„Schrems II“ in der Praxis: Handlungsmöglichkeiten bei Drittlandübermittlungen

Verworrene Situation nach Schrems II

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 16.07.2020 (C-311/18, Volltext) die Spielregeln für Datenübermittlungen in die USA geändert und sämtliche Datenübermittlungen in die USA auf Grundlage des ehemaligen EU-US-Datenschutzschilds. Gleichzeitig hat der EuGH die Möglichkeit eines Rückgriffs auf die Standardvertragsklauseln (SCC oder MC) oder Binding Corporate Rules (BCR) für Datenübermittlungen in die USA unter wohl unerfüllbare Bedingungen gestellt (siehe ausführlich den Beitrag auf unserer Website).

Damit hat der EuGH zu einem rechtlich ohnehin grenzwertigen Sachverhalt einen komplexen Problemaufriss geliefert. Einen Lösungsansatz lässt der EuGH vermissen – das ist auch nicht seine Aufgabe. Im Folgenden zeigen wir vier Handlungsmöglichkeiten zur praktischen Umsetzung des Urteils „Schrems II“, bewerten sie rechtlich und ordnen Bußgeldrisiken grob ein. Sämtliche Beispiele sind dabei exemplarisch und können nicht ungeprüft übernommen werden. Das gilt insbesondere für die in den Beispielen gewählten Formulierungen für die Einholung von Einwilligungen und den Verweis auf Datenschutzinformationen.

Die Auswirkungen des Urteils in aller Kürze

Da wir das Urteil an anderer Stelle besprochen haben, hier in gebotener Kürze noch einmal das wesentliche Ergebnis für Verantwortliche im Anwendungsbereich der DSGVO nach unserer Einschätzung:

  • Google Analytics: geht derzeit nicht.
  • Social Media bei Facebook, Twitter und Instagram: gehen derzeit auch nicht.
  • Videokonferenzsysteme US-amerikanischer Anbieter (Zoom, MS Teams): gehen derzeit ebenfalls nicht (vgl. dazu auch die Fragen 7 bis 10 im FAQ zu Videokonferenzsystemen der LfD Niedersachsen v. August 2020).
  • Hosting von Services in US-amerikanischer Infrastruktur (AWS, MS Azure, Cloudflare): geht derzeit schon gar nicht.

Stellungnahmen der Aufsichtsbehörden

Die ersten deutschen Aufsichtsbehörden haben sich in dieser Angelegenheit zu Wort gemeldet. So kurz nach dem Urteil ist eine abgestimmte Stellungnahme der Datenschutzkonferenz (DSK) oder des Europäischen Datenschutzausschusses (EDPB) noch nicht zu erwarten. Die Streubreite der Stellungnahmen ist dennoch bemerkenswert:

  • Rheinland-Pfalz: Prüfpflicht der Verantwortlichen, ob die Regelungen der Standardvertragsklauseln vom Datenimporteur im Drittstaat effektiv umgesetzt werden können (PM hier abrufbar).
  • Hamburg: Prüfpflicht der Aufsichtsbehörden, allerdings bereits mit dem Hinweis, dass dabei die inhaltlichen Maßstäbe des EuGH „zu beachten“ sein werden, was ab dem 01.01.2021 auch für das Vereinigte Königreich gelten dürfte. Hier dürften Untersagungsverfügungen unmittelbar bevorstehen (PM hier abrufbar).
  • Thüringen: Sieht die Prüfpflicht bei Verantwortlichen und Aufsichtsbehörden, sieht aber „nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll“ (PM hier abrufbar).
  • NRW: Hinweis darauf, dass es eine Verpflichtung der Verantwortlichen gibt „die Datenübermittlung auszusetzen, falls die Klauseln im Ziel-Land nicht eingehalten werden, oder zumindest die zuständige Aufsichtsbehörde zu informieren“ (PM hier abrufbar). Interessant wird sein, ob die LDI NRW anders als mit Untersagungsverfügungen reagiert, wenn schon der Verantwortliche selbst Zweifel am Schutzniveau im Drittland hat.
  • Berlin: Aufforderung an alle Verantwortlichen im Zuständigkeitsbereich der Aufsichtsbehörde, umgehend Drittlandübermittlungen in die USA einzustellen und zu Anbietern in anderen Ländern (bevorzugt solchen der EU) zu wechseln (PM hier abrufbar).
  • Baden-Württemberg (Nachtrag v. 25.8.2020): Vorschlag für eine Checkliste zum Umgang mit Drittlandübermittlungen, sowie Aufforderung zur Dokumentation und zum Nachweis gegenüber der Aufsichtsbehörde, dass der Dienstleister/Vertragspartner, bei denen die Transferproblematik kurz- und mittelfristig unersetzlich ist (vgl. dazu auch unsere Arbeitshilfen für Mandanten mit der Unterscheidung nach unverzichtbaren und verzichtbaren Diensten) (Orientierungshilfe hier abrufbar).
  • Niedersachsen (Nachtrag v. 25.8.2020): Die LfD hat sich im Rahmen eines FAQs zu Videokonferenzsystemen zu den Auswirkungen des Urteils geäußert. Die Zulässigkeit solcher Systeme mit Datenübermittlungen in die USA wird insb. von der Frage abhängig gemacht, ob und wie zusätzliche Garantien  zu den SCC vereinbart werden können. Im Zweifel sollen Systeme genutzt werden, die Server innerhalb der EU/EWR haben (hier abrufbar).
  • Europäischer Datenschutzausschuss (EDSA): Der EDSA nimmt die Pflicht der Aufsichtsbehörden, die Drittlandübermittlung zu untersagen wenn kein angemessenes Schutzniveau sichergestellt werden kann, „zur Kenntnis“. Er erkennt an, dass Standardvertragsklauseln allein nicht immer ausreichend sein werden! Eine Lösung bietet er noch nicht an, aber „macht sich Gedanken dazu, welche zusätzlichen Schutzmaßnahmen neben Standardvertragsklauseln in Betracht kommen“ (PM hier abrufbar).

++ Eine umfassendere und aktualisierte Liste führen wir in diesem Beitrag fort. ++

Checkliste und To-Dos für Verantwortliche: Hilfe zur Selbsthilfe

Die Aufgabe der Verantwortlichen ist es  nun, die möglichen Risiken nach dem EuGH-Urteil aus Drittlandübermittlungen zu identifizieren, zu bewerten um hiernach die erforderlichen Maßnahmen ergreifen zu können:

  1. Schritt: Verschaffen Sie sich einen Überblick, bei welchen Verarbeitungstätigkeiten es zu Datenübermittlungen in ein Drittland kommt, insbesondere in die USA. Die Antwort hierauf sollte sich aus dem Verzeichnis von Verarbeitungstätigkeiten (VVT) ergeben.
  2. Schritt: Prüfen Sie für jede Verarbeitung und jedes Drittland, auf welcher Grundlage die Datenübermittlungen dorthin erfolgen (vgl. Abbildung 1). Handelt es sich hierbei um einen Angemessenheitsbeschluss der EU-Kommission darf die Verarbeitung im Drittland erfolgen. Erfolgt die Datenübermittlung auf Grundlage von Standardvertragsklauseln oder Binding Corporate Rules, müssen Sie bewerten, ob es im Drittland beim konkreten Datenimporteur als dem Übermittlungsempfänger – zusammen mit den Standarddatenschutzklauseln oder BCR – ein angemessenes Datenschutzniveau für die konkret zu verarbeitenden personenbezogenen Daten gibt. Das ist insbesondere nicht der Fall, wenn dem unverhältnismäßige, staatliche Zugriffsbefugnisse auf die zu verarbeitenden Daten entgegenstehen.
  3. Schritt: Liegt eine Datenübermittlung in die USA vor oder kommen Sie sonst zu dem Ergebnis, dass die Standarddatenschutzklauseln oder Bindung Corporate Rules beim Datenempfänger im Drittland nicht vollständig durchsetzbar sind, ist die Datenübermittlung in die USA oder das andere Drittland mit hoher Wahrscheinlichkeit unzulässig. Als Alternative kommt dann nur noch in Betracht, die Datenübermittlung auf einen der sehr eng gefassten Fälle in Art. 49 DSGVO zu stützen, z.B. die Einwilligung der betroffenen Person in die Drittlandübermittlung in Kenntnis der Risiken und eines nicht vorhandenen, angemessenen Datenschutzniveaus.

Mit Blick auf  Umstellungen hinsichtlich der Drittlandübermittlungen (Artt. 44 ff. DSGVO) ist ferner zu beachten, dass hieraus i.d.R. folgende To-Dos folgen:

  • Anpassung des Verzeichnisses von Verarbeitungstätigkeiten mit Blick auf die Drittlandübermittlung,
  • Aktualisierung der Datenschutzerklärung(en) und Datenschutzinformationen nach Art. 13, 14 DSGVO, und
  • bei Websites Aktualisierung der Inhalte des ggf. genutzten Consent-Tools.

Abbildung 1: Allgemeiner Prüfungspfad für Drittlandübermittlungen.

Handlungsmöglichkeiten für Verantwortliche

Die folgenden Handlungsmöglichkeiten beziehen sich auf solche Datenübermittlungen, insbesondere in die USA, die bisher entweder über den EU-US-Datenschutzschild und/oder Standardvertragsklauseln und/oder Binding Corporate Rules gerechtfertigt wurden. Datenübermittlungen die bereits vor dem EuGH-Urteil nach Art. 49 DSGVO zulässig waren (insb. wegen ausdrücklicher Einwilligung der betroffenen Personen in Kenntnis des Risikos oder zur Vertragserfüllung eines Vertrags mit der betroffenen Person, z.B. die Hotelbuchung in den USA) bleiben rechtmäßig.

Die Angaben zum Bußgeldrisiko sind konservative Prognosen, ausgehend vom Bußgeldkonzept der Datenschutzkonferenz für einen typisierten Verstoß der beschriebenen Art, der sofort nach Hinweis der Aufsichtsbehörde abgestellt wird (siehe zum Bußgeldkonzept auch den Beitrag auf unserer Website). Wir haben für die Bemessung des Bußgeldes folgende Faktoren zu Grunde gelegt: mittelschwerer Verstoß; Dauer maximal wenige Wochen; keine besonders kritischen Daten betroffen (Achtung im kirchlichen Bereich oder bei Gesundheitsdaten); weniger als 5.000 betroffene Personen; keine Schäden bei den betroffenen Personen; keine früheren Verstöße; gute Zusammenarbeit mit der Aufsichtsbehörde; geringe Vorwerfbarkeit des Verstoßes.

Option 1: Datenübermittlungen in die USA abschalten

Der erste Ansatz ist ein sauberer Abbruch der bestehenden Datenübermittlungen in die USA. Das bedeutet dreierlei: Erstens, laufende Übermittlungen stoppen. Zweitens, die bereits übermittelten Daten löschen bzw. bei Dritten löschen lassen (z.B. bei Cloud-Anbietern). Denn anders als eine später widerrufene Einwilligung, die bis zum Widerruf die Datenverarbeitung legitimiert, haben die in den USA nicht umgesetzten Standardvertragsklauseln keine rückwirkend legitimierende Wirkung. Drittens, neue Datenübermittlungen in die USA aussetzen, bis eine rechtskonforme Umsetzung sichergestellt werden kann.

Vorteile: Die Umsetzung ist rechtssicher.

Risiken: Die wirtschaftlichen Auswirkungen auf den Geschäftsbetrieb können erheblich sein und bis zur völligen Geschäftsaufgabe führen.

Bußgeldrisiko: keins.

