Datenübermittlungen ins Ausland: Neue EU Standardvertragsklauseln – was will Schrems?
von , veröffentlicht am 16.12.2020Das Thema, wie man internationale Datenübermittlungen nach dem wegweisenden EuGH Schrems 2 Urteil vom Juli in den Griff bekommt, verfolgen wir hier im Blog intensiv.
Interessamt ist die neue Eingabe, welche die von Max Schrems gegründete und unterstützte Organisation NOYB in Brüssel zu den neuen von der Kommission vorgeschlagenen, mit Spannung erwarteten Standardvertragsklauseln (SCC) eingereicht hat:
Dort heißt es im Absatz E (übersetzt):
„Artikel 1.1 des Beschlussentwurfs besagt, dass die SCCs als angemessene Garantien im Sinne von Artikel 46 Absatz 1 DSGVO betrachtet werden, wenn der Exporteur der DSGVO unterliegt und der Importeur nicht der DSGVO unterliegt.
Jurisdiktioneller Ansatz
Nach unserem Verständnis des Entwurfs scheint die Kommission der Ansicht zu sein, dass man nur dann von einer "Übermittlung" personenbezogener Daten nach der DSGVO sprechen kann, wenn der Importeur nicht der DSGVO unterliegt. In diesem Fall, in dem sowohl der Datenexporteur als auch der Datenimporteur der DSGVO unterliegen und letzterer seinen Sitz außerhalb der EU hat, wären keine angemessenen Garantien (und daher keine SCCs) gemäß Kapitel V der Datenschutz-Grundverordnung erforderlich, da keine "Übermittlung" stattfindet.“
Wenn diese Auslegung der NOYB stimmt, wären viele international tätige Unternehmen aus dem Schneider. Die meisten von ihnen haben Filialen oder Außenstellen in der EU betreiben ihre Geschäfte in der EU im Sinne des Art. 3 DS-GVO (Marktortprinzip) und unterliegen damit der DS-GVO.
Hier einige Punkte, die mir spontan zu der genannten engen Auslegung einfallen.
- Im Art. 44 DS-GVO heißt es: “Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten.” Es gibt dort keine Ausnahme für Unternehmen, die die DS-GVO einhalten. Schon vom Wortlaut setzt die Vorschrift nicht voraus, dass die DS-GVO für den Empfänger nicht anwendbar ist.
- Auch die teleologische Auslegung der Vorschrift und des gesamten Kapitels V spricht dafür, dass das nationale Recht, wo sich der Empfänger befindet, bei der Prüfung der Angemessenheit berücksichtigt werden muss.
- Art 46 (2) (b) DS-GVO - Binding Corporate Rules über die Grenze weg - wäre ziemlich überflüssig.
- Das Schrems 2-Urteil stellt auf den Grundrechtsschutz ab, nicht auf die Einhaltung der DS-GVO.
Was meinen Sie, wann liegt nach der DS-GVO eine Übermittlung vor? Würden die deutschen Datenschutzbehörden eine enge Auslegung mittragen?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
10 Kommentare
Kommentare als Feed abonnierenGast1 kommentiert am Permanenter Link
Scheint ein Eigentor von Schrems zu sein. Das werden die deutschen Datenschutzbehörden nicht mitmachen, weil sonst die großen High Tech-Riesen, die natürlich in der EU Geschäfte machen, bis auf weiteres ihre Daten unbehelligt ins Ausland abziehen dürften. Ich bin auf die deutschen Gerichte dann gespannt.
Barbara Schmitz kommentiert am Permanenter Link
Lieber Herr Spies,
vielen Dank für diesen wertvollen Diskussionsbeitrag.
Eine datenschutzkonforme Übermittlung nur dann anzunehmen, wenn eine Vertragspartei nicht den Grundsätzen der DSGVO unterliegen, ist aus meiner Sicht eine konsequente Anwendung der DSGVO.
Folgende Überlegungen dazu:
Dieser Anwendungsbereich ist neu in die DSGVO aufgenommen und zeigt im Zusammenspiel mit den EG 22 – 25, dass nicht der Ort der Datenverarbeitung entscheidend sein soll, sondern die Anwendungspflicht der DSGVO.
