Privacy Shield gekippt – das sagen die Aufsichtsbehörden dazu

Das aktuelle EuGH-Urteil zum EU-US-Privacy Shield sorgt für Handlungsbedarf auf allen Ebenen. Wie genau sieht dieser aber nun aus?

Auf unserer Themen-Seite Privacy Shield haben wir bereits Praxis-Tipps für Unternehmen zusammengestellt. Ergänzend sammeln wir hier gebündelt die aktuellen

Veröffentlichungen zum EuGH-Urteil Privacy Shield aus den Datenschutzbehörden:

DSK – Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder:

21.07.2021 Pressemitteilung: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf Tenor:

Auch bei Verwendung der neuen EU-Standardvertragsklauseln sind eine Prüfung der Rechtslage im Drittland und zusätzliche ergänzende Maßnahmen erforderlich.

28.07.2020 Pressemitteilung: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf Auszug:

„…Für die Übermittlung personenbezogener Daten in die USA und andere Drittländerhat hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

1. 1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden….
   2. …Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
   3. …müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen….
   4. …Artikels 49 DSGVO…Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.[https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf]
   5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können.Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

…Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten…“

Europäischer Datenschutzausschuss:

18.06.2021 „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Ergänzend aus der oben verlinkten Pressemitteilung der DSK vom 21.07.2021 zur Veröffentlichung des EDPB „…An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich (Klausel 14). Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand
nehmen….“

10.08.2020 https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=684836 übersetzt mit deepl.com:

„Gemeinsame Presseerklärung des EU-Kommissars für Justiz Didier Reynders und des US-Handelsministers Wilbur Ross…

Das US-Handelsministerium und die Europäische Kommission haben Gespräche eingeleitet, um das Potenzial eines verbesserten EU-USA-Rahmens für den Schutz der Privatsphäre zu bewerten, um dem Urteil des Gerichtshofs der Europäischen Union vom 16. Juli im Fall Schrems II nachzukommen. In diesem Urteil wurde erklärt, dass dieser Rahmen kein gültiger Mechanismus mehr ist, um personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten zu übermitteln.

Die Europäische Union und die Vereinigten Staaten erkennen die lebenswichtige Bedeutung des Datenschutzes und die Bedeutung des grenzüberschreitenden Datentransfers für unsere Bürger und Volkswirtschaften an. Wir teilen das Bekenntnis zum Schutz der Privatsphäre und zur Rechtsstaatlichkeit sowie zur weiteren Vertiefung unserer Wirtschaftsbeziehungen und arbeiten in diesen Fragen seit mehreren Jahrzehnten zusammen.

Da wir uns gemeinsam neuen Herausforderungen stellen, einschließlich der Erholung der Weltwirtschaft nach der COVID-19-Pandemie, wird unsere Partnerschaft den Datenschutz stärken und den Wohlstand unserer fast 800 Millionen Bürger auf beiden Seiten des Atlantiks fördern.“

24.07.2020: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf Auszug (übersetzt mit deepl.com):

„…Die ergänzenden Maßnahmen zusammen mit den SCCs müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.

Wenn Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und möglicher ergänzender Maßnahmen keine angemessenen Schutzvorkehrungen gewährleistet wären, sind Sie verpflichtet, die Übermittlung von Personendaten auszusetzen oder zu beenden. Beabsichtigen Sie jedoch, die Übermittlung von Daten trotz dieser Schlussfolgerung fortzusetzen, müssen Sie Ihre zuständige Aufsichtsbehörde benachrichtigen…

…Das EDPB prüft derzeit weiter, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Hinweise geben…

…Wenn kein geeigneter Grund für eine Übermittlung in ein Drittland gefunden werden kann, sollten personenbezogene Daten nicht außerhalb des EWR-Gebiets übermittelt werden, und alle Verarbeitungsaktivitäten sollten im EWR stattfinden.“

17.07.2020: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_de Auszug (übersetzt mit deepl.com):

„…In Bezug auf den Schutz der Privatsphäre weist der EDPB darauf hin, dass die EU und die USA einen vollständigen und wirksamen Rahmen schaffen sollten, der gewährleistet, dass das in den USA gewährte Schutzniveau für personenbezogene Daten im Einklang mit dem Urteil im Wesentlichen dem in der EU garantierten Schutzniveau entspricht…

…Der EDPB nimmt die Pflichten der zuständigen Aufsichtsbehörden (ZB) zur Kenntnis, eine Datenübermittlung in ein Drittland im Rahmen der SKG auszusetzen oder zu untersagen, wenn nach Ansicht der zuständigen ZB und unter Berücksichtigung aller Umstände dieser Übermittlung diese Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und der Schutz der übermittelten Daten nicht durch andere Mittel gewährleistet werden kann, insbesondere wenn der für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter die Übermittlung nicht bereits selbst ausgesetzt oder beendet hat…

