regelungen des Übereinkommens 108 und Informationen zum Gültigkeitsstatus ergänzt. Danke.

Bundesländer schließen Vereinbarung zur gemeinsamen Verantwortlichkeit nach DSGVO – Blaupause für die Praxis?

Die Rechtsfigur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) hat seit den EuGH Urteilen in Sachen Wirtschaftsakademie (C-210/16) und FashionID (C-40/17) Hochkonjunktur. Das Problem in der Praxis: niemand weiß, wie genau eine von der DSGVO geforderte Vereinbarung aussehen muss. Art. 26 DSGVO gibt hierzu nur rudimentäre Anhaltspunkte; ganz anders etwa als Art. 28 DSGVO für die Auftragsverarbeitung. Für die Praxis ist dies positiv und negativ zugleich. Positiv, da man einen gewissen Gestaltungsspielraum hat; negativ, da man diesen Gestaltungsspielraum nicht sicher definieren kann.

Daher freue ich mich immer, wenn ich Beispiele für Vereinbarungen nach Art. 26 DSGVO sehe.

Ein solches Beispiel habe ich nun in der Parlamentsdokumentation des Landtages NRW entdeckt. Dort ist der „Entwurf einer Vereinbarung gemäß Artikel 26 Datenschutz-Grundverordnung (DS-GVO) über die Verarbeitung personenbezogener Daten der Händler und Hersteller von Waffen und wesentlichen Waffenteilen in der Kopfstelle des Nationalen Waffenregisters“ (pdf) abrufbar.

Hintergrund der Vereinbarung (die ab dem 1.9.2020 gelten soll) ist das Inkrafttreten neuer Vorschriften zum Nationalen Waffenregister (NWR). Diese beinhalten eine Registrierungspflicht der Händler und Hersteller von Waffen. In der Form einer „Kopfstelle“ beauftragen alle Bundesländer die Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) mit Datenverarbeitungen.

Die Vereinbarung nach Art. 26 DSGVO wird hier also von alles Bundesländern getroffen.

Aus Sicht der Praxis lohnt sich sicher ein Blick in die Vereinbarung. Sei es, um in eigenen Ansichten bestätigt zu werden oder auch, um neue Anregungen zu erhalten. Nach dem Motto: wie machen das eigentlich die Bundesländer?

Einige Anmerkungen zu der Vereinbarung selbst.

In § 1 wird der Hintergrund der Vereinbarung erläutert. Zudem wird in Abs. 3 in Form einer detaillierten Aufzählung festgelegt, worauf sich die gemeinsame Verantwortlichkeit bezieht. Es werden nacheinander einzelne Verarbeitungstätigkeiten beschrieben. Dies in einer beschreiben Form auf faktischer Ebene. Das halte ich für sinnvoll.

§ 2 enthält dann eine Beschreibung der Datenkategorien und auch einen Hinweis auf den Erlaubnistatbestand der Verarbeitung.

§ 3 befasst sich mit der Erfüllung von Betroffenenrechten. Ein für die Praxis sehr relevantes Thema. Hinsichtlich der Informationspflichten wird (sinnigerweise) intern festgelegt, welche Partei sich um die Erteilung der Informationen nach Art. 13, 14 DSGVO und auch des Wesentlichen der Vereinbarung (Art. 26 Abs. 2 DSGVO) kümmert. Achtung: dies soll die Betreiberin der Kopfstelle sein; also nicht eine Partei der Vereinbarung selbst. Daher ist hier auch nur geregelt, dass die Betreiberin der Kopfstelle damit beauftragt wird. Sie kann aber nicht in der Vereinbarung selbst verpflichtet werden (Stichwort: Vertrag zu Lasten Dritter).

Interessant ist zB noch, dass in Abs. 4 Regelungen zur Identifizierung von Betroffenen festgelegt sind, wenn diese Auskunftsansprüche geltend machen.

In § 5 geht es um Meldungen nach Datenschutzverletzungen. Hier ist jede Partei selbst für die Meldung an die für sie zuständige Behörde verantwortlich.

In § 8 geht es um die Beauftragung und Einbindung der Betreiberin der Kopfstelle. Die DVZ M-V GmbH wird als Betreiberin der Kopfstelle als „Auftragsverarbeiterin der Parteien im Sinne von Artikel 28 DS-GVO“ betrachtet.

Nach Abs. 2 muss Partei 8 (das ist das Land Mecklenburg-Vorpommern) „im Namen aller Parteien einen Vertrag nach Art. 28 DS-GVO im Hinblick auf die Verarbeitung der von ihnen zu verantwortenden personenbezogenen Daten“ mit der DVZ M-V GmbH abschließen. Bedeutet: nicht jede Partei muss einzeln mit dem AVler kontrahieren. Das geht auch durch eine beauftragte Partei, im Namen aller. Zudem sehen die Abs. 3 und 4 einen Mechanismus zur Aufnahme weiterer AVler vor. Es muss eine vorherige schriftliche Zustimmung aller Parteien eingeholt werden. So ein Mechanismus kann in Unternehmensgruppen natürlich wahnsinnig aufwendig sein. Hier könnte man überlegen, ob denn diese Zustimmung (ähnlich wie bei Art. 28 DSGVO) nicht schon vorab erteilt wird und die übrigen Parteien informiert werden und ggfs. widersprechen können.

§ 10 enthält Regelungen zur Haftung. Diese sind jedoch wenig spektakulär und geben im Grunde die Vorgaben der DSGVO wieder. Interessant ist aber, dass die Bundesländer davon ausgehen, dass sie nach außen für Schäden gesamtschuldnerisch haften und zwar nach Maßgabe der Regelungen zum Schadensersatz (Art. 82 DSGVO). Zu einer Haftung bzgl. der Nichterfüllung von Betroffenenrechten (Art. 26 Abs. 3 DSGVO) oder im Fall von Bußgeldern, wird dort nichts geregelt.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.

Datenschutzbehörde Niedersachsen: umfassende FAQ zur Auftragsverarbeitung nach der DSGVO

Die LfD Niedersachsen hat auf ihrer Webseite ein Dokument mit FAQ zur Auftragsverarbeitung nach der DSGVO veröffentlicht (Stand: Juni 2020).

Derartige Dokumente und Hinweise sind in der Praxis gerade mit Blick auf das Thema Auftragsverarbeitung sehr wertvoll, da die DSGVO diesbezüglich gar keine Beispiele enthält und sich immer wieder Abgrenzungsfragen stellen.

Nachfolgend greife ich ein paar Ansichten und Hinweise der LfD heraus.

Wann liegt eine Auftragsverarbeitung vor?

Nach Auffassung der LfD geht es bei einer Auftragsverarbeitung „um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten“. Als Beispiel nennt die Behörde datenschutzkonforme Vernichtung von Dokumenten oder Datenträgern.

In Frage 2 stellt die LfD zwei Prüffragen zur Einordnung dar, ob eine AV-Konstellation vorliegt. Sollten beide Fragen mit „ja“ beantwortet werden, so liege eine Auftragsverarbeitung vor.

Erste Frage: Werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet?

Zweite Frage: Ist die mit der Verarbeitung personenbezogener Daten beauftragte Stelle nicht verantwortlich?

Meines Erachtens sind diese beiden Fragen jedoch in der Praxis nicht unbedingt zielführend. Insbesondere hinsichtlich der ersten Frage gibt es oft Situationen, in denen zwar Daten verarbeitet werden, aber natürlich keine Auftragsverarbeitung vorliegt. Zudem kann man eigentlich die zweite Frage für sich alleinstehen lassen. Denn diese betrifft schon das Ergebnis, was eigentlich mit Beantwortung beider Fragen erst gefunden werden soll. Oder anders: wenn jemand Verantwortlicher in Bezug auf eine Verarbeitung ist, dann ist er nicht Auftragsverarbeiter. Das ist klar, soll aber durch die beiden Fragen eigentlich erst festgestellt werden.

Für die Praxis relevant sind einige bei der zweiten Frage genannten Regelbeispiele für Auftragsverarbeitungen:

  • Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort,
  • Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • elektronische Rechnungserstellung.

Privilegierung der Auftragsverarbeitung?

