„Schrems II“ & Drittlandübermittlungen: Das sagen die Aufsichtsbehörden (und andere) – Update 16.10.2020

Das Urteil des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 (C-311/18, Volltext) haben wir an anderer Stelle bereits ausführlich besprochen, siehe dazu die Bewertung des Urteils auf unserer Website sowie den Beitrag auf unserer Website zur praktischen Umsetzung und Handlungsmöglichkeiten (mit Risikobewertung und Musterbußgeldberechnung).

Es gehen zusehends mehr Meldungen der Aufsichtsbehörden und Verbände zu diesem Urteil ein. Ebenso sammeln sich die Antworten der Unternehmen auf Anfragen dazu, wie sie mit diesem Urteil umzugehen gedenken. Der Übersichtlichkeit halber haben wir die begonnene Liste dieser Stellungnahmen ausgelagert und hier zentralisiert. Wir werden diesen Beitrag regelmäßig aktualisieren.

Aus Gründen der Übersichtlichkeit haben wir die jeweils aktuellesten Updates farblich hervorgehoben. Es handelt sich hierbei um das Update vom 12.10.2020 zu den Empfehlungen des Europäischen Datenschutzausschusses.

Aufsichtsbehörden

Europa

  • Europäischer Datenschutzausschuss (EDSA oder EDPB): Der EDSA nimmt die Pflicht der Aufsichtsbehörden, die Drittlandübermittlung zu untersagen wenn kein angemessenes Schutzniveau sichergestellt werden kann, „zur Kenntnis“. Er erkennt an, dass Standardvertragsklauseln („SCC„) allein nicht immer ausreichend sein werden. Eine Lösung bietet er noch nicht an, aber „macht sich Gedanken dazu, welche zusätzlichen Schutzmaßnahmen neben Standardvertragsklauseln in Betracht kommen“ und stellt ein konsolidiertes Vorgehen der nationalen Aufsichtsbehörden in Aussicht (Pressemitteilung hier abrufbar).
    Update 24.7.2020: Der EDSA hat FAQ zum Urteil herausgegeben, die hier abgerufen werden können. Kernaussagen:

    • Es gibt keine Schonfrist oder Übergangsfrist. Jedes Unternehmen ist aufgefordert, unverzüglich die Drittlandübermittlungen zu überprüfen und zu bewerten. Die vom EDSA vorgeschlagene Vorgehensweise entspricht unseren Handlungsempfehlungen (siehe den Beitrag auf unserer Website zur praktischen Umsetzung und Handlungsmöglichkeiten).
    • Unternehmen, die bei der Einzelfallbetrachtung zum Ergebnis kommen, dass auch mit Standarddatenschutzklauseln und Binding Corporate Rules („BCR„) kein angemessenes Datenschutzniveau im Drittland garantiert werden kann [Hinweis unsererseits: für die USA derzeit der Regelfall] und trotzdem weiterhin Daten in die USA übertragen wollen, sind verpflichtet die zuständige Aufsichtsbehörde hierüber zu informieren („If you come to the conclusion that, taking into account the circumstances of the transfer and possible supplementary measures, appropriate safeguards would not be ensured, you are required to suspend or end the transfer of personal data. However, if you are intending to keep transferring data, you must notify your competent SA“). Hierbei verweist der EDSA auf Rn. 145 des Urteils, der sich mit Informationspflichten bei geänderter Sachlage bzw. Rückmeldungen des Datenimporteurs befasst. Den Unternehmen dürfte also eine Prüfung und Konsultation des Datenimporteurs vor der Meldung an die Aufsichtsbehörde zuzugestehen sein.
    • SCC und BCR werden – zutreffend – gleichgestellt.

Update 12.11.2020: Der EDSA legt nach und hat am 10.11.2020 zwei „Empfehlungen“ angenommen, in denen er sehr klare Worte findet. Hierbei handelt es sich um die Empfehlungen zu Maßnahmen, die die Regularien für Drittlandübermittlungen ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten (“Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“) sowie die die Empfehlungen zu essenziellen europäischen Garantien bei Überwachungsmaßnahmen (“Recommendations 02/2020 on the European Essential Guarantees for surveillance measures“). Hierin verschärft der EDSA den Maßstab noch einmal wenn er darauf hinweist, dass vertragliche und (sonstige) organisatorische Maßnahmen regelmäßig technische Maßnahmen nur flankieren könnten. Ohne wirksame technische Maßnahmen seien „übergriffige“ Zugriffe Dritter, z.B. staatlicher Einrichtungen im Drittland, die über ein „in einer demokratischen Gesellschaft angemessenes Maß“ hinausgehen, jedoch in vielen Fällen nicht zu vermeiden. Dies führt der EDSA an einzelnen Anwendungsfällen näher aus.

  • Irland: Die Data Protection Commission (DPC) als zuständige Aufsichtsbehörde für die in Irland belegenen Töchter vieler US-amerikanischer Unternehmen hat auf die Prüfpflicht „case to case“ hingewiesen, allerdings auch mitgeteilt, dass Datenübermittlungen in die USA auf Grundlage von SCC in Zukunft wohl nicht mehr funktionieren werden („the application of the SCCs transfer mechanism to transfers of personal data to the United States is now questionable“) (hier abrufbar).

Deutschland

Update 29.7.2020: Am 29.7.2020 hat sich auch die Datenschutzkonferenz (DSK) mit einer Pressemitteilung geäußert. Die Aussagen sind im Wesentlichen die des EDSA (s. oben): Das Urteil betrifft alle Garantien gemäß Art. 46 DSGVO gleichberechtigt; es ist eine Einzelfallprüfung vorzunehmen; Datenübermittlungen in die USA sind ohne „zusätzliche Maßnahmen“ (deren Existenz die DSK offen lässt) unzulässig. Insoweit nichts, was wir und der EDSA nicht bereits gesagt haben. Bemerkenswert ist, dass die DSK – anders als der EDSA – nicht auf die Meldepflicht an die zuständige Aufsichtsbehörde eingeht (FAQ des EDSA, Ziff. 5 am Ende). Es wird abzuwarten bleiben, ob es sich hierbei um ein redaktionelles Versehen oder eine bewusste Entscheidung handelt.

Zu den einzelnen Aufsichtsbehörden:

  • Update 16.10.2020, BfDI: Nach einer ersten vorsichtigen PM hat sich auch der BfDI zwischenzeitlich in der Sache zu Wort gemeldet. In seiner PM vom 29.7.2020 schließt er sich, wenig überraschend, dem EDSA an und verweist auf die erforderliche Prüfung im Einzelfall. Nähere Vorgaben oder Hilfestellungen dazu bietet der BfDI nicht an. Zwischenzeitlich hat der BfDI am 8.10.2020 ein Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den internationalen Datentransfer veröffentlicht. Neue Aussagen oder konkrete Handlungshinweise enthält das Informationsschreiben leider nicht, sondern bleibt vage.
  • Rheinland-Pfalz: Prüfpflicht der Verantwortlichen, ob die Regelungen der SCC vom Datenimporteur im Drittstaat effektiv umgesetzt werden können (hier abrufbar).
    Update 29.7.2020: Der LfDI deutet in einer weiteren PM an, dass zunächst Untersagungsverfügungen und erst bei andauernden Verstößen Bußgelder in Betracht gezogen werden (es kommen „entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum“) – was freilich keine verbindliche Aussage ist und insbesondere bei vorsätzlichen oder grob fahrlässigen Verstößen oder Bezug zu besonderen Kategorien personenbezogener Daten mit Vorsicht zu genießen ist.
    Zudem werden nun FAQ bereitgestellt (Kurzfassung: keine Übergangsfrist; wenn Unternehmen in den USA behördlicher Kontrolle unterliegen kein angemessenes Schutzniveau; Art. 49 DSGVO denkbar; falls auch das nicht: Datenübermittlung dauerhaft auszusetzen).
  • Hamburg: Prüfpflicht der Aufsichtsbehörden, allerdings bereits mit dem Hinweis, dass dabei die inhaltlichen Maßstäbe des EuGH „zu beachten“ sein werden, was ab dem 01.01.2021 auch für das Vereinigte Königreich gelten dürfte. Hier dürften Untersagungsverfügungen unmittelbar bevorstehen (hier abrufbar).
  • Thüringen: Sieht die Prüfpflicht bei Verantwortlichen und Aufsichtsbehörden, sieht aber „nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll“ (hier abrufbar).
  • NRW: Hinweis darauf, dass es eine Verpflichtung der Verantwortlichen gibt „die Datenübermittlung auszusetzen, falls die Klauseln im Ziel-Land nicht eingehalten werden, oder zumindest die zuständige Aufsichtsbehörde zu informieren“ (hier abrufbar). Interessant wird sein, ob die LDI NRW anders als mit Untersagungsverfügungen reagiert, wenn schon der Verantwortliche selbst Zweifel am Schutzniveau im Drittland hat.
  • Berlin: Aufforderung an alle Verantwortlichen im Zuständigkeitsbereich der Aufsichtsbehörde, umgehend Drittlandübermittlungen in die USA einzustellen und zu Anbietern in anderen Ländern (bevorzugt solchen der EU) zu wechseln (hier abrufbar).
  • Bayern: Das BayLDA äußert sich durch Alexander Filip, Head of International Data Transfers, u.a. dahingehend, dass die Aussagen des EuGH für alle SCC (Controller-to-Controller und Controller-to-Processor) sowie auch BCR gelten. Schnelle Lösungen der Aufsichtsbehörden sind nicht zu erwarten, die Unternehmen müssten aber jetzt handeln.
  • Niedersachsen: Die LfD Niedersachsen hat sich im August 2020 im Rahmen eines FAQs zu Videokonferenzsystemen zu den Auswirkungen des Urteils auf entsprechende Video-Dienste geäußert (Fragen 7 bis 10). Das Privacy Shield stellt danach (wenig überraschend) keine taugliche Grundlage für die Datenübermittlung dar (Frage 7). SCC sind nur dann eine taugliche Grundlage, wenn ein gleichwertiges Datenschutzniveau im Drittland besteht oder ein solches durch zusätzliche Maßnahmen gewährleistet werden kann (Frage 8). Für die Übermittlung in die USA wird betont, dass kein gleichwertiges Schutzniveau besteht (Frage 9), so dass zusätzliche Maßnahmen zur Absicherung erforderlich sind. Nach Angaben der LfD hat der EDSA die Entwicklung von zusätzlichen Hilfestellungen angekündigt und prüft aktuell rechtliche, technische oder organisatorische Maßnahmen zur Gewährleistung des Schutzniveaus. Laut FAQ sollten im Zweifel Videokonferenzsysteme mit Servern innerhalb der EU/ des EWR genutzt werden. Zusätzlich wird der Aufnahmecharakter des Art. 49 DSGVO betont (insb. mit Blick auf die Einwilligung) und es wird auf die Leitlinien des EDSA zu Art. 49 DSGVO verwiesen (Frage 10).
  • Baden-Württemberg: Der LfDI Baden-Württemberg lässt sich in Form des Behördenleiters Dr. Brink in der FAZ mit den Worten zitieren, dass (auch) „[ihm] allerdings noch schleierhaft [ist], wie eine verträgliche Lösung“, die derzeit im EDSA abgestimmt wird, aussehen soll. Zudem erinnert er – in aller gebotenen Vorsicht – daran, dass die Aufsichtsbehörden 2015 nach dem Urteil in Sachen „Safe Harbor“ ein sechsmonatiges Moratium auf Sanktionen verhängt haben. Das gesamte Interview ist hier abrufbar.
    Update 25.8.2020, 29.9.2020: Der LfDI hat am 24.8.2020 eine Orientierungshilfe zum Umgang mit dem EuGH Urteil „Schrems II“ veröffentlicht. Hier wird wenig überraschend festgestellt, dass der Privacy Shield keine gültige Rechtsgrundlage darstellt, so dass entsprechende Datenübermittlungen auf dieser Grundlage rechtswidrig sind und Bußgelder und Schadensersatzforderungen nach sich ziehen können. Der LfDI schlägt für den Umgang mit der Transferproblematik eine Checkliste mit Maßnahmen vor

    • (1) Bestandsaufnahme,
    • (2) Kontakt zum Dienstleister,
    • (3) Information über die Rechtslage im Drittland,
    • (4) Prüfung ob ein Angemessenheitsbeschluss vorliegt,
    • (5) Prüfen ob die SCC für das jeweilige Land verwendet werden könne (was für die USA ausgehend von der Argumentation des EuGH zu verneinen ist) und
    • (6) Prüfung, ob die SCC und zusätzliche Garantien die Übermittlung in das unsichere Drittland (z.B. USA) rechtfertigen können.Als zusätzliche Garantien werden verschiedenen Maßnahmen vorgeschlagen, wie z.B. Verschlüsselungen, Anonymisierung oder Pseudonymisierung, sowie entsprechende Anpassungen der SCC (vgl. S. 8 der Orienthierungshilfe). Der LfDI äußert sich nicht dazu, dass die vorgeschlagene Anpassung der SCC grds. die Genehmigungspflicht nach Art. 46 Abs. 3 DSGVO auslösen wird, da modifizierte SCC als vertragliche Regelungen i.S. des Art. 46 Abs. 3 Buchst. a DSGVO zu beurteilen sind. Als letzter Notnagel für die Datenübermittlung wird Art. 49 DSGVO vorgeschlagen, wobei der Ausnahmecharakter betont wird.
      Update: Dieser Punkt wurde durch den LfDI mit der zweiten Auflage der Orientierungshilfe (vom 7.9.2020) durch sprachliche Neufassung („Ergänzungen der Bestimmungen der Standardvertragsklauseln verständigen, die Sie am besten in einer gesonderten Vereinbarung oder im Hauptvertragfesthalten sollten“) zutreffend gelöst.
      Hervorzuheben ist, dass der LfDI zur Vermeidung einer Untersagungsverfügung fordert, dass der Verantwortliche nachweist, dass der genutzte Dienstleister/Vertragspartner mit der Transferproblematik kurz- und mittelfristig unersetzlich ist und nicht durch zumutbare Dienstleister/ Vertragspartner ohne diese Problematik ersetzt werden kann – in diesem Fall ist eine Untersagung durch den LfDI zu erwarten. Bei alternativlosen Verarbeitungen/Dienstleistern und unverhältnismäßigen Folgen durch den Verzicht auf die entsprechenden Verarbeitungen, kann sich eine abweichende Bewertung ergeben. Dazu führt der LfDI in der 2. Auflage v. 7.9.2020 ausdrücklich aus: „Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten“.
      Es ist daher eine interne Prüfung und Dokumentation der Verantwortlichen erforderlich. Die Checkliste und die Prüfung und Beurteilung von Alternativen des LfDI entspricht weitgehend dem von uns vorgeschlagenen Vorgehen in unseren Beiträgen zum EuGH Urteil „Schrems II“ vom 17.7.2020 (EU-US Privacy Shield im sicheren Hafen versenkt“) bzw. 21.7.2020 („Schrems II“ in der Praxis: Handlungsmöglichkeiten bei Drittlandübermittlungen), siehe dazu insb. die Checklisten in den Beiträgen. Unseren Mandanten sind die grds. Prüfungsschritte und Handlungsoptionen auch aus von uns bereitgestellten Arbeitshilfen (Prüfschema und Risikomatrix zu „Schrems II“) bekannt.

Update 10.11.2020, 12.11.2020: Die Stellungnahme des LfDI Baden-Württemberg zu vertraglichen zusätzlichen Garantien hat sich durch die Empfehlungen des EDSA und die damit verbundene deutliche Verlagerung des Schwerpunkts der zu treffenden Maßnahmen wohl überholt. Unabhängig hiervon hat der LfDI kurz zuvor angekündigt, die Umsetzung der Schrems II-Entscheidung ab Januar 2021 auch anlasslos zu kontrollieren.

Kirchen

  • Der Diözesandatenschutzbeauftragte (Erzbistum Hamburg, Bistümer Hildesheim und Osnabrück sowie Bischöflich Münstersches Offizialat in Vechta i.O.): Der Diözesandatenschutzbeauftragte fasst in aller Klarheit zusammen, was der EuGH auch so verstanden wissen wollte, nämlich dass „für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich [ist]“. Da das angemessene Datenschutzniveau nach dem KDG dem nach der DSGVO entspricht, hat das Urteil auch Auswirkungen auf kirchliche Einrichtungen (hier abrufbar).
  • Der Beauftragte für den Datenschutz der EKD: Der BfD EKD prüft derzeit noch die Auswirkungen des Urteils auf § 10 DSG-EKD (hier abrufbar).
    Update 24.7.2020: Der BfD EKD hat eine gemeinsame Stellungnahme der Konferenz der Datenschutzbeauftragten der EKD veröffentlicht. Auch dort wird das Risiko von Datenübermittlungen in die USA gesehen und – was beachtlich ist, angesichts der Sonderstellung des kirchlichen Datenschutzes, in der Sache aber völlig richtig – eine mit den staatlichen Aufsichtsbehörden abgestimmte Vorgehensweise angepeilt (hier abrufbar).