Diese Überlegungen vorausgeschickt, ist es konsequent, die Datenverarbeitung nur dann mit geeigneten Garantien bei der Übermittlung in ein Drittland zu versehen, wenn der Datenimporteuer nicht den Grundsätzen der DSGVO unterliegt. Art. 44 wäre demnach gedanklich um den Verweis auf Art. 3 zu ergänzen:
„Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation (die nicht dem Anwendungsbereich nach Art. 3 unterliegen) verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten (…)“.
Fallbeispiele:
Was meinen Sie?
Dr. Axel Spies kommentiert am Permanenter Link
Vielen Dank, Frau Schmitz. Sehr gute Anregungen, aber ich bin skeptisch, ob die deutschen Datenschutzbehoerden da mit spielen. Datenimporteuer außerhalb der EU:
Zu den o. g. Argumenten kommt ja noch hinzu, dass in Drittländern häufig nur eine eingeschränkte Möglichkeit der Durchsetzung der datenschutzrechtlichen Regelungen durch die Datenschutzaufsichtsbehörden in der EU besteht, worauf u.a. Voigt CR 2020, 318 hinweist.
Aber wir können die spannende Diskussion gerne weiterführen.
Paul Voigt kommentiert am Permanenter Link
Ich meine, Herr Schrems interpretiert die SCC-neu korrekt. Die Kommission scheint den selben Ansatz zu verfolgen wie der ICO, der zwischen sog. non-restricted transfers (importer unterliegt der DSGVO nach dem Marktortprinzip) und restricted transfers (Artt. 44 ff. DSGVO gelangen zur Anwendung) unterscheidet.
Die Frage ist : Was bedeutet das in der Praxis? Die Kommission kann sicherlich nicht die "non-restricted" Transfers (entgegen der Ansicht nahezu aller europäischen Aufsichtsbehörden außer dem ICO) als irrelevant verwerfen. Daher bleibt die Frage: Bewirken die SCC-neu, dass Übermittlungen an Empfänger, die dem Marktortprinzip unterliegen nunmehr ohne safeguards möglich sind, oder dass diese (mangels Anwendbarkeit der SCC-neu) nun gar nicht mehr möglich sind?
Daneben bestehen bei der Sichtweise der Kommission durchaus weitere Probleme:
1. Wann genau greift das Marktortprinzip ein; gilt dies zB für Unternehmen, die Beobachten/Waren und Dienstleistungen anbieten, aber zusätzlich Niederlassungen in der EU haben?
2. Das Marktortprinzip ist ja regelmäßig auf bestimmte Verarbeitungen beschränkt, was bedeutet dieser Approach also im Ergebnis für den Transfer an ein Unternehmen, das dem Marktortprinzip nur in Teilen unterfällt?
3. In jedem Fall (und unabhängig von der Anwendbarkeit der Artt. 44 ff. DSGVO): Ein Vertreter in der EU müsste wohl bestellt werden.
Dr. Axel Spies kommentiert am Permanenter Link
Vielen Dank hierfür. Kurz zur Erläuterung. Der britische Information Commissioner hat hierzu folgendes gepostet:
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/international-transfers
You are making a restricted transfer if:
Gast1 kommentiert am Permanenter Link
ICO: irrelevant weil nicht mehr in der EU.
Barbara Schmitz kommentiert am Permanenter Link
Die Einführung des Marktortprinzips hat von Anfang an die Aufsichtsbehörden vor die Herausforderung gestellt, den Geltungsanspruch der DS-GVO gegenüber Unternehmen in Drittstaaten durchzusetzen. Die Mechanismen dafür hat die DSGVO jedoch bereits mitgeliefert. Das Konzept des Vertreters ist genau mit dem Ziel eingeführt worden, Durchsetzungsverfahren gegenüber Verantwortlichen oder Auftragsverarbeitern, die unter Artikel 3 Absatz 2 DSGVO fallen einzuleiten. Damit ist es den Aufsichtsbehörden möglich, gemäß Artikel 58 Absatz 2 und Artikel 83 DSGVO gegen den nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter Abhilfemaßnahmen oder Geldbußen zu richten.
