Im Fokus von Legal Update #21 steht das datenschutzrechtliche Schreckgespenst des USA-Data-Transfers. Nachdem sich Händler nunmehr seit über einem Jahr zwischen Rechtssicherheit bei der Verarbeitung personenbezogener Daten und der Aufrechterhaltung ihrer Zusammenarbeit mit Partnerunternehmen aus den USA entscheiden mussten, kommt endlich etwas Entspannung in die Situation. Mit der Umsetzung der neuen Standardvertragsklauseln der EU-Kommission durch Google, Facebook, Amazon & Co. werden auch die Angebote der Großkonzerne für den EU-Raum wieder interessanter, ihr Einsatz zu guter Letzt weniger riskant.
1. Neue Standardvertragsklauseln
Bereits in Legal Update #18 (hier zum Nachlesen) wurden die neuen Standardvertragsklauseln der EU-Kommission ("SCC") thematisiert. Sie gelten im Rahmen der EU-Datenschutz-Grundverordnung ("DSGVO") als geeignete Garantie für Datenübermittlungen in Länder außerhalb der EU bzw. des EWR. Unter anderem sollte damit den technologischen und rechtlichen Entwicklungen nach der Schrems-II-Entscheidung (C-311/18) des Gerichtshofs der EU ("EuGH") vom 16. Juli 2020 Rechnung getragen werden, die zur Aufhebung des EU-US Privacy Shield geführt hat. Während alle bestehenden Vertragsverhältnisse, die auf den früheren SCC basieren, grundsätzlich noch bis zum 27. Dezember 2022 gültig bleiben, ist ein neuer Vertragsabschluss unter Zugrundelegung der alten SCC bereits seit 27. September 2021 nicht mehr möglich!
Die neuen SCC erlegen den Parteien neue Verpflichtungen auf, die teilweise durch zusätzliche Maßnahmen ergänzt werden müssen. Strenggenommen bilden sie nur bei korrekter Implementierung im Einzelfall eine geeignete Garantie für die Drittlandübermittlung, welche einen Angemessenheitsbeschluss der EU-Kommission ersetzen kann. Da jedoch die neuen SCC im Vergleich zu ihren Vorgängern deutlich weitergehende vertragliche Pflichten für Beteiligte verbriefen, bildet deren Abschluss jedenfalls eine wertvolle Absicherung – besonders dann, wenn die betroffenen Angebote bzw. Dienste aus wirtschaftlichen Gründen ohnehin in jedem Fall genutzt werden (müssen).
2. Das grundlegende Problem mit dem USA-Transfer
Seit der Aufhebung des EU-US Privacy Shield mangels ausreichenden Datenschutzniveaus der USA sehen sich zahlreiche dort beheimatete Unternehmen in die Ecke gedrängt. Geeignete Garantien abseits von SCC sind in den allermeisten Fällen praktisch nicht umsetzbar. Weitere Ausnahmen bestehen nur für bestimmte Fälle, eignen sich weniger für pauschale Übermittlungen, wie sie gerade bei Datenverarbeitungen im Internet oft vorkommen. Zwar haben international tätige Unternehmen seit Längerem damit begonnen, Verarbeitungsprozesse und Verantwortlichkeiten an Tochtergesellschaften in der EU auszulagern – die Nutzung gemeinsamer Infrastruktur, das Interesse an durch Datenverarbeitung finanzierten Geschäftsmodellen, ein genereller Mangel an Informationen und schlussendlich auch eine expansionistische Gesetzgebung der USA lassen eine datenschutzrechtlich völlig getrennte Betrachtung solcher verbundenen (Tochter-)Unternehmen aber nicht zu. Aus datenschutzrechtlicher Sicht lässt sich jedenfalls festhalten, dass eine Drittlandübermittlung schon dort ansetzt, wo entweder (i) die Niederlassung oder (ii) der datenverarbeitende Server eines Beteiligten außerhalb der EU bzw. des EWR gelegen ist – sei es auch nur ein (Sub-)Auftragsverarbeiter in einer längeren Verarbeitungskette.
Gleichzeitig führt die Marktmacht der Großkonzerne dazu, dass Händler gerade im Online-Bereich wirtschