Fragen, Antworten und Praxistipps zum weiteren Einsatz von Standardvertragsklauseln 

von Tim Wybitul, Valentino Halim

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) die Rahmenbedingungen für internationale Datentransfers neu geordnet. Danach ist der Privacy Shield für Datenübermittlungen in die USA ungültig. Unternehmen dürfen den Privacy Shield nicht mehr als Transfermechanismus nutzen, um personenbezogene Daten rechtskonform in die USA zu übermitteln. Doch die Folgen der Entscheidung haben über den Privacy Shield hinaus weitere gravierende Folgen. Zwar dürfen Unternehmen die in der Praxis besonders wichtigen EU-Standarddatenschutzklauseln („Standardvertragsklauseln“) weiterhin für Datenübermittlungen in die USA oder andere Drittländer einsetzen. Allerdings in eigener Verantwortung. Sie müssen nun eine Einzelfallprüfung durchführen, ob im Rahmen der konkreten Übermittlung personenbezogener Daten ein gleichwertiges Schutzniveau wie in der Europäischen Union (EU) gewährleistet ist. Weitere Einzelheiten zum Schrems II-Urteil sowie erste Handlungsempfehlungen finden Sie in unserem Client Alert „Das Schrems II-Urteil des EuGH: Was müssen Unternehmen bei internationalen Datentransfers ändern?“.

Die vom EuGH und dem Europäischen Datenschutzausschuss (EDSA) geforderte Einzelfallprüfung weist Unternehmen die Verantwortung für einen rechtmäßigen Einsatz von Standardvertragsklauseln zu. Der EDSA ist das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden, so dass seinen Stellungnahmen erhebliche Bedeutung zukommt. Die neue Prüfungspflicht bei Datentransfers und ihre konkrete Interpretation durch den EDSA und die lokalen Datenschutzaufsichtsbehörden führen insbesondere bei Datentransfers in die USA zu einiger Rechtsunsicherheit. Die veränderte Rechtslage stellt Unternehmen vor Herausforderungen. Die folgenden Fragen und Antworten (FAQ) zum Einsatz von Standardvertragsklauseln bieten Unternehmen praktische Empfehlungen, welche Handlungsmöglichkeiten ihnen bei Datentransfers in die USA derzeit bestehen. Um diese Handlungsempfehlungen praxisgerecht und belastbar umzusetzen, stellen wir unseren Mandanten gerne auf Anfrage entsprechende Vorlagen und Musterdokumente zur Verfügung. Diese Vorlagen umfassen beispielsweise Fragebögen und ein Risikobewertungsmodell zur Durchführung der Einzelfallprüfung sowie ergänzende Vertragsklauseln zu den Standardvertragsklauseln als zusätzliche Schutzmaßnahmen. Weiter Einzelheiten finden Sie am Ende dieses Überblicks. Zudem beraten wir unsere Mandanten individuell zur Gestaltung rechtskonformer Drittlandtransfers sowie zu möglichen Verteidigungsstrategien.

  1. Welche rechtlichen Anforderungen stellen Datenschutzaufsichtsbehörden nach dem Schrems II-Urteil für den Einsatz von Standardvertragsklauseln?

Unmittelbar nach dem Schrems II-Urteil hatten mehrere deutsche Datenschutzaufsichtsbehörden zunächst unterschiedliche Interpretationsansätze veröffentlicht. Siehe hierzu etwa die Stellungnahmen der Datenschutzbehörden Hamburg, Rheinland-Pfalz und Berlin. Mittlerweile haben sowohl die deutsche Datenschutzkonferenz (DSK) sowie der EDSA koordinierte Stellungnahmen abgegeben. Damit haben sowohl die gemeinsamen Gremien der deutschen und der EU-Datenschutzaufsichtsbehörden nun erste Positionen zur Rechtslage nach Schrems II bezogen. Danach müssen Daten exportierende Unternehmen zusammengefasst künftig die folgenden Anforderungen einhalten, um Standardvertragsklauseln rechtmäßig einsetzen zu können:

  • Einzelfallprüfung des Schutzniveaus: Im Rahmen der Einzelfallprüfung müssen Unternehmen prüfen und bewerten, ob in Bezug auf die an den Datenempfänger übermittelten Daten tatsächlich ein gleichwertiges Datenschutzniveau wie in der EU gewährleistet ist. Die Datenschutzaufsichtsbehörden erwarten eine auf den jeweiligen Einzelfall bezogene Beurteilung, bei der sämtliche relevanten Umstände der Datenübermittlung zu berücksichtigen sind. Hierzu gehören etwa die Rechtsordnung im Drittland des Datenempfängers, insbesondere Zugriffsmöglichkeiten von Behörden und Rechtsschutz für betroffene Personen sowie zusätzlich zu den Standardvertragsklauseln vereinbarte Garantien oder andere zusätzliche Schutzmaßnahmen, die die beteiligten Unternehmen ggf. ergänzend hierzu ergreifen, wie etwa Verschlüsselung bei der Übermittlung von Daten.
  • Zusätzliche Schutzmaßnahmen: Bietet das Empfängerdrittland im Zusammenspiel mit den Standardvertragsklauseln allein kein der EU gleichwertiges Schutzniveau, können Unternehmen ergänzend zusätzliche Schutzmaßnahmen ergreifen. Nach Ansicht der Aufsichtsbehörden soll dies bei Datentransfers in die USA aufgrund der Feststellungen des Schrems II-Urteils grundsätzlich notwendig sein, um insgesamt ein angemessenes Datenschutzniveau herzustellen und sicherzustellen, dass nicht US-amerikanisches Recht das angemessene Schutzniveau beeinträchtigt, das die Standardvertragsklauseln garantieren.
  • Einstellen Datenübermittlung: Ergibt die Einzelfallprüfung, dass für die übermittelten Daten kein gleichwertiges Datenschutzniveau wie in der EU besteht, und wird dieses Defizit auch nicht durch zusätzliche Schutzmaßnahmen kompensiert, ist der betreffende Datentransfer unverzüglich einzustellen. Das Daten exportierende Unternehmen ist dann verpflichtet, die Datenübermittlung in das Drittland vorübergehend auszusetzen oder endgültig zu beenden.
  • Notifizierung Datenschutzaufsichtsbehörde: Beabsichtigt ein Unternehmen trotz einer negativen Einzelfallprüfung den jeweiligen Datentransfer fortzusetzen, soll es nach Ansicht des EDSA verpflichtet sein, die zuständige Datenschutzaufsichtsbehörde hierüber zu unterrichten (siehe EDSA FAQ zum Schrems II-Urteil, FAQ 5.).
  1. Welche Schritte sollten Unternehmen erwägen, wenn sie weiterhin Standardvertragsklauseln einsetzen wollen?

Um Standardvertragsklauseln weiterhin mit einem vertretbaren rechtlichen Risiko einsetzen zu können, sollten Unternehmen den rechtlichen Anforderungen der Datenschutzaufsichtsbehörden entsprechen beziehungsweise ihnen durch einen im Streitfall zu verteidigenden Ansatz Rechnung tragen. Hierfür sind etwa die folgenden Schritte zweckmäßig:

  • Identifizieren relevanter Datentransfers: Zunächst sollten Unternehmen ihre Datenflüsse analysieren und die Drittlandtransfers identifizieren, die sie auf Standardvertragsklauseln gestützt fortsetzen, oder – wegen des weggefallenen Privacy Shield – umstellen möchten. Datenübermittlungen in die USA und andere Drittländer mit weitreichenden Sicherheits- und Zugriffsgesetzen sind als Datentransfers mit erhöhtem Risiko zu werten, die einer besonders sorgfältigen Einzelfallprüfung bedürfen. Nach Meinung mancher Datenschutzbehörden betrifft das neben den USA etwa China, Russland oder Indien.
  • Einzelfallprüfung mittels Risk Assessment: Als zentralen Schritt sollten Unternehmen anschließend für jeden relevanten Datentransfers eine Einzelfallprüfung vornehmen. Diese sollte aber nicht auf die Prüfung beschränkt bleiben, die das Schutzniveau für die Datenübermittlung als gleichwertig, oder nicht gleichwertig einstuft. Vielmehr sollte sie im Wege einer umfassenden Risikobewertung in Bezug auf die in das Drittland übermittelten personenbezogenen Daten erfolgen (sogenanntes Risk Assessment). Einzelheiten zur Durchführung dieser Risikobewertung finden Sie im Folgenden unter FAQ Nr. 3.
  • Umsetzung zusätzlicher Schutzmaßnahmen: Je nach Ergebnis der Risikobewertung sollte das Daten exportierende Unternehmen erforderlichenfalls zusätzliche Schutzmaßnahmen festlegen und umsetzen. Diese zusätzlichen Schutzmaßnahmen können technischer, rechtlicher oder organisatorischer Art sein. Näheres zu möglichen zusätzlichen Schutzmaßnahmen finden Sie unter FAQ Nr. 4.
  • Festlegen Handlungs- und Verteidigungsstrategie: Zudem ist die Festlegung einer Strategie über das weitere Vorgehen empfehlenswert. Diese sollte auch eine präventive Verteidigungsstrategie für den Fall beinhalten, dass sich das Unternehmen mit Untersuchungs- oder Durchsetzungsmaßnahmen der Datenschutzaufsichtsbehörden oder Beschwerden betroffener Personen konfrontiert sieht.
  1. Wie sollten Unternehmen die gebotene Risikobewertung durchführen, wenn sie Standardvertragsklauseln für Datentransfers in die USA einsetzen?

Die vom EuGH und den Datenschutzaufsichtsbehörden geforderte Einzelfallprüfung vor Drittlandtransfers empfehlen wir in Form einer umfassenden und gut dokumentierten Risikobewertung durchzuführen. Insbesondere bei Transfers personenbezogener Daten in die USA sollten Unternehmen eine besonders sorgfältige Risikobewertung vornehmen und – ähnlich wie bei einer Datenschutz-Folgenabschätzung – nachvollziehbar dokumentieren. Damit die Risikobewertung von den Datenschutzaufsichtsbehörden akzeptiert wird, sollten Unternehmen insbesondere die folgenden Risikofaktoren und Schritte berücksichtigen:

  • Analyse Rechtslage im Empfängerdrittland: Einer der entscheidenden Faktoren für die Beurteilung des konkreten Schutzniveaus und damit die Risikobewertung sind die im Empfängerdrittland auf die zu übermittelnden Daten anwendbaren Rechtsvorschriften. Maßgeblich ist insbesondere, in welchen Fällen und in welchem Umfang öffentliche Stellen auf die übermittelten Daten für Sicherheits- und Überwachungszwecke zugreifen dürfen, inwieweit diese Befugnisse beschränkt sind und welche Rechtsbehelfe den betroffenen Personen hiergegen zustehen. In den USA hängt dies im Wesentlichen davon ab, ob US-Sicherheitsgesetze, wie z.B. Section 702 des Foreign Intelligence Surveillance Act (FISA) oder die Executive Order 12 333 auf den konkreten Datenimporteur und die übermittelten Daten Anwendung finden und wie wahrscheinlich Zugriffe der US-Behörden auf diese Daten sind. Dabei ist sicherzustellen, dass die für diese komplexe Tatsachen- und Rechtsprüfung nötige Expertise im US-Recht und im EU-Datenschutzrecht gewährleistet ist. Für Daten exportierende Unternehmen ist es daher zweckmäßig, zur Zusammenstellung der hierfür notwendigen Informationen entsprechende Fragebögen und für die eigentliche Risikobewertung geeignete Vorlagen zu nutzen.

Gerne unterstützen wir unsere Mandanten bei dabei, entsprechende Fragebögen und Vorlagen für Risikobewertungen zu erstellen.