U.S. Department of Commerce

Update 5.8.2020: Das U.S. Department of Commerce, Abt. International Trade Administration, hat FAQ zu den Auswirkungen des Urteils auf den EU-US-Privacy Shield veröffentlicht. Die Kernaussage lautet: „Der EuGH mag das Abkommen für ungültig erklärt haben, aber wir setzen es trotzdem fort.“ So heißt es unter anderem:

  • Das Department of Commerce wird das Privacy Shield Programm weiter verwalten, insb. Anträge auf Selbstzertifizierung oder Erneuerung der Zertifizierung bearbeiten.
  • Man erwarte, dass die zertifizierten Unternehmen sich weiterhin an die Vorgaben der Zertifizierung unter dem Privacy Shield hielten, die ein „ernsthaftes Engagement für den Datenschutz und die Einhaltung von Grundsätzen, die einen bedeutsamen Datenschutz und Rückgriffs-/Regressmöglichkeiten (’set of privacy principles that offer meaningful privacy protections and recourse‘) für Unionsbürger bedeuten, demonstierten“.
  • Mit Fragen wenden US-amerikanische Unternehmen sich bitte an die zuständigen europäischen Behörden.

Wenig überraschend, gleichwohl bedauerlich, ist, dass das Department of Commerce kein Wort dazu verloren hat, was das Urteil für andere Behörden als die FTC (z.B. FBI, NSA oder Homeland Security) bedeutet.

Update 29.9.2020: Das U.S. Department of Commerce und das U.S. Department of Justice sowie das Office of the Director of National Intelligence haben ein sehr lesenswertes White Paper zur Schrems II-Entscheidung aus US-amerikanischer Sicht veröffentlicht. Das White Paper richtet sich unmittelbar an europäische Unternehmen die unter Verwendung von SCC personenbezogene Daten in die USA übermitteln und möchte als Handreichung bei den nach Maßgabe der EuGH anzustellenden Prüfungen der Verantwortlichen verstanden werden. Im Wesentlichen wird auf die folgenden Punkte eingegangen:

  • Die Rechtsschutzmöglichkeiten (auch von EU-Bürgern) unter dem Foreign Intelligence Surveilance Act, sec. 702 (FISA 702), die – ohne deren Effektivität zu bewerten und die Richtigkeit des Papers unterstellt – bestünden.
  • Den Anwendungsbereich der Executive Order 12333 und den Umstand, dass laut dem Paper eine verbindliche Aufforderung zur Offenlegung von Informationen unter der EO1233 nicht möglich sei.
  • Seit 2016 durch die USA getroffene „safeguards“ mit Bezug auf FISA 702 (z.B. Schutz von Whistleblowern bei den Sicherheitsbehörden, dort eigene Datenschutzbeauftragte, etc.).
  • Die Rechtslage auch in der EU und die hiesige sicherheitsbehördliche Überwachungspraxis, unter dem Gesichtpunkt der Vergleichbarkeit des Datenschutzniveaus unter der DSGVO mit dem US-amerikanischen Datenschutzniveau.

Wenngleich Fragen offen bleiben und die Ausführungen aus dem White Paper im Tatsächlichen stellenweise nicht überprüfbar sind, handelt es sich mit diesem Paper zumindest um eine Stellungnahme der zuständigen Behörde, die zudem gewichtige Argumente für die Prüfung und Abwägung der Verantwortlichen in der EU liefert.

