Nachdem der Europäische Gerichtshof (EuGH) im Juli das EU-U.S. Privacy Shield für ungültig erklärt hat, ist immer noch nicht gänzlich geklärt, inwieweit und ggf. unter welchen zusätzlichen Bedingungen Standardvertragsklauseln ein adäquater Ersatz als Datenschutz-Garantie für den Drittlandtransfer sein können. Der Europäische Datenschutzausschuss (EDSA) setzt nun eine Task Force ein, die sich unter anderem damit befassen soll. Rückt Rechtssicherheit damit endlich in greifbare Nähe?
Update November 2020: Inzwischen liegen erste Empfehlungen des EDSA zum Drittlandtransfer bzw. Einsatz von SCC vor.
Kurzer Rückblick auf das Urteil
Mit dem sog. „Schrems II“-Urteil vom 16. Juli 2020 erklärte der EuGH das EU-U.S. Privacy Shield, ein Abkommen über den Datentransfer zwischen EU und USA, für ungültig. Den Abschluss von Standardvertragsklauseln (Standard Contractual Clauses, SCC) als Garantie für den Datentransfer in unsichere Drittländer (wie die USA) erachtete das Gericht grundsätzlich für weiter möglich.
Allerdings hoben die Richter deutlich hervor, dass Unternehmen beim Einsatz von Standardvertragsklauseln zu prüfen haben, ob der Empfänger der Daten auch tatsächlich das erforderliche Schutzniveau einhalten kann. Bei der Beurteilung des Schutzniveaus dürfen nicht nur die vertraglichen Regelungen berücksichtigt werden, der Datenexporteur muss auch überprüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Klauseln einzuhalten.
Im Fall eines US-Transfers wird das aufgrund der weitreichenden Zugriffsbefugnisse der nationalen Behörden (CLOUD Act und FISA) wohl nicht möglich sein. Nach aktuellem Stand werden höchstwahrscheinlich zusätzliche Maßnahmen zu treffen sein, wenn Standardvertragsklauseln als geeignete Garantien für den Drittlandstransfer herangezogen werden sollen (siehe dazu auch unser Beitrag: EuGH kippt EU-U.S. Privacy Shield – SCC weiterhin gültig).
Ankündigung von Task Forces auf europäischer Ebene
Nachdem erste Datenschutz-Aufsichtsbehörden inzwischen vereinzelt konkreter wurden (z.B. die Orientierungshilfe des LfDI Baden-Württemberg), sollen nun endlich Kriterien für zusätzliche Maßnahmen auf europäischer Ebene ausgearbeitet werden.
Einer aktuellen Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zufolge hat der Europäische Datenschutzausschuss zwei Task Forces gegründet.
Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, in der sich Vertreter der nationalen Datenschutzbehörden und der Europäische Datenschutzbeauftragte zusammen mit der Europäischen Kommission beraten. Ziel ist die Förderung und Sicherstellung einer einheitlichen Anwendung der Datenschutzvorschriften in der Europäischen Union. Die vom EDSA erarbeiteten allgemeinen Leitlinien und verbindlichen Beschlüsse geben den nationalen Aufsichtsbehörden eine einheitliche Linie vor.
Der deutsche Vertreter im EDSA, der BfDI Ulrich Kelber, einigte sich mit seinen europäischen Kollegen auf die Einrichtung einer Task Force, die eine schnelle und europaweit einheitliche Bearbeitung der Beschwerden der Organisation „Non-of-your-business“ (Noyb) zur Nutzung von Google- und Facebook-Services durch europäische Anbieter gewährleisten soll. Noyb will nach dem Schrems-II-Urteil zum EU-U.S. Privacy Shield mit seinen Beschwerden beschleunigen und sicherstellen, dass die Aufsichtsbehörden auch tatsächlich Konsequenzen aus den Schlussfolgerungen des Urteils ziehen und diese nicht im Sande verlaufen.
Mit Einrichtung der EDSA Task Force hat die Organisation auf jeden Fall einen Teilerfolg erzielt. Die Entscheidung des EDSA ist für alle, die auf mehr Rechtssicherheit nach dem Urteil hoffen, ein Gewinn.
Noch wichtiger finden wir aber den zweiten Teil der Pressemitteilung: Es wurde laut BfDI auf Initiative von Deutschland und Frankreich noch eine zweite Task Force ins Leben gerufen. Diese soll insbesondere erarbeiten:
- Kriterien für die Bewertung einer Datenübermittlung im Einzelfall,
- Kriterien für zusätzliche Maßnahmen und
- Verfahrensaspekte für deren Umsetzung.
Fazit: Ein baldiger Zugewinn an Rechtssicherheit ist zu erwarten
Wo die erste Task Force die meisten Unternehmen nur indirekt betrifft, sieht es bei der zweiten Task Force anders aus. Sie lässt einen großen Schritt in Richtung mehr Rechtssicherheit erwarten. Wo bisher jede Aufsichtsbehörde mehr oder weniger unabhängig von den anderen Behörden operierte, könnte es nun zu einer dringend erforderlichen einheitlichen Beurteilung der Rechtmäßigkeit der Datenübermittlung in Drittländer – vor allem in die USA – kommen.
Auch weitere Ankündigungen in der Pressemitteilung lassen aufhorchen: Es soll in Kürze unter anderem eine Richtlinie bezüglich der Zielgruppenansprache von Social-Media-Nutzern vom EDSA erscheinen. Auch hierdurch lässt sich ein Zugewinn an Rechtssicherheit erwarten.
Wir begrüßen es sehr, dass nun, wie in den letzten Wochen schon erwartet, endlich konkrete Schritte auf europäischer Ebene unternommen werden, um für mehr Klarheit nach dem Schrems-II-Urteil des EuGHs zu sorgen. Wir werden Sie auf jeden Fall auf dem Laufenden halten. Abonnieren Sie dafür einfach unseren kostenlosen Datenschutz-Newsletter.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!