  • Analyse weiterer Umstände der Datenübermittlung: Als sonstige Risikofaktoren kommen zudem weitere Umstände wie die Art oder der Verwendungszweck und -kontext der personenbezogenen Daten in Betracht. Während etwa Daten von Mitarbeitern oder Geschäftskontakten meist einem geringen Risiko unterliegen, kann dieses für Kommunikations-, Standort- oder Kundendaten höher sein. Je sensibler die übermittelten Daten sind und je höher das Interesse ausländischer Behörden an ihnen ist, desto höher sind die Anforderungen an das Schutzniveau. Soweit Drittstaaten oder konkrete Datenimporteure etwa Informationen über die Anzahl und Art staatlicher Auskunftsersuchen oder sonstiger Zugriffe veröffentlichen, kann man diese Informationen im Rahmen einer Risikobewertung berücksichtigen.
  • Feststellen zusätzlicher Schutzmaßnahmen: Besteht etwa wegen des festgestellten Schutzniveaus Bedarf für weitere Schutzmaßnahmen, so sind zusätzliche technische, rechtliche oder organisatorische Maßnahmen festzulegen. Diese sind als risikomindernde Faktoren zu berücksichtigen.
  • Gesamtbeurteilung des Risikos: Die festgestellten Risikofaktoren sind zunächst jeweils einzeln zu beurteilen und sodann in eine Gesamtrisikobewertung einzustellen. Ergebnis dieser Bewertungsvorgänge ist ein Gesamtrisikolevel für die in der Risikobewertung untersuchten Datenübermittlung.

Wir haben ein entsprechendes Bewertungsmodell zur Durchführung und Dokumentation einer solchen Risikobewertung für Drittlandtransfers erarbeitet. Ein vereinfachtes Musterdokument (in Englischer Sprache) stellen wir unseren Mandanten auf Anfrage gerne zur Verfügung.

  1. Welche zusätzlichen Schutzmaßnahmen können Unternehmen treffen, wenn sie Daten auf Grundlage von Standardvertragsklauseln in Drittländer mit weitreichenden Sicherheitsgesetzen übermitteln möchten?

Ergibt die Einzelfallprüfung, dass das Empfängerdrittland wegen der dortigen Sicherheitsgesetze kein gleichwertiges Schutzniveau wie in der EU bietet, muss dies vor einem Datentransfer in das betreffende Drittland kompensiert werden. Hierzu können Daten exportierende Unternehmen in der EU die folgenden Schutzmaßnahmen ergreifen, auch in Zusammenarbeit mit dem Datenimporteur im Drittland.