Option 2: Einwilligung einholen bzw. „Consent walls“ für Drittlandübermittlungen

Soll eine Drittlandübermittlung in die USA weiterhin stattfinden, so kommen derzeit nur die Ausnahmen nach Art. 49 Abs. 1 DSGVO in Betracht, d.h. insbesondere die Einwilligung der betroffenen Personen nach Art. 49 Abs. 1 Buchst. a DSGVO:

„Falls weder ein Angemessenheitsbeschluss … vorliegt noch geeignete Garantien … bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“

Eine Datenverarbeitung, in die eine betroffene Person eingewilligt hat, ist nach der DSGVO gerechtfertigt. Das gilt auch für Drittlandübermittlungen. Es sind hierbei jedoch einige Aspekte zu beachten:

  • Die Übermittlung bzw. Reihe von (= auch dauerhafte, aber identische) Übermittlungen müssen im Vorfeld bezeichnet werden
  • Es muss eine transparente, umfassende, Information a) über das Fehlen eines Angemessenheitsbeschlusses und geeigneter Garantien und b) sich daraus möglicherweise ergebende Risiken erteilt werden (hier: „wir wissen nicht, welche Behörden auf Ihre Daten zugreifen und wie lange, wo und zu welchem Zweck diese Daten verwendet werden oder welche Nachteile sich daraus für Sie ergeben können„).
  • Die Einwilligung muss ausdrücklich erteilt werden – und kann wie jede Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO).

Die Möglichkeit einer DSGVO-konformen Umsetzung dieses Ansatzes ist bestenfalls fraglich. Die Risiken, auf die hingewiesen werden muss, sind nur teilweise bekannt, was („mögliche Risiken“) noch zulässig sein dürfte. Die Anforderungen an eine informierte Einwilligung sind jedoch hoch, so dass hier die Hinweise entsprechend deutlich formuliert werden müssten. Im Offline-Bereich stellt sich dann aber noch die Frage nach der Einwilligungsfähigkeit. Ob die Einwilligung eines Arbeitnehmers, der mit seiner Weigerung die komplette Personalverwaltung für seinen Arbeitgeber unmöglich macht, wirklich freiwillig ist, ist zweifelhaft.

Noch deutlicher werden die Probleme im Online-Bereich, z.B. bei Websites und Apps. Wollten Verantwortliche hier eine Einwilligung einholen bevor die Website bzw. App erste Daten an die USA übermittelt (z.B. Google Fonts, Cloudflare, AWS…), müsste vor dem eigentlichen Laden der Website/App eine eigene Abfrage in Form einer „Consent wall“ erfolgen. Zu solchen Konstellationen hat der Europäische Datenschutzausschuss (EDSA) mit Blick auf Cookies und ähnliche Technologien jedoch entschieden, dass eine Einwilligung nicht freiwillig erteilt werden könne, wenn sie zugleich Vorraussetzung zum Zugang zu Diensten oder Funktionen sei (s. Guidelines des edpd vom 04.05.2020, Rn. 39 zu sog. „Cookie walls“ also zum Tracking).

Zu berücksichtigen ist jedoch, dass solche „Consent walls“ nach aktuellem Stand der effektivste Weg sind, um der Problematik  vollumfänglich zu begegnen, ohne die Betreiber faktisch zur völligen Umstellung der Website/App zu zwingen und damit tiefgreifend in die unternehmerische Entscheidungsfreiheit einzugreifen.  Cookies und ähnlichen Technologien lassen sich hingegen granularer abstufen (z.B. Website mit/ ohne technisch nicht-erforderliche Dienste), so dass den Verantwortlichen in diesen Fällen deutlich weniger abverlangt wird.

Abbildung 2: Mögliche Darstellung einer „Consent wall“ für Drittlandübermittlungen für Websites (ohne angemessenes Datenschutzniveau und ohne geeignete Garantien).

Abbildung 3: Beispiel für ein mögliches Zusammenwirken von (1. Stufe) „Consent wall“ und (2. Stufe) Cookie-Consent-Tool für Websites (technisch nicht-erforderliche Dienste).

Vorteile: Dieser Ansatz könnte zumindest im Offline-Bereich nach Anpassung der Prozesse zur Datenverarbeitung eine Verarbeitung für die Zukunft rechtfertigen. Alle in der Vergangenheit in die USA übermittelten Daten wären zu löschen (s. oben). Im Online-Bereich ist hingegen außerordentlich fraglich, ob eine solche Lösung DSGVO-konform umgesetzt werden kann.

Risiken: Wegen der Nachweispflichten (Art. 5 Abs. 2 DSGVO) ist in jedem Fall ein Einwilligungs-Management erforderlich. Offline bedeutet dies eine Verwaltung aller erteilten und widerrufenen Einwilligungen. Zudem müssen die Prozesse nach betroffenen Personen die eingewilligt haben und solchen, die es nicht tun, differenzieren können. Im Online-Bereich ist unklar, ob die Orientierungshilfe der Datenschutzkonferenz zu Telemedien übertragbar wäre, d.h. ob es genügt nachzuweisen, dass Daten technisch bedingt nicht ohne vorherige Einwilligung in die USA übermittelt werden können. Zudem ist die Zulässigkeit insgesamt fraglich – jedenfalls dann, wenn nicht auch eine Version der Website / App angeboten wird, die ohne Drittlandübermittlung auskommt.

Bußgeldrisiko (zu den Rahmenbedingungen oben): Jahresumsatz bis 2 Mio. Euro = 21.000 Euro; bis 10 Mio. Euro = 109.000 Euro; bis 50 Mio. Euro = 562.000 Euro; bis 200 Mio. Euro = 1,875 Mio Euro; über 500 Mio. findet eine Berechnung nach dem tatsächlichen Jahresumsatz statt; jeweils mit der Hoffnung auf einen Abschlag für den datenschutzfreundlicheren Ansatz.

Option 3: Integration in ein Consent-Tool? (nur online)

Ein weiterer möglicher Ansatz ist die unmittelbare Einbindung einer Einwilligungs-Abfrage für Drittlandübermittlungen (ohne angemessenes Datenschutzniveau und ohne geeignete Garantien) in Consent-Tools. Was auf den ersten Blick charmant klingt, hat technisch einige Tücken.

  • Die Informationspflichten (s. schon zu Option 2)
  • Es müsste eine weitere Unterscheidung aufgenommen werden: Bislang werden „essenzielle“ (also technisch unbedingt erforderliche) Dienste nicht angesteuert, da hier keine Einwilligung (nach Art. 5 Abs. 3 ePrivacy-Richtlinie) erforderlich ist. Diese Dienste können jedoch Drittlandübermittlungen (ohne angemessenes Datenschutzniveau und ohne geeignete Garantien) auslösen (z.B. Google Fonts, Cloudflare, AWS) und bedürften daher nun auch einer Einwilligung (nach Art. 49 Abs. 1 Buchst. a DSGVO).
  • Die Gestaltung der Einwilligungsoptionen wird deutlich verkompliziert. Hat der Bundesgerichtshof wettbewerbsrechtlich das Bündeln mehrerer Einwilligungen noch für zulässig gehalten, wenn verschiedene Kanäle mit demselben Zweck betroffen sind, unterscheiden sich hier die Datenverarbeitungen (welche Daten werden übermittelt; welche Risiken ergeben sich daraus?) teils erheblich.

Der Lösungsansatz zur Einholung der Einwilligungen für Drittlandübermittlungen über Consent-Tools setzt also folgendes Szenario voraus: Die technisch-erforderlichen Dienste i.S.d. Art. 5 Abs. 3 E-Privacy-Richtlinie führen gerade nicht zu Übermittlungen in Drittländer, in denen kein angemessenen Datenschutzniveau herrscht und in denen keine geeigneten Garantien für den Schutz der Daten vorliegen (ausschließlich Dienstanbieter aus der EU/dem EWR bzw. aus „sicheren“ Drittländern). Über das Consent-Tool werden also nur Einwilligungen für Drittlandübermittlungen (ohne angemessenes Datenschutzniveau und ohne geeignete Garantien) für ohnehin freiwillige und damit einwilligungsbedürftige Dienste eingeholt. Dies könnte dann ggf. wie in den folgenden Beispielen abgebildet werden, wobei fraglich ist, ob dieser Prozess rechtlich „haltbar“ ist:

Abbildung 4: Beispiel für ein mögliche Formulierung im Cookie-Consent-Tool.

Abbildung 5: Beispiel für eine mögliches Darstellung des Cookie-Consent-Tools (Einwilligung in das Tool und die Drittlandübermittlung).

Vorteile: Ein solcher Ansatz könnte bei  Verantwortlichen, die bei der Umsetzung der Entscheidungen in Sachen Fashion ID und Planet49 aufgepasst haben, auf bestehender Infrastruktur aufsetzen und damit zumindest Bereitschaft signalisieren, die betroffenen Personen zu sensibilisieren.

