Datenschutz Verstehen – Datenschutz-Konformität bei Einsatz amerikanischer Tochtergesellschaften in der EU.
Kurze Einleitung:
Nachdem der EuGH in seinem Schrems II Urteil von 2016 das EU-US Privacy Shield Abkommen für unwirksam erklärt hat, ist es folglich seither nicht mehr gültig. Die USA gewährleisten demnach kein angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten. So wird diese beispielsweise von den US-Geheimdiensten überwacht und ein Zugriff gewährt.
So erschwert das Urteil den internationalen Handel und die Zusammenarbeit, da es unerlässlich ist, Daten an Drittländer zu übermitteln. Ein aktueller Beschluss der Vergabekammer hat weitere Fragen in Bezug auf die Drittlandübermittlung aufgeworfen, die nun durch ein Urteil des OLG Karlsruhe nun beantwortet werden.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Datentransfer in sichere Drittländer
Als sichere Drittländer gelten solche Länder, für die die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Sicherheitsniveau für personenbezogene Daten bestätigt hat. In diesen Ländern gilt ein Gesetz, das den Schutz von personenbezogenen Daten regelt und gewährleistet und mit dem EU-Recht vergleichbar ist. Bei einem Datentransfer müssen stets die Voraussetzungen der DSGVO eingehalten werden. Hierzu zählt unter anderem das Vorliegen einer gesetzlichen Regelung nach Art. 6 DSGVO und die Einhaltung der Art. 44 ff. DSGVO.
Datentransfer in die USA und unsicheren Drittländer
Die USA gehören nicht zu den Ländern, die als sicher angesehen werden. Ein Datentransfer in die USA ist allerdings trotzdem unter bestimmten Voraussetzungen möglich, selbst wenn kein Angemessenheitsbeschluss vorliegt.
EU-US Privacy Shield und Schrems II Urteil
Das EU-US Privacy Shield war ein Abkommen, welches zwischen den USA und der EU geschlossen wurde. Es sollte die Sicherheit der Übermittlung von Daten in die USA gewährleisten. In dem Abkommen wurde erklärt, dass die Vorgaben der USA in Bezug auf Datenschutz denen der EU entsprachen. Das EU-US Privacy Shield wurde durch das Schrems II Urteil jedoch für ungültig erklärt. Grund dafür war, dass es Unsicherheiten bei der Integrität der übermittelten Daten gibt und die Übermittlungen vom US-Geheimdienst überwacht werden. Darüber hinaus gibt es nicht zureichende Rechtsbehelfe für EU-Bürger und es fehlt an der Unabhängigkeit des – mit Schutzfunktionen betrauten – Ombudsmanns.
Datentransfer in unsichere Drittländer Vorgehen
Bei dem Datentransfer in unsichere Drittländer muss der Verarbeiter sicherstellen, dass die Daten hierbei ausreichend geschützt sind. So sollten unbedingt Standarddatenschutzklausel mit dem Datenimporteur geschlossen oder Binding Corporate Rules vereinbart werden.
Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!
Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.
Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.
Datentransfer durch europäische Tochtergesellschaft DSGVO-konform?
Der nicht rechtskräftig gewordene Beschluss vom 13. Juli 2022 der Vergabekammer Baden-Württemberg thematisierte die Fragestellung, ob ein US-Anbieter digitale Server- und Cloudleistungen über eine europäische Tochtergesellschaft erbringen darf. Laut der Vergabekammer war es unzulässig, dass ein Server von einem in der EU ansässigen Unternehmen, welches Teil eines US-Unternehmens ist, auf die personenbezogenen Daten zugreifen kann und die Möglichkeit zur Weitergabe besteht. Keine Relevanz hat dabei die Frage, ob hier nur die Möglichkeit besteht oder die Daten tatsächlich weitergegeben werden. Dies ist laut DSGVO nach Wegfall des US-Privacy Shields nicht zulässig. Nach Art. 4 Nr. 2 DSGVO genügt jede Offenlegung auch ohne Verarbeitung von personenbezogenen Daten. Eine Legitimation durch Standardvertragsklauseln ist hier nicht möglich.
Auswirkungen der Entscheidung
Die Auswirkungen der Entscheidung lassen sich anhand der Zusammenarbeit mit deutschen und anderen europäischen Unternehmen in Hinblick auf IT-Tech-Anbieter erkennen. Probleme könnten dann aufkommen, wenn ein deutsches Unternehmen eine Tochtergesellschaft eines US-Unternehmens einsetzt. Dies kann mithin einen Einfluss auf die zukünftige Gestaltung und Durchführung von Vergabeverfahren haben.
Kritik an der Entscheidung der Vergabekammer
Die Entscheidung der Vergabekammer stand hart in der Kritik. Im Zuge dessen wird die Meinung laut, dass, die Vergabekammer hätte prüfen müssen, ob tatsächlich eine Zugriffsmöglichkeit durch die US-Behörden besteht. Das LfDI Baden-Württemberg hat Stellung zum Beschluss der Vergabekammer genommen und dazu geraten, die SCC zu ergänzen, da diese oft nicht ausreichend sind. Dabei merkte das LfDI an, dass der Einsatz von neuen Standardvertragsklauseln eine Lösung für das Problem darstellen könnte. Das LfDI Baden-Württemberg machte weiterhin den Vorschlag, dass Datenexporteure sich an dem praktischen Beispiel des EU-Datenschutzausschusses zu möglichen zusätzlichen Garantien orientieren und diese im Zuge dessen umsetzen sollen. Dies würde beispielsweise durch die Verwendung einer modernen Verschlüsselungstechnik funktionieren.
Der Datenschutzbeauftragte für Baden-Württemberg, Stefan Brink, kritisierte die Entscheidung der Vergabekammer: Sie hätte Klauseln zum Prüfgegenstand gehabt, die aus Sicht der Vergabekammer noch hinter den Anforderungen der aktuell einsetzbaren Standarddatenschutzklauseln zurückbleiben würden. Somit wäre es nicht gelungen, auf die einschlägigen Vertragsklauseln zurückzugreifen. Grund dafür sei vermutlich die hohe Komplexität der miteinzubeziehenden Regularien.
Zudem sei die Vergabekammer nicht näher auf die problematischen Klauseln zum Verbot von Datenübermittlung eingegangen. Diese regeln, welche Anfragen (dritt-)staatlicher Stellen zu weit gehen. Sie haben die Einschätzung darüber nicht dem Datenexporteur überlassen und auch nicht ausnahmslos eine (letztinstanzliche) Anfechtung aller staatlichen Anfragen vorgesehen.
Darüber hinaus war er der Ansicht, dass die vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung rechtlich zweifelhaft sei. Brink argumentierte, dass durch angemessene TOM jedes Risiko ausgeschlossen werden kann, was von der Vergabekammer nicht beachtet wurde. Darüber hinaus war er der Meinung, dass einzelfallbezogene Alternativprüfungen und keine pauschalen Transferverbote die beste Lösung seien, die Anforderungen der DSGVO umzusetzen.
Doch das OLG Karlsruhe hob mit Beschluss vom 07.09.2022 eben diesen Beschluss der Vergabekammer auf. Auch ein Nachprüfungsantrag wurde zurückgewiesen. Es wird deutlich, dass das OLG der Ansicht ist, auf Leistungsversprechen zu vertrauen und damit keinen Drittlandtransfer annimmt. Aus diesem Grund seien auch weitere Absicherungsmechanismen wie ein Transfer Impact Assessment nicht nötig.
Fazit
Es bleibt festzuhalten, dass unter bestimmten Voraussetzungen ein Datentransfer in Drittländer erlaubt ist. Laut Vergabekammer sei es allerdings nicht legal, dass ein US-Unternehmen ein EU-Tochterunternehmen zum Datentransfer nutzt. Doch dieser Ansicht wurde mit der Entscheidung des OLG Karlsruhe widersprochen. Somit ist auch die Nutzung eines EU-Tochterunternehmens in Hinblick auf einen Datentransfer erlaubt.
Sophia Müller ist bei der Keyed GmbH als Datenschutz Consultant tätig und unterstützt unsere Kunden im Aufbau von einem Datenschutz-Management-System. Durch die Klärungen zahlreicher datenschutzrechtlicher Fragestellungen und dem Jurastudium an der WWU in Münster, bringt Frau Sophia Müller die nötige Sachkenntnis mit.