  • Verschlüsselung: In technischer Hinsicht kann eine Verschlüsselung als wirksame Schutzmaßnahme in Betracht kommen. Diese erhöht das Schutzniveau, indem sie einen Zugriff Dritter auf die übermittelten Daten ausschließt oder zumindest erheblich erschwert. Damit Verschlüsselung aber als wirksame Schutzmaßnahme gewertet werden kann, sollten die beteiligten Unternehmen aber – soweit dies im Einzelfall praktikabel ist – sicherstellen, dass der zur Entschlüsselung notwendige Schlüssel (Decryption Key) sicher in der EU verbleibt. Andernfalls könnten Behörden im Empfängerdrittland auch den Decryption Key vom Datenimporteur herausverlangen und so auf die verschlüsselten Daten zugreifen. In der Praxis garantiert Verschlüsselung jedoch keine absolute Sicherheit. Kryptografische Verfahren, die heute als sicher gelten, könnten in Zukunft zu knacken sein. Zudem ist eine Verschlüsselung von Daten auch technisch nicht stets praktikabel. In den meisten Anwendungsfällen sind die übermittelten Daten nur während der Übertragungsphase verschlüsselt (sogenannte Transportverschlüsselung). Beim Empfänger liegen die Daten dann unverschlüsselt vor und sind damit potenziell staatlichen Zugriffen ausgesetzt. Wird eine sogenannte Ende-zu-Ende-Verschlüsselung eingesetzt, sind die Daten nicht nur während der Übertragung sondern auch anschließend beim Drittlandempfänger sicher verschlüsselt. Dies kommt beispielsweise bei Chat- und anderen Kommunikationsdiensten aber auch bei Hosting-Diensten in Betracht. In vielen Fällen kann eine Ende-zu-Ende-Verschlüsselung aber nicht eingesetzt werden, weil dies den eigentlichen Zweck der Verarbeitung beim Empfänger vereiteln würde. Sollen beispielsweise übermittelte Daten in einer cloudbasierten Softwareanwendung auf Servern im Drittland verarbeitet werden, schließen bereits technische Gesichtspunkte eine solche Verschlüsselung aus. Während der Softwarenutzung müssen die verarbeiteten Daten nämlich regelmäßig unverschlüsselt vorliegen. Zudem sind Verschlüsselungen in der Praxis oft aufwändig und mit Zusatzaufwand verbunden.
  • Pseudonymisierung: Soweit eine Verschlüsselung aus technischen Gründen nicht möglich ist, oder den Zweck der Datenverarbeitung vereiteln würde, sollten Unternehmen erwägen, die übermittelten Daten zumindest zu pseudonymisieren. Dabei sollte geprüft werden, ob es im jeweiligen Fall gangbar ist, dass der Pseudonymisierungsschlüssel wiederum im Land des Datenexporteurs in der EU verbleibt. Ein solches Vorgehen wäre etwa in Fällen denkbar, in denen ein EU-Unternehmen innerhalb eines Konzerns Daten seiner Mitarbeiter zu Reporting- und Analysezwecken an die Konzernmuttergesellschaft in den USA übermittelt.
  • Ergänzende Vertragsklauseln: Die Standardvertragsklauseln enthalten bereits Garantien, um die Daten im Drittland zu schützen, z.B. die Verpflichtung des Datenimporteurs, dem Datenexporteur unverzüglich mitzuteilen, wenn es ihm Änderungen der Sicherheitsgesetze unmöglich machen, seine vertraglichen Pflichten zu erfüllen. Unternehmen ist nun allerdings zu empfehlen, die Standardvertragsklauseln um zusätzliche Vertragsklauseln ergänzen, um das Schutzniveau anzuheben. Diese sollten den Datenimporteur für den Fall einer behördlichen Anfrage auf Offenlegung der übermittelten Daten verpflichten, den Datenexporteur von der Anfrage in Kenntnis zu setzen und in diese einzubeziehen, sowie unter Ausschöpfung der bestehenden Rechtsschutzmöglichkeiten rechtlich gegen die Anfrage der öffentlichen Stelle vorzugehen, oder hierbei zu unterstützen. Auch hierzu können wir unseren Mandanten entsprechende Vorlagen zur Verfügung stellen.
  • Klauseln zur Beendigung der Datenübermittlung: Schließlich sollten Unternehmen eine Klausel in Standardvertragsklauseln aufnehmen, um Datentransfers in die USA und andere risikobehaftete Drittländer „ausfallsicher“ zu machen. Diese sollte vorsehen, dass sämtliche Datenübermittlungen sofort einzustellen sind, falls die Standardvertragsklauseln von einem Gericht für ungültig erklärt werden sollten. Zudem sollte die Klausel eine Verpflichtung des Datenempfängers enthalten, dass die übermittelten Daten gelöscht werden, sofern keine anderweitige Schutzmöglichkeit besteht.
  • Erhöhte Transparenz: Datenimporteure in den USA oder anderen Drittländern können Informationen über behördliche Auskunftsanfragen in der Vergangenheit zur Verfügung stellen, etwa in Form von Statistiken auf der Website oder anderen (aggregierten) Informationen. Diese sollten übersichtlich und verständlich aufzeigen, wie häufig staatliche Behörden den Datenimporteur in der Vergangenheit um Offenlegung von Daten ersucht haben, in wie vielen dieser Fälle der Datenimporteur die angefragten Daten offengelegt und wie häufig er das Auskunftsersuchen erfolgreich abgewendet hat. Mithilfe dieser Informationen können Daten exportierende Unternehmen und betroffene Personen das Risiko abschätzen, dass die übermittelten Daten im Drittland tatsächlich einem staatlichen Zugriff ausgesetzt sind.
  • Sonstige Schutzmaßnahmen: Unternehmen könnten bald Informationen über aus Sicht der Datenschutzbehörden weitere sinnvolle zusätzliche Schutzmaßnahmen erhalten. Der EDSA hat angekündigt Leitlinien zu veröffentlichen, worin solche „zusätzlichen Maßnahmen“ zum Schutz übermittelter Daten bestehen können. Es bleibt abzuwarten, wann ob und in welchem Umfang künftige Stellungnahmen der Datenschutzbehörden konkrete Hilfestellungen enthalten, an denen sich Unternehmen orientieren können. In vielen Fällen dürfte es zweckmäßig sein, zeitnah entsprechende Verteidigungsstrukturen zur Rechtfertigung von Datenübermittlungen zu entwickeln.
  1. Welche Handlungsoptionen haben Unternehmen bei risikobehafteten Drittlandtransfers und welche Verteidigungsstrategie könnte zweckmäßig sein?

