Datenübermittlungen ins Ausland: Neue EU Standardvertragsklauseln – was will Schrems?

von Dr. Axel Spies, veröffentlicht am 16.12.2020

Das Thema, wie man internationale Datenübermittlungen nach dem wegweisenden EuGH Schrems 2 Urteil vom Juli in den Griff bekommt, verfolgen wir hier im Blog intensiv.

Interessamt ist die neue Eingabe, welche die von Max Schrems gegründete und unterstützte Organisation NOYB in Brüssel zu den neuen von der Kommission vorgeschlagenen, mit Spannung erwarteten Standardvertragsklauseln (SCC) eingereicht hat:

Dort heißt es im Absatz E (übersetzt):

„Artikel 1.1 des Beschlussentwurfs besagt, dass die SCCs als angemessene Garantien im Sinne von Artikel 46 Absatz 1 DSGVO betrachtet werden, wenn der Exporteur der DSGVO unterliegt und der Importeur nicht der DSGVO unterliegt.

Jurisdiktioneller Ansatz

Nach unserem Verständnis des Entwurfs scheint die Kommission der Ansicht zu sein, dass man nur dann von einer "Übermittlung" personenbezogener Daten nach der DSGVO sprechen kann, wenn der Importeur nicht der DSGVO unterliegt. In diesem Fall, in dem sowohl der Datenexporteur als auch der Datenimporteur der DSGVO unterliegen und letzterer seinen Sitz außerhalb der EU hat, wären keine angemessenen Garantien (und daher keine SCCs) gemäß Kapitel V der Datenschutz-Grundverordnung erforderlich, da keine "Übermittlung" stattfindet.“

Wenn diese Auslegung der NOYB stimmt, wären viele international tätige Unternehmen aus dem Schneider. Die meisten von ihnen haben Filialen oder Außenstellen in der EU betreiben ihre Geschäfte in der EU im Sinne des Art. 3 DS-GVO (Marktortprinzip) und unterliegen damit der DS-GVO.

Hier einige Punkte, die mir spontan zu der genannten engen Auslegung einfallen.

  • Im Art. 44 DS-GVO heißt es: “Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten.” Es gibt dort keine Ausnahme für Unternehmen, die die DS-GVO einhalten. Schon vom Wortlaut setzt die Vorschrift nicht voraus, dass die DS-GVO für den Empfänger nicht anwendbar ist.
  • Auch die teleologische Auslegung der Vorschrift und des  gesamten Kapitels V spricht dafür, dass das nationale Recht, wo sich der Empfänger befindet, bei der Prüfung der Angemessenheit berücksichtigt werden muss.
  • Art 46 (2) (b) DS-GVO - Binding Corporate Rules über die Grenze weg - wäre ziemlich überflüssig.
  • Das Schrems 2-Urteil stellt auf den Grundrechtsschutz ab, nicht auf die Einhaltung der DS-GVO.

Was meinen Sie, wann liegt nach der DS-GVO eine Übermittlung vor? Würden die deutschen Datenschutzbehörden eine enge Auslegung mittragen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

10 Kommentare

Kommentare als Feed abonnieren

Bild von Gast1 Gast1 kommentiert am

Scheint ein Eigentor von Schrems zu sein. Das werden die deutschen Datenschutzbehörden nicht mitmachen, weil sonst die großen High Tech-Riesen, die natürlich in der EU Geschäfte machen, bis auf weiteres ihre Daten unbehelligt ins Ausland abziehen dürften. Ich bin auf die deutschen Gerichte dann gespannt.

0

Bild von Barbara.Schmitz Barbara Schmitz kommentiert am

Lieber Herr Spies,

vielen Dank für diesen wertvollen Diskussionsbeitrag.

Eine datenschutzkonforme Übermittlung nur dann anzunehmen, wenn eine Vertragspartei nicht den Grundsätzen der DSGVO unterliegen, ist aus meiner Sicht eine konsequente Anwendung der DSGVO.

Folgende Überlegungen dazu:

  • Art. 3 DSGVO: mit der räumlichen Ausweitung der DSGVO auch auf Verarbeitungen außerhalb der EU, wenn Bürger der EU durch diese Verarbeitung betroffen sind, legt den Grundstein dafür, dass weltweit die datenschutzrechtlichen Grundsätze der DSGVO anzuwenden sind, wenn Daten von EU Bürgern verarbeitet werden.

Dieser Anwendungsbereich ist neu in die DSGVO aufgenommen und zeigt im Zusammenspiel mit den EG 22 – 25, dass nicht der Ort der Datenverarbeitung entscheidend sein soll, sondern die Anwendungspflicht der DSGVO.

 

  • Wirksamer (Grund-)Rechtsschutz fällt ebenfalls in den Anwendungsbereich der DSGVO: so in EG 141 und 148 mit Blick auf Art 47 der Charta und in EG 1 auf Art. 8 der Charta.

Diese Überlegungen vorausgeschickt, ist es konsequent, die Datenverarbeitung nur dann mit geeigneten Garantien bei der Übermittlung in ein Drittland zu versehen, wenn der Datenimporteuer nicht den Grundsätzen der DSGVO unterliegt. Art. 44 wäre demnach gedanklich um den Verweis auf Art. 3 zu ergänzen:

„Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation (die nicht dem Anwendungsbereich nach Art. 3 unterliegen) verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten (…)“.

Fallbeispiele:

  • Datenimporteuer in der EU -> keine gesonderte Vereinbarung
  • Datenimporteuer außerhalb der EU:
    • und unterliegt dem Anwendungsbereich von Art. 3 -> keine gesonderte Vereinbarung
    • und unterlieg nicht dem Anwendungsbereich von Art. 3 -> SCC
  • Datenimporteuer mit Angemessenheitsbeschluss -> keine gesonderte Vereinbarung
  • Datenimporteuer mit BCR -> keine gesonderte Vereinbarung (ggfls. Ergänzung 6.3. WP 256/rev.01 entsprechend Klausel 6 der neuen SCC)

Was meinen Sie?

Bild von axel.spies Dr. Axel Spies kommentiert am

Vielen Dank, Frau Schmitz. Sehr gute Anregungen, aber ich bin skeptisch, ob die deutschen Datenschutzbehoerden da mit spielen. Datenimporteuer außerhalb der EU:

  • und unterliegt dem Anwendungsbereich von Art. 3 -> keine gesonderte Vereinbarung

Zu den o. g. Argumenten kommt ja noch hinzu, dass in Drittländern häufig nur eine eingeschränkte Möglichkeit der Durchsetzung der datenschutzrechtlichen Regelungen durch die Datenschutzaufsichtsbehörden in der EU besteht, worauf u.a. Voigt CR 2020, 318 hinweist.

Aber wir können die spannende Diskussion gerne weiterführen.

 

Bild von Paul Voigt Paul Voigt kommentiert am

Ich meine, Herr Schrems interpretiert die SCC-neu korrekt. Die Kommission scheint den selben Ansatz zu verfolgen wie der ICO, der zwischen sog. non-restricted transfers (importer unterliegt der DSGVO nach dem Marktortprinzip) und restricted transfers (Artt. 44 ff. DSGVO gelangen zur Anwendung) unterscheidet. 

Die Frage ist : Was bedeutet das in der Praxis? Die Kommission kann sicherlich nicht die "non-restricted" Transfers (entgegen der Ansicht nahezu aller europäischen Aufsichtsbehörden außer dem ICO) als irrelevant verwerfen. Daher bleibt die Frage: Bewirken die SCC-neu, dass Übermittlungen an Empfänger, die dem Marktortprinzip unterliegen nunmehr ohne safeguards möglich sind, oder dass diese (mangels Anwendbarkeit der SCC-neu) nun gar nicht mehr möglich sind?

Daneben bestehen bei der Sichtweise der Kommission durchaus weitere Probleme:

1. Wann genau greift das Marktortprinzip ein; gilt dies zB für Unternehmen, die Beobachten/Waren und Dienstleistungen anbieten, aber zusätzlich Niederlassungen in der EU haben?

2. Das Marktortprinzip ist ja regelmäßig auf bestimmte Verarbeitungen beschränkt, was bedeutet dieser Approach also im Ergebnis für den Transfer an ein Unternehmen, das dem Marktortprinzip nur in Teilen unterfällt? 

3. In jedem Fall (und unabhängig von der Anwendbarkeit der Artt. 44 ff. DSGVO): Ein Vertreter in der EU müsste wohl bestellt werden.

0

Bild von axel.spies Dr. Axel Spies kommentiert am

Vielen Dank hierfür. Kurz zur Erläuterung. Der britische Information Commissioner hat hierzu folgendes gepostet: 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/international-transfers

You are making a restricted transfer if:

  • the GDPR applies to your processing of the personal data you are transferring. The scope of the GDPR is set out in Article 2 (what is processing of personal data) and Article 3 (where the GDPR applies). Please see the section of the guide What is personal data. In general, the GDPR applies if you are processing personal data in the EEA, and may apply in specific circumstances if you are outside the EEA and processing personal data about individuals in the EEA. The European Data Protection Board (EDPB) has produced guidelines on the territorial scope of the GDPR.
  • you are sending personal data, or making it accessible, to a receiver to which the GDPR does not apply. Usually because they are located in a country outside the EEA; and
  • the receiver is a separate organisation or individual. This includes transfers to another company within the same corporate group. However, if you are sending personal data to someone employed by you or by your company, this is not a restricted transfer. The transfer restrictions only apply if you are sending personal data outside your organisation.

 

Bild von Barbara.Schmitz Barbara Schmitz kommentiert am

Die Einführung des Marktortprinzips hat von Anfang an die Aufsichtsbehörden vor die Herausforderung gestellt, den Geltungsanspruch der DS-GVO gegenüber Unternehmen in Drittstaaten durchzusetzen. Die Mechanismen dafür hat die DSGVO jedoch bereits mitgeliefert. Das Konzept des Vertreters ist genau mit dem Ziel eingeführt worden, Durchsetzungsverfahren gegenüber Verantwortlichen oder Auftragsverarbeitern, die unter Artikel 3 Absatz 2 DSGVO fallen einzuleiten. Damit ist es den Aufsichtsbehörden möglich, gemäß Artikel 58 Absatz 2 und Artikel 83 DSGVO gegen den nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter Abhilfemaßnahmen oder Geldbußen zu richten.

Dem Einwand mangelnder Durchsetzbarkeit ist der Artikel 50 DSGVO entgegenzusstellen und damit verbunden der Hinweis der EDSA, „dass Artikel 50 DSGVO insbesondere darauf abzielt, die Durchsetzung von Rechtsvorschriften in Bezug auf Drittländer und internationale Organisationen zu erleichtern, und dass derzeit die Entwicklung weiterer Mechanismen der internationalen Zusammenarbeit in Erwägung gezogen wird.“

Für die neuen SCC wäre es daher gut, wenn Überlegungen der EDSA zu „weiteren Mechanismen der internationalen Zusammenarbeit“ in die Erstellung der neuen SCC einfließen, die dann auch als Hebel für den wirksamen Abschluss der SCC dienen könnten. So zum Beispiel, wenn durch die Kommission festgestellt würde, dass keine entsprechenden Mechanismen für eine internationales Durchsetzungsverfahren der DSGVO Vorschriften in dem Drittland vorhanden sind, dann keine SCC vereinbart werden können.

Auch wenn das erstmal bedeuten würde, dass man sich auf dem politischen Parkett auseinandersetzen muss, wäre ein solches Vorgehen eine Methode, um Schrems III zu verhindern.

Hoffnung gibt in diesem Zusammenhang die Diskussion im Gesetzgebungsausschuss des United States Senate Committee on Commerce, Science and Transportation vom 9.12.20 zum Thema “The Invalidation of the EU-US Privacy Shield and the Future of Transatlantic Data Flows und die Aussage von Peter Swire als Sachverständigem: "the stars may finally have aligned to enact meaningful privacy protections"...

Bild von axel.spies Dr. Axel Spies kommentiert am

Interessant, was jetzt EDPB und EDPS in iher neuen Sellungnahme (Opinion) zu dem Thema schreiben (auf S. 9):

"27. In view of the above and of the title the Draft Decision, the EDPB and the EDPS understand that the Draft Decision does not cover:

 Transfers to a data importer not in the EEA but subject to the GDPR for a given processing under Article 3(2) GDPR; and

 Transfers to international organisations.

28. Keeping this in mind, for the avoidance of doubt, the EDPB and the EDPS recommend the Commission to clarify that these provisions are only intended to address the issue of the scope of the Draft Decision and the draft SCCs themselves, and not the scope of the notion of transfers.

29. Second, the EDPB already clarified in its Guidelines on the territorial scope of the GDPR 19 that a controller or processor is never subject as such to the GDPR, but only in relation to a given processing activity. 

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_edps_jointopini...

Wie muss man diese Aussage interpretieren? Für oder gegen SCCs, wenn Art. 3 (2) vorliegt.

 

Bild von Gast1 Gast1 kommentiert am

Wenn ich das recht interpretiere, unterscheiden der EDPS und EDPB zwischen der Frage ob ein Datentransfer iSd Art. 46 DSGVO vorliegt, und wenn ja, wie die SCCs dann aussehen müssen. Schön und gut, nur das gibt der Wortlaut der Draft Decision nicht her:

Da heißt es bislang: 
The standard contractual clauses set out in the Annex are considered to provide appropriate
safeguards within the meaning of Article 46(1) and (2)(c) of Regulation (EU) 2016/679 for the transfer
of personal data from a controller or processor subject to Regulation (EU) 2016/679 (data exporter) to
a controller or (sub-) processor not subject to Regulation (EU) 2016/679 (data importer).”

Die Debatte, die wir hier im Blog führen wird also weitergehen.

0

Bild von axel.spies Dr. Axel Spies kommentiert am

Präsident Biden hat einen Datenschutz-Veteranen für den Schlüsselposten ausgewählt, der die Verhandlungen für ein neues Privacy Shield Abkommen führen soll. Christopher Hoff wird stellvertretender stellvertretender Sekretär für Dienstleistungen im US-Handelsministerium und tritt sein Amt am Tag der Amtseinführung an. Hoff wird der Hauptansprechpartner der Europäischen Kommission in den Gesprächen über ein neues Rahmenwerk zum Schutz des Transfers von persönlichen Daten in die USA sein.

 

Kommentar hinzufügen