Unternehmen

  • AWS: Bislang fehlte AWS hier, daher als Nachtrag v. 7.8.2020: Auch AWS hat ein Statement veröffentlicht, das hier eingesehen werden kann. Im Wesentlichen: AWS könne weitergenutzt werden, da SCC über das DPA eingebunden werden. Zudem weist AWS darauf hin, Daten soweit wie möglich („in transit“ und „at rest“) zu verschlüsseln – was nichts anderes als die Beachtung von Art. 32 DSGVO ist. Zugleich wird aber eingeräumt, dass Daten auf Anfrage an law enforcement agencies offengelegt werden können.
  • Microsoft: Auf Nachfrage teilt Microsoft mit, dass nach dortiger Rechtsauffassung die SCC eine Datenübermittlung in die USA weiterhin legitimieren könnten und verweist insoweit auf die die Mitteilung des Chief Privacy Officers von Microsoft, Julie Brill, die ihrerseits auf eine langjährige Tätigkeit im öffentlichen Dienst in den USA, unter anderem an der FTC (die die Privacy Shield Zertifizierungen verwaltete) zurückblickt. Auf konkrete Nachfrage, wie diese Position mit den klaren Aussagen des EuGH vereinbar sei, schweigt sich Microsoft derzeit aus. Eine ausführliche, nach Services differenzierte Darstellung für Microsoft Produkte findet sich bei RA Köllner: Link. Er zeigt auch auf, welche Dienste derzeit von Microsoft mit Drittlandübermittlungen noch ohne SCC angeboten werden (z.B. Office 365 Pro Plus, Microsoft 365 Apps for Business und die Übermittlung der Diagnosedaten unter Windows 10).
    Updates 3.8.2020 und 10.8.2020: Eine weitere Liste von RA Köllner fasst zusammen, welche neuen Auftragsverarbeiter Microsoft derzeit einsetzt oder einzusetzen plant (hier abrufbar). Wenig überraschend: diese neuen Auftragsverarbeiter sind ganz überwiegend in den USA belegen. Auch die Änderungen am DPA von Microsoft (Aufarbeitung hier und hier) führen zu keiner Besserung – es werden nur einzelne Dienste, die früher unter den Privacy Shield fielen, unter die SCC gestellt. Die Datenverarbeitung erfolgt jedoch weiterhin in den USA, so dass eine Datenübermittlung auch unter den SCC rechtswidrig bleibt. Denn eine Bestätigung dahingehend, dass Microsoft trotz der Anwendbarkeit des Foreign Surveillance Act die SCC einhalten kann, gibt es bislang nicht. Daran wird dem Vernehmen allerdings seitens Microsoft gearbeitet.
    Update 2.9.2020: Zum 1.9.2020 wurden neue OST (Online Service Terms) veröffentlicht, die jedoch keine Änderungen bezogen auf den Datenschutz enthalten.
  • HubSpot: Auf Nachfrage teilt HubSpot mit, dass nach dortiger Rechtsauffassung die SCC eine Datenübermittlung in die USA weiterhin legitimieren könnten und verweist insoweit auf eine Mitteilung des Unternehmens. Antworten auf weitere konkrete Nachfragen werden von Hubspot als „confidential“ eingeordnet.
  • Salesforce: Salesforce teilt mit, dass man das Urteil über Binding Corporate Rules (BCR) umgesetzt habe („…because our BCR directly address the issue of government access and contain specific protections around requests for disclosure of personal data by a law enforcement authority or state security body…“), vgl. auch die Mitteilung von Salesforce. Wie die Selbstverpflichtung durch die BCR gewährleistet, dass Salesforce auch auf Aufforderung von US-Behörden oder Gerichten keine Kundendaten offenlegt, wird auf konkrete Nachfrage nicht mitgeteilt.
    Update 30.7.2020: Die Antwort die wir von Salesforce erhalten haben ist, höflich ausgedrückt, von einem sehr fragwürdigen Verständnis der eigenen Rolle gekennzeichnet:

    1. Salesforce ändert als Reaktion darauf, dass der EuGH SCC und BCR in Zweifel zieht die BCR und behauptet, das Urteil des EuGH beträfe nur SCC: „Salesforce is aware, that the CJEU determined that organizations relying on the European Commission’s standard contractual clauses should conduct diligence … Regarding the aforementioned last aspect, we updated our BCRs in section 10…“. Andere Ansicht: die Aufsichtsbehörden (s. oben).
    2. In den Salesforce BCR heißt es dann unter Ziff. 10: „Where the Salesforce Group reasonably believes that applicable existing or future enacted or enforceable law prevents it from fulfilling its obligations under the Salesforce Processor BCR or the instructions of a Customer, it shall promptly notify the Salesforce Group’s Privacy department in addition to affected Customers, the Supervisory Authority competent for the Customer and the Supervisory Authority competent for Salesforce.“ Salesforce prüft also selbst zunächst, ob sie US-amerikanischen Gesetzen unterfallen, die ihnen die Gewährleistung eines angemessenen Schutzniveaus unmöglich machen und teilt, falls man dies feststellt, dies den Kunden mit. Gut so. Diese Ankündigung wäre allerdings überzeugender, wenn Salesforce das Ergebnis nicht bereits vorweggenommen hätte. Denn angeblich besteht ja gerade kein Handlungsbedarf für die Kunden.
    3. Sollte Salesforce doch feststellen, sich nicht DSGVO-konform verhalten zu können, wird den Kunden ein vertragliches Kündigungsrecht gewährt. Dabei handelt es sich allerdings um kein werthaltiges Zugeständnis. Denn falls Salesforce deren vertraglichen Verpflichtungen zum Datenschutz nicht einhalten kann, begründet dies ohnehin ein außerordentliches Kündigungsrecht zugunsten des Kunden.
    4. Ziff. 10 der BCR schließt mit dem Absatz „Transfers of Personal Data by the Salesforce Group to any public authority cannot be massive, disproportionate and indiscriminate in a manner that would go beyond what is necessary in a democratic society.“ Spannend wird sein zu sehen, wie Salesforce US-amerikanischen Behörden den Zugriff versagt, weil dies in einer demokratischen Gesellschaft unangemessen und diskriminierend sei.
  • Genesys: Der Anbieter von Telekommunikationslösungen (OnPrem und Cloud) hält die SCC für ausreichend, die bereits mit den Kunden abgeschlossen worden seien. Es sei auch sichergestellt, dass mit allen Subunternehmern von Genesys jetzt Standardvertragsklauseln abgeschlossen wurden, wo bislang ggf. auf das Privacy Shield abgestellt worden sei. Ergänzend wird auf die vorhandenen technischen und organisatorischen Maßnahmen sowie die eigenen Reviews von Genesys verwiesen. Im Übrigen seien Materialien in Erarbeitung, mit denen man Kunden bei der Überprüfung der Datenübermittlungen unter den Standarddatenschutzklauseln unterstützen werde.
  • Google: Google hat Übermittlungen in Drittländer u.a. bei Nutzung der Google Marketing Platform und für Google Analytics bislang ausschließlich auf das unwirksame Privacy Shield gestützt. Bislang werden für diese Produkte keine SCC auf Grundlage der EU-Standardvertragsklauseln angeboten. Anders ist dies bei Nutzung der Google Cloud Platform und der G Suite; dort werden die SCC vereinbart (Übersicht siehe hier).
    Update 3.8.2020: Google zieht nach und bietet SCC nun auch für weitere Dienste an. Eine entsprechende Mitteilung haben wir für Google Ads (ehem. Google AdWords) erhalten. Edit hierzu: unter die „Google Werbedienste“ werden eine Vielzahl von Diensten, auch über Google Ads hinaus, gefasst. So soll auch Google Analytics mit Wirkung vom 12.8.2020 unter SCC genutzt werden können. Eine Liste der betroffenen Dienste kann hier eingesehen werden.
  • Cisco: Cisco verweist darauf, dass man bereits alle erforderlichen Maßnahmen ergriffen habe, um eine lückenlose Datenverarbeitung bei Drittlandübermittlungen in Übereinstimmung mit dem europäischen Datenschutzrecht ergriffen habe. Dies sei durch die Standarddatenschutzklauseln als Bestandteil der Rahmenverträge sowie durch die intern für die Cisco-Gesellschaften geltenden Bindung Corporate Rules gewährleistet. Im Übrigen wird auf die bestehenden Dokumentationen verwiesen, u.a. zu den technischen und organisatorischen Maßnahmen sowie zu den Transparenzberichten und den regelmäßigen Reviews. Update 21.8.2020: Cisco prüft derzeit die bestehenden Vertragsdokumente zum Datenschutz auf möglichen Anpassungs- oder Ergänzungsbedarf im Nachgang zum Schrems II und bietet zum Teil optionale, zusätzliche Leistungen an, mit denen Drittlandübermittlungen technisch unterbunden werden können (z.B. durch Ende-zu-Ende-Verschlüsselung der Kommunikation bei Telefonielösungen).
  • Update 19.8.2020 – Avaya: Avaya verweist wegen konzerninterner Datenübermittlungen in Drittländer auf die genehmigten Binding Corporate Rules (BCR) und bei Übermittlungen an konzernfremde Dritte auf den Abschluss von Standarddatenschutzklauseln. Weitere Angaben zu Garantien wegen der Einhaltung der BCR und der Standarddatenschutzklauseln nach dem Urteil Schrems II gibt es nicht.

Verbände und Initiativen

  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Die GDD hat insgesamt sehr gelungene Handlungsempfehlungen herausgegeben, die sich in weiten Teilen mit unseren Empfehlungen decken und zunächst einmal eine sorgfältige, selbstkritische Bestandsaufnahme vorsehen, auf deren Grundlage dann über weitere Schritte nachgedacht werden kann. Dazu im Einzelnen auf der Website der GDD. Leider klingen einige der dort vorgeschlagenen Ansätze recht theoretisch (etwa die zusätzlich zu vereinbarenden Klauseln, die staatliche Zugriffsbefugnisse beschränken oder zumindest dem Datenexporteur transparent machen sollen, aber selbstverständlich unverhältnismäßige, staatliche Zugriffe nicht ausschließen).
    Update 1.10.2020: Die GDD hat eine aktualisierte Handlungsempfehlung (english version) veröffentlicht, die mit den Positionen des EDSA und unseren Beiträgen weitgehend auf einer Linie liegt. Einzig die Andeutung, dass der Abschluss von BCR oder Ad-hoc-Vertragsklauseln (Art. 46 Abs. 2 Buchst. b, Abs. 3 Buchst. a DSGVO) generell, d.h. ungeachtet der faktischen Umsetzbarkeit vor Ort, als Rechtfertigung für Drittlandübermittlungen in die USA in Betracht kämen, dürfte so nicht gemeint gewesen sein.
  • noyb: noyb, das Projekt hinter Max Schrems, kostet den Sieg nicht süffisant aus, sondern bietet sehr hilfreiche Musterfragebögen an Datenimporteure in den USA an, ebenso eine Linksammlung zu den Berichten US-amerikanischer Unternehmen über deren Umgang mit gerichtlichen Anordnungen. Dies alles kann hier abgerufen werden.

Rechtswissenschaftler

  • Der Kollege Köllner hat ebenfalls eine Linksammlung angelegt, die einen Blick wert ist.
  • Update 4.8.2020: Nunmehr stellt auch CMS eine Übersicht zur Verfügung, auf die wir wegen der plastischen Übersicht der internationalen Resonanz bei den Aufsichtsbehörden hinweisen.
  • Update 2.9.2020: Piltz/Quiel haben sich hier lesenswert mit den Auswirkungen der Abkommen Nr. 108/108+ des Europarats auf die Datenübermittlung in Drittländer befasst. Richtig ist sicherlich, dass völkerrechtliche Abkommen geeignet sind, das Datenschutzniveau in den Mitgliedsstaaten dieser Abkommen positiv zu beeinflussen. Zwei Aspekte dürfen jedoch nicht außer Acht gelassen werden: Erstens müssen diese Abkommen dann auch umgesetzt werden. Und zweitens gab es in der Vergangenheit nicht direkt einen Ansturm auf die Ratifikation (das Abkommen Nr. 108 ist seit 1985 in Kraft, die Liste der Mitglieder kann hier abgerufen werden). Die mit Blick auf das angemessene Datenschutzniveau derzeit „schwierigen“ Länder wie die USA, Russland oder China sind bislang dem Abkommen Nr. 108/108+ nicht beigetreten. Für Verantwortliche ergibt sich hieraus kurzfristig nichts Neues.

Wer sind KREMER RECHTSANWÄLTE und Ihre Ansprechpartner dort?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät hat in verschiedenen Branchen- und Dachverbänden an der Umsetzung der DSGVO durch die jeweiligen Mitglieder mitgewirkt und selbst mehrere Großprojekte zur Umsetzung der DSGVO erfolgreich geführt oder begleitet.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT- und Datenschutzrecht geführt.

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende Rechtsanwältin/Rechtsanwalt. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV),
sascha.kremer@kremer-recht.de

Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
daniela.koehnlechner@kremer-recht.de

Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kristof.kamm@kremer-recht.de

Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
nadine.schneider@kremer-recht.de

Michael Matejek, LL.M., Wirtschaftsjurist,
michael.matejek@kremer-recht.de

Alle Ansprechpartner/innen erreichen Sie telefonisch unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln.

 

Von Kristof Kamm

Informationen zum Autor finden Sie auf der Team-Seite.