Aufgrund der gezeigten strikten rechtlichen Vorgaben sowie tatsächlicher Notwendigkeiten bleiben Unternehmen nach dem Schrems II-Urteil derzeit nur begrenzte Handlungsspielräume. Rechtsprechung und Datenschutzbehörden stellen hohe Anforderungen an auf die Standardvertragsklauseln gestützte Datentransfers in die USA und andere Drittländer. Solche Drittlandtransfers wie bisher ohne zusätzliche, flankierende Maßnahmen neben den Standardvertragsklauseln durchzuführen birgt ein erhebliches Risiko von Durchsetzungsmaßnahmen und Sanktionen durch Datenschutzaufsichtsbehörden oder von immateriellen Schadensersatzansprüchen betroffener Personen. Beispielsweise hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Pressemeldung ausdrücklich auf die Möglichkeit der Geltendmachung von Schadensersatz hingewiesen: „Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.“ Umgekehrt stellt es für Unternehmen in den wenigsten Fällen eine ernsthafte Handlungsalternative dar, Datentransfers z.B. in die USA einzustellen, oder Datenbeständen in die EU zu verlagern, um rechtliche Risiken zu vermeiden. Deshalb sollten Unternehmen zeitnah handeln. Je nach dem Ergebnis der vorgenommenen Risikobewertung haben Unternehmen verschiedene Handlungsoptionen:

  • Niedriges Risikolevel: Ergibt die vorgenommene Bewertung insgesamt ein niedriges Risikolevel, können sich Unternehmen darauf beschränken, die Risikobewertung einschließlich zusätzlich getroffener Schutzmaßnahmen zu dokumentieren. Auch wenn eine Datenschutzaufsichtsbehörde später zu einer abweichenden Bewertung gelangen sollte, werden Unternehmen auf der Basis einer soliden Risikobewertung und belastbarer zusätzlicher Schutzmaßnahmen im Regelfall gute Chancen auf eine erfolgreiche Verteidigung haben.
  • Einstellen des Datentransfers bei erhöhtes Risikolevel: Führt die Risikobewertung zu einem erhöhten Risikolevel, das sich auch durch zusätzliche Schutzmaßnahmen nicht ausgleichen lässt, können Unternehmen erwägen, die betreffende Datenübermittlung (vorerst) einzustellen. Dieses Vorgehen, sofern es denn praktikabel ist, reduziert das rechtliche Risiko auf ein Minimum.
  • Fortführung des Datentransfers bei erhöhtem Risikolevel: Entscheidet sich das Unternehmen dafür, den Datentransfer dennoch fortzuführen, verlangt der EDSA eine entsprechende Benachrichtigung der zuständigen Datenschutzaufsichtsbehörde.
  • Meldung bei der Datenschutzaufsichtsbehörde: Teilt das Unternehmen den beabsichtigten (potenziell rechtswidrigen) Datentransfer mit, so wird die zuständige Datenschutzaufsichtsbehörde wahrscheinlich eine Untersagungsverfügung erlassen. Hiergegen könnten Unternehmen zwar anschließend im Wege der verwaltungsgerichtlichen Klage und unter Umständen im einstweiligen Rechtsschutz vorgehen. Dabei kann es ein wichtiges Argument vor Gericht sein, dass der EuGH mit dem Schrems II-Urteil die Möglichkeit gehabt hat, Datenübermittlungen in die USA auf Basis von Standardvertragsklauseln für stets unzulässig zu erklären, dies aber nicht explizit getan hat. Selbst wenn dieses Vorgehen nicht erfolgreich sein sollte, bleibt das Risiko begrenzt. Allerdings dürften die Erfolgsaussichten vor Gericht mäßig sein, wenn das Unternehmen zuvor mitgeteilt hat, dass es selbst das Schutzniveau in Bezug auf die übermittelten Daten für unzureichend hält. Daher dürfte es in solchen Fällen zweckmäßig sein, „vorsorglich“ die Datenschutzaufsichtsbehörde zu unterrichten und die Position zu vertreten, dass die geplanten Schutzmaßnahmen ausreichend seien.
  • Keine Meldung bei der Datenschutzaufsichtsbehörde: Ohne eine entsprechende Meldung sind Unternehmen der Gefahr ausgesetzt, dass die zuständige Datenschutzaufsichtsbehörde im Entdeckungsfall die Datenübermittlung untersagt und darüber hinaus ein – unter Umständen hohes – Bußgeld verhängt. Wenn die Datenschutzaufsichtsbehörden der Ansicht sind, dass Datentransfers gestützt auf Standardvertragsklauseln nicht rechtmäßig sind, sollen sie laut EuGH zum Einschreiten verpflichtet sein. Bei dieser Handlungsvariante steht dem Vorteil des fortgesetzten Datentransfers ein erhöhtes Bußgeldrisiko gegenüber.