Dem Einwand mangelnder Durchsetzbarkeit ist der Artikel 50 DSGVO entgegenzusstellen und damit verbunden der Hinweis der EDSA, „dass Artikel 50 DSGVO insbesondere darauf abzielt, die Durchsetzung von Rechtsvorschriften in Bezug auf Drittländer und internationale Organisationen zu erleichtern, und dass derzeit die Entwicklung weiterer Mechanismen der internationalen Zusammenarbeit in Erwägung gezogen wird.“
Für die neuen SCC wäre es daher gut, wenn Überlegungen der EDSA zu „weiteren Mechanismen der internationalen Zusammenarbeit“ in die Erstellung der neuen SCC einfließen, die dann auch als Hebel für den wirksamen Abschluss der SCC dienen könnten. So zum Beispiel, wenn durch die Kommission festgestellt würde, dass keine entsprechenden Mechanismen für eine internationales Durchsetzungsverfahren der DSGVO Vorschriften in dem Drittland vorhanden sind, dann keine SCC vereinbart werden können.
Auch wenn das erstmal bedeuten würde, dass man sich auf dem politischen Parkett auseinandersetzen muss, wäre ein solches Vorgehen eine Methode, um Schrems III zu verhindern.
Hoffnung gibt in diesem Zusammenhang die Diskussion im Gesetzgebungsausschuss des United States Senate Committee on Commerce, Science and Transportation vom 9.12.20 zum Thema “The Invalidation of the EU-US Privacy Shield and the Future of Transatlantic Data Flows und die Aussage von Peter Swire als Sachverständigem: "the stars may finally have aligned to enact meaningful privacy protections"...
Dr. Axel Spies kommentiert am Permanenter Link
Interessant, was jetzt EDPB und EDPS in iher neuen Sellungnahme (Opinion) zu dem Thema schreiben (auf S. 9):
"27. In view of the above and of the title the Draft Decision, the EDPB and the EDPS understand that the Draft Decision does not cover:
Transfers to a data importer not in the EEA but subject to the GDPR for a given processing under Article 3(2) GDPR; and
Transfers to international organisations.
28. Keeping this in mind, for the avoidance of doubt, the EDPB and the EDPS recommend the Commission to clarify that these provisions are only intended to address the issue of the scope of the Draft Decision and the draft SCCs themselves, and not the scope of the notion of transfers.
29. Second, the EDPB already clarified in its Guidelines on the territorial scope of the GDPR 19 that a controller or processor is never subject as such to the GDPR, but only in relation to a given processing activity.
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_edps_jointopini...
Wie muss man diese Aussage interpretieren? Für oder gegen SCCs, wenn Art. 3 (2) vorliegt.
Gast1 kommentiert am Permanenter Link
Wenn ich das recht interpretiere, unterscheiden der EDPS und EDPB zwischen der Frage ob ein Datentransfer iSd Art. 46 DSGVO vorliegt, und wenn ja, wie die SCCs dann aussehen müssen. Schön und gut, nur das gibt der Wortlaut der Draft Decision nicht her:
Da heißt es bislang:
“The standard contractual clauses set out in the Annex are considered to provide appropriate
safeguards within the meaning of Article 46(1) and (2)(c) of Regulation (EU) 2016/679 for the transfer
of personal data from a controller or processor subject to Regulation (EU) 2016/679 (data exporter) to
a controller or (sub-) processor not subject to Regulation (EU) 2016/679 (data importer).”
Die Debatte, die wir hier im Blog führen wird also weitergehen.
Dr. Axel Spies kommentiert am Permanenter Link
Präsident Biden hat einen Datenschutz-Veteranen für den Schlüsselposten ausgewählt, der die Verhandlungen für ein neues Privacy Shield Abkommen führen soll. Christopher Hoff wird stellvertretender stellvertretender Sekretär für Dienstleistungen im US-Handelsministerium und tritt sein Amt am Tag der Amtseinführung an. Hoff wird der Hauptansprechpartner der Europäischen Kommission in den Gesprächen über ein neues Rahmenwerk zum Schutz des Transfers von persönlichen Daten in die USA sein.