Risiken: Es bestehen die bei Option 2 genannten Risiken. Faktisch wird eine solche Umsetzung entweder darauf hinauslaufen den Funktionsumfang einer Website / App erheblich einzuschränken, bis eine Einwilligung abgefragt und erteilt wird. Nimmt man zudem den Europäischen Datenschutzausschuss (EDSA oder EDPB) ernst, müsste zudem eine alternative Version derselben Website / App mit vergleichbaren Funktionen, aber ohne Datenübermittlung in die USA angeboten werden. EuGH und EDSA gleichzeitig gerecht zu werden wird damit utopisch.

Bußgeldrisiko: Wie bei Option 2.

Option 4: Standardvertragsklauseln (oder BCR) weiternutzen und hoffen

Sehr vereinzelt wird vertreten, dass Datenverarbeitungen unter den Standardvertragsklauseln weiterhin zulässig sei, so z.B. von Microsoft in eigener Sache (Blogbeitrag hier abrufbar), ebenso von Hubspot (Mitteilung hier abrufbar). Das ist, gemessen an der klaren Aussage des EuGH („Standardvertragsklauseln grundsätzlich ja, aber nicht mit den USA, wenn die Mängel des Privacy Shield auch auf solche Datenverarbeitungen durchschlagen“) und dem Unternehmenssitz von Microsoft in den USA eine waghalsige These, insbesondere wenn jede Begründung für diese Aussagefehlt. Sie wird von uns, den Aufsichtsbehörden (s. oben) und vielen Datenschutzexperten Stand heute zurecht für unvertretbar gehalten.

Dasselbe gilt für Binding Corporate Rules (dazu auch ausführlich der Beitrag auf unserer Website) . Die gegensätzliche Annahme, BCR könnten hier retten, was nicht zu retten ist, basiert auf der unsachgemäßen Bewertung des Umstandes, dass der EuGH über sie nicht entschieden hat (so etwa die Bewertung der Auswirkungen des Urteils durch Salesforce, Beitrag hier abrufbar). Der EuGH hat wegen der Rechtslage und Überwachungspraxis in den USA vertragliche Zusicherungen in Form der Standardvertragsklauseln sowie Selbstzertifizierungen vor einer US-Behörde (EU-US-Datenschutzschild) für nicht ausreichend erachtet. Die Annahme, dass freiwillige Selbstverpflichtungen in BCR ein höheres Schutzniveau erreichen können, spricht für eine gewisse Fantasie.

Vorteile: Es könnte alles weiterlaufen wie bisher (soweit Standardvertragsklauseln angeboten werden).

Risiken: Die Drittlandübermittlung in die USA wäre rechtswidrig. Sobald eine Aufsichtsbehörde dies mitbekommt – spätestens nach einer Beschwerde, die auch (ehemalige) Mitarbeiter oder Mitbewerber einreichen können – drohen Untersagungsverfügung und Bußgeld.

Bußgeldrisiko: Wie bei Option 2, ggf. erhöht wegen des höheren Verschuldensgrades.

„…und wenn wir es einfach aus der Datenschutzerklärung streichen?“

Nach dem Vogel-Strauß-Prinzip zu handeln nützt hier nichts: Der Verstoß verschwindet davon nicht und ist für die Aufsichtsbehörden über das Verzeichnis der Verarbeitungstätgkeiten sowie für Konkurrenten öffentlich (über Newsletter, Social Media Accounts, Blick auf die Website, etc.) einfach zu erkennen. Weitere Verstöße gegen die Informationspflichten aus Artt. 13, 14, 30 DSGVO zu begehen löst das Problem nicht.

Letzter Ausweg „praktische Konkordanz“?