Gerne unterstützen wir bei der Vorbereitung einer auf ihr Unternehmen zugeschnittene Verteidigungsstrategie oder beraten Sie in behördlichen Verfahren wegen Drittlandtransfers.

  1. Welche Anforderungen müssen Unternehmen beachten, wenn sie Datentransfers in Drittländer auf Basis von Binding Corporate Rules durchführen möchten?

Wenn Unternehmen Daten innerhalb ihrer Unternehmensgruppe gestützt auf verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – „BCRs“) in die USA oder andere Drittländer mit erhöhtem Risikoprofil übermitteln, gelten die rechtlichen Anforderungen und Handlungsempfehlungen für den Einsatz von Standarddatenschutzklauseln entsprechend. Nach dem Schrems II-Urteil des EuGH erfordern alle Drittlandtransfers unabhängig vom hierfür eingesetzten Transfermechanismus ein gleichwertiges Schutzniveau wie in der EU. Deshalb gelten die für Standarddatenschutzklauseln getroffenen Wertungen weitgehend auch für BCRs.

  1. Gilt für die beschriebenen (neuen) rechtlichen Anforderungen bei Datentransfers in Drittländer wie die USA eine Übergangs- oder Schonfrist?

Nein. Der EuGH räumt im Schrems II-Urteil keine Übergangsfrist für die darin getroffenen Entscheidungen ein. Auch die Datenschutzaufsichtsbehörden gehen davon aus, dass es keine Schonfrist gibt. Unternehmen sollten die rechtlichen Anforderungen und Handlungsempfehlungen für Datentransfers in die USA und andere Drittländer basierend auf Standardvertragsklauseln oder BCR daher schnell umsetzen.

Bis jetzt sind zwar noch keine Fälle bekannt, in denen deutsche Datenschutzaufsichtsbehörden wegen fehlender oder unzureichender Beachtung der neuen Anforderungen des Schrems II-Urteils gegen Unternehmen vorgegangen sind. Sobald es zu ersten Beschwerden betroffener Personen oder ersten Durchsetzungsmaßnahmen einer Datenschutzaufsichtsbehörde kommt, könnten sich andere Datenschutzaufsichtsbehörden gehalten sehen, dem zu folgen.

Wie geht es weiter?

Gerne unterstützen wir Sie bei der Umsetzung der hier vorgestellten Lösungen. Wie bereits angesprochen, stellen wir unseren Mandanten gerne auf Anfrage ein Beispiel für eine entsprechende Risikobewertung zur Verfügung, wie die Datenschutzbehörden sie fordern.

Darüber hinaus können wir Sie gerne bei der Erstellung entsprechender ergänzenden Vertragsklauseln zur Absicherung von Standardvertragsklauseln, BCRs oder einzelnen Übermittlungsvorgängen unterstützen. Entsprechende Musterklauseln haben wir bereits entwickelt.

Latham & Watkins Datenschutz-Team: Tim WybitulDr. Ulrich Wuermeling, Joachim GrittmannDr. Wolf-Tassilo Böhm, Isabelle BramsDr. Tarik ArabiValentino Halim