Zudem geht die LfD auch darauf ein, ob der Auftragsverarbeiter eine eigene Rechtsgrundlage für die Verarbeitung benötigt.

Dies ist nach Ansicht der LfD nicht der Fall. Aber: es ist das Vorliegen einer Rechtsgrundlage nötig, jedoch nicht beim Auftragsverarbeiter. Der Auftragsverarbeiter stützte sich für die Verarbeitung personenbezogener Daten „im Auftrag“ auf die dem Verantwortlichen zustehende Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Wie die LfD zu diesem Ergebnis auf Grundlage der DSGVO kommt, bleibt aber unklar.

Entscheidend ist der Kern der beauftragten Leistung

Im Zusammenhang mit den obigen Kontrollfragen stellt die LfD dann bei Frage 4 klar, dass es auch Konstellationen gibt, in denen zwar Daten verarbeitet werden, die andere Stelle aber nicht als Auftragsverarbeiter agiert. Ähnlich wie schon das BayLDA, stellt die LfD (meines Erachtens zurecht) auf den Kern der beauftragten Leistung ab. Eine Auftragsverarbeitung kann daher verneint werden,

wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 zur DS-GVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dieses kann im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt.

Die LfD nennt hierfür auch Beispiele:

  • Wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken
  • Der Hersteller von Produkten erhält für mit Endkunden vereinbarte Direktlieferungen vom Online-Händler die Adresse des Kunden (Dropshipping) (hierzu enthält das Dokument auch ein Schaubild)
  • Blumen- oder Weinhändler erhält zur Versendung von Blumen- beziehungsweise Weingeschenken an dritte Personen von seinem Kunden eine Liste mit Adressdaten der Empfänger

Vertrag ist nicht immer erforderlich

Interessant ist zudem die Ansicht der LfD, ob immer ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) abzuschließen ist. Zwar sein für die Auftragsverarbeitung ein konkreter Rahmen festzulegen.

Dafür müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung schließen. Alternativ kann sich der Auftragsverarbeiter zum Beispiel auch einseitig gegenüber dem Verantwortlichen verpflichten.

Die LfD lässt mithin auch die einseitige Verpflichtung des Auftragsverarbeiters ausreichen. Näher begründet wird diese Ansicht nicht. Ich vermute, die LfD stützt sich auf Art. 38 Abs. 3 DSGVO, in dem es heißt: „oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet“.

Antworten auf Einzelfragen

In Antwort 7 des Dokuments finden sich dann verschiedene Antworten auf spezifische Einzelfragen.

Dort verweist die LfD u.a. auf eine abgestimmte Position der deutschen Behörden, dass für IT-Wartungsdienstleistungen ein Vertrag zur Auftragsverarbeitung abzuschließen ist. Grund sei, dass im Rahmen der beauftragten Tätigkeit für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten bestehe, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Meines Erachtens steht diese Ansicht aber der zuvor genannten Sichtweise entgegen, dass es auf den Kern der Beauftragung ankommt. Wenn ein Unternehmen aber gerade nicht mit der Verarbeitung von Daten (oder dem Zugriff darauf) beauftragt wird, dann liegt eigentlich keine Auftragsverarbeitung vor. Nach Ansicht der Behörden hier dann aber wohl doch. Die Begründung: aufgrund der

bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.

Die Möglichkeit (!) des Zugriffs, führt also zum Schwerpunkt der Tätigkeit. Interessant. Meines Erachtens ist diese Auffassung nicht mit der zuvor von der LfD selbst genannten Ansicht, nach der es stets um den Kern der beauftragten Leistung geht, vereinbar. Zumindest fehlt mir eine plausible Begründung für diese Abweichung. Ich vermute, die deutschen Behörden möchten gerne die gesetzliche Fiktion des § 11 Abs. 5 BDSG aF in das neue Datenschutzrecht „retten“. Dazu muss man aber sagen: § 11 Abs. 5 BDSG aF existiert weder im neuen BDSG und erst recht nicht in der DSGVO. Diese Auffassung halte ich daher für diskutabel, zumal sie in der Praxis Unsicherheiten schafft, wann allein die Möglichkeit eines Zugriffs quasi zur Auftragsverarbeitung führt.