Ergibt eine selbstkritische und strenge Prüfung, dass es im Kernbereich der Tätigkeit eines Verantwortlichen keine Alternativen zur Drittlandübermittlung (ohne angemessenes Datenschutzniveau und ohne geeignete Garantien) gibt, oder ist der Aufwand für den Wechsel wirtschaftlich oder tatsächlich unzumutbar, muss insoweit der datenschutzrechtswidrige Zustand akzeptiert und regelmäßig erneut geprüft werden, ob eine Änderung möglich ist (vgl. dazu auch den Hinweis des LfDI Baden-Württemberg in seiner Orientierungshilfe vom 24.8.2020, S. 9 f.). Der Sachverhalt und dessen Bewertung sollten vollständig dokumentiert sein, ebenso die getroffenen Maßnahmen, wo ein Verzicht auf Drittlandübermittlungen realisierbar war. Unmögliches kann die DSGVO nicht verlangen und auch nicht sanktionieren.

Dies ergibt sich aus der vorzunehmenden Abwägung von Rechtsgütern. Im deutschen Verfassungsrecht wird insoweit von „praktischer Konkordanz“ gesprochen, wenn Grundrechte sich gegenseitig in ihrer Auslegung beeinflussen. So auch hier: Den Grundrechten der betroffenen Personen nach Artt. 7, 8, 47 EU-Grundrechtecharta, die in der DSGVO ihren Ausdruck finden, stehen Grundrechte der Verantwortlichen gegenüber. Beispielsweise Art. 15 (Berufsfreiheit) und Art. 16 (unternehmerische Freiheit) der EU-Grundrechtecharta. Zudem könnten ja nach Fallgestaltung die im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gewährleisteten Grundfreiheiten (hier: die Dienstleistungsfreiheit nach Art. 56 ff. AEUV) zu beachten sein.

Hierzu ist Vieles noch im Unklaren und erst die Entwicklungen der nächsten Monate werden zeigen, wo sich der Konsens zwischen Gesetzgeber, Aufsichtsbehörde und Verantwortlichen darüber, wie mit diesem Urteil umgegangen werden soll, einpendelt. In den letzten zwei Jahren wurden viele richtige – wenngleich für Verantwortliche nicht immer angenehme – Entscheidungen im Datenschutzrecht gefällt. Und auch diesem Urteil ist im Kern zuzustimmen. Wichtig ist es nun dafür zu sorgen, dass nicht Unternehmen auf dem Altar des Datenschutzes geopfert werden, deren Kerntätigkeit wegen der Globalisierung und Marktdominanz US-amerikanischer Anbieter betroffen ist (z.B. der Mittelständler, der Salesforce als CRM einsetzt) und nicht, weil es sich bei den Unternehmen um „Datensäue“ handelt.

Wer sind KREMER RECHTSANWÄLTE und Ihre Ansprechpartner dort?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät hat in verschiedenen Branchen- und Dachverbänden an der Umsetzung der DSGVO durch die jeweiligen Mitglieder mitgewirkt und selbst mehrere Großprojekte zur Umsetzung der DSGVO erfolgreich geführt oder begleitet.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT- und Datenschutzrecht geführt.

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende Rechtsanwältin/Rechtsanwalt. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV),
sascha.kremer@kremer-recht.de

Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
daniela.koehnlechner@kremer-recht.de

Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kristof.kamm@kremer-recht.de

Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
nadine.schneider@kremer-recht.de

Michael Matejek, LL.M., Wirtschaftsjurist,
michael.matejek@kremer-recht.de

Alle Ansprechpartner/innen erreichen Sie telefonisch unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln.

Erläuterungen zum Bußgeldrisiko

1 Die Angaben zum Bußgeldrisiko orientieren sich am Modell der DSK zur Berechnung von Bußgeldern für Datenschutzverstöße (siehe dazu auch den Beitrag auf unserer Website, am Ende). Wir haben hierbei folgende Faktoren zu Grunde gelegt: mittelschwerer Verstoß; Dauer maximal wenige Wochen; keine besonders kritischen Daten betroffen (Achtung im kirchlichen- oder Gesundheitsbereich); weniger als 5.000 betroffene Personen; keine Schäden bei den betroffenen Personen; keine früheren Verstöße; gute Zusammenarbeit mit den Aufsichtsbehörden; geringe Vorwerfbarkeit des Verstoßes.

Von Kristof Kamm

Informationen zum Autor finden Sie auf der Team-Seite.