…Das EDPB wird das Urteil eingehender bewerten und weitere Erläuterungen für die Beteiligten sowie Leitlinien für den Einsatz von Instrumenten für die Übermittlung personenbezogener Daten an Drittländer gemäß dem Urteil bereitstellen.“

Bund: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

UPDATE: Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den inter-nationalen Datentransfer (Rechtssache C-311/18 „Schrems II“) an die öffentlichen Stellen des Bundes und Unternehmen unter der Aufsicht des BfD vom 08.10.2020, Auszug:

„…3.Verpflichtung der Verantwortlichen zur Prüfung der Datentransfers in Drittländer Unternehmen und Behörden müssen als Reaktion auf die Vorgaben aus dem Urteil des EuGH in der Rechtssache C-311/18 „Schrems II“ als Verantwortliche ihre Datentransfers in Drittländer prüfen. Je nach bisher gewählter Grundlage für die Datenübermittlung muss diese – z.B. im Falle des EU-US Datenschutzschildes – durch eine neue Grundlage ersetzt werden. Zudem müssen alle Verantwortlichen bei der Verwendung von geeigneten Garantien nach Art. 46 DSGVO prüfen, ob und ggf. welche zusätzlichen Maßnahmen ergriffen werden müssen, um die übermittelten Daten im Drittland angemessen zu schützen. Das Ergebnis dieser Prüfung und die getroffenen Maßnahmen sind nachvollziehbar zu dokumentieren.

4.Meldepflicht der Verantwortlichen
Sofern die Prüfung ergibt, dass für die übermittelten Daten im Drittland kein im Wesentli-chen gleichwertiger Schutz sicherzustellen ist und der damit unzulässige Datentransfer den-noch nicht ausgesetzt oder beendet wird, besteht eine Pflicht zur Meldung an mein Haus. Diese Verpflichtung gilt für Verantwortliche und Auftragsverarbeiter gleichermaßen….“

Berlin: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf Auszug:

„…Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.

Die BerlinerBeauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk: „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.

Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“

Bayern hat die Pressemitteilung der DSK veröffentlicht s.o.

Baden Württemberg: – (bisher nur FAZ-Interview https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3) Auszug:

„…Da das Thema alle europäischen Datenschutzbehörden berührt, wird darüber momentan im Europäischen Datenschutzausschuss beraten, um ein gemeinsames Vorgehen abzustimmen – mir ist allerdings noch schleierhaft, wie eine verträgliche Lösung hier aussehen soll. Nach dem „Safe Harbor“-Urteil 2015 haben die deutschen Datenschutzbehörden erst einmal ein sechs Monate langes Moratorium auf Ordnungsmaßnahmen verhängt. Wir wollten den deutschen Unternehmen damit Zeit geben, um gemeinsam mit uns Lösungen zu erarbeiten, wie der Datenaustausch mit den Vereinigten Staaten unter Beachtung des Urteils weitergehen kann. Ob wir das diesmal genauso werden machen können, ist aber ungewiss: Vom EuGH wurde es schon damals als unerhörte Auflehnung und Missachtung des Gerichts empfunden. Der deutsche EuGH-Richter Thomas von Danwitz hat mir sinngemäß erklärt, uns müsse das Urteil ja nicht gefallen, wir müssten es nur umsetzen: sofort, konsequent, und ohne Rücksicht auf die Kollateralschäden. Man darf sich da keine Illusionen machen: Der EuGH meint das mit dem Datenschutz wirklich ernst, inklusive aller Konsequenzen.“

September 2021: 4. Auflage der Orientierungshilfe zum internationalen Datenverkehr

Brandenburg hat die Pressemitteilung der DSK veröffentlicht s.o.

Bremen hat die Pressemitteilung der DSK veröffentlicht s.o.

Hamburg: https://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schrems# Auszug:

„Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.“

Hessen hat die Pressemitteilung der DSK veröffentlicht s.o.

Mecklenburg-Vorpommern: https://www.datenschutz-mv.de/datenschutz/publikationen/EuGH_suspendiert_Privacy_Shield/

Niedersachsen hat die Pressemitteilung der DSK veröffentlicht s.o.

Nordrhein-Westfahlen: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schrems-II/Schrems-II.html Auszug:

„…„Was machen die Datenschutzaufsichtsbehörden? Die deutschen und die europäischen Aufsichtsbehörden arbeiten zusammen, um das Urteil des EuGH einheitlich zu verstehen und umzusetzen. Sie arbeiten auch an Empfehlungen für die Rechtsanwender. Der Europäischen Datenschutzausschuss bietet der EU-Kommission Unterstützung an, wenn es darum geht, einen neuen Rahmen für Datenübermittlungen in die USA zu erstellen. Der Europäische Datenschutzausschuss prüft zudem, welche Zusatzmaßnahmen getroffen werden könnten für den Fall, dass Standarddatenschutzklauseln für ein bestimmtes Ziel-Land noch keine ausreichenden Garantien bieten. Insgesamt wird der Europäischen Datenschutzausschuss an Leitlinien für Rechtsanwender arbeiten, die das Urteil berücksichtigen. Die deutschen Aufsichtsbehörden arbeiten an den Entscheidungen des Europäischen Datenschutzausschusses mit und koordinieren sich in Deutschland. Mit Beschwerden von betroffenen Personen werden sich die Aufsichtsbehörden befassen und sie angemessen untersuchen. Leitlinien und allgemeine Beratung veröffentlichen wir sobald wie möglich auf unseren Internetseiten.“

Rheinland-Pfalz: 

Auszug 24.07.2020 https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/konsequenzen-des-lfdi-rheinland-pfalz-aus-dem-eugh-urteil-c-31118-schrems-ii/:

„…Der LfDI Rheinland-Pfalz wird im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten…

…Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.

Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Angesichts der dynamischen Entwicklung der Materie wird der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.“

Auszug 16.07.2020 https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert-den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/:

„…Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Prof. Kugelmann hebt hervor: „Der Grundrechtsschutz endet nicht an der Grenze der EU und verlangt auch die Prüfung, ob und wie etwa US-amerikanische Sicherheitsbehörden Zugriff auf die Daten haben. Der EuGH stärkt einmal mehr die Rechte des Einzelnen. Für die betroffenen Unternehmen bedeutet das ein hartes Stück Arbeit, um im Einklang mit dem Datenschutz ihre Geschäfte betreiben zu können….

…„Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können,“ erklärt Professor Kugelmann. „Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“ Dies gilt im Übrigen für Datentransfers in alle Drittländer, nicht nur in die USA.

Notwendig ist eine EU-weite Abstimmung der Aufsichtsbehörden, um eine einheitliche Rechtsanwendung zu erreichen und die Unternehmen in der EU gleich zu behandeln. Der LfDI erwartet aufgrund der Bedeutung entsprechender Datenübermittlungen für viele Unternehmen einen Ansturm von Fragen von Verantwortlichen und betroffenen Personen und bittet diese schon jetzt um Verständnis, wenn die Bearbeitung etwas Zeit in Anspruch nehmen wird. Hilfestellung bieten die FAQs des LfDI zu dem Urteil (Link).“

Saarland hat die Pressemitteilung der DSK veröffentlicht s.o.

Sachsen hat die Pressemitteilung der DSK veröffentlicht s.o.

Sachsen-Anhalt hat die Pressemitteilung der DSK veröffentlicht s.o.

Schleswig-Holstein : –

Thüringen: https://www.tlfdi.de/mam/tlfdi/presse/200716_pressemitteilung.pdf Auszug:

„…Thüringens Datenschutzbeauftragter Dr. Lutz Hasse begrüßt zum einen die ausdrückliche Feststellung im EuGH-Urteil, dass der Einsatzvon US-Programmen zur Überwachung des Datenverkehrs nicht auf das zwingend erforderliche Maß beschränkt sei. „Daraus leitet der EuGH zutreffend die fehlende Verhältnismäßigkeitab, die mit dem Datenschutzrecht der EU nicht vereinbar ist“, so der Thüringer Datenschutzbeauftragte….

Fraglich bleibt für Dr. Hasse aber, wie die weiterhin anwendbaren Standardvertragsklauseln der EU künftig mit „Leben erfüllt“ werden sollen. Diese Klauseln sollen die Garantien dafür bieten, dass es bei der Daten-Übermittlung aus der EU ins Ausland angemessenen Schutz für die personenbezogenen Daten von EU-Bürgern gibt. „Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHsnun auch die europäischen Datenschutzaufsichtsbehörden verstärktin der Pflicht“, so der Thüringer Datenschutzbeauftragte.“

***************************************************************************

Update: Am 01.06.2021 haben einige Aufsichtsbehörden eine entsprechende Kontroll-Kampgane bzgl. der Umsetzung des EuGH-Urteils gestartet und entsprechende Fragebögen an Unternehmen versandt. Die Fragebögen finden Sie in unserem Blog-Artikel https://mb-datenschutz.de/2021/06/aufsichtsbehoerden-kontroll-kampagne/

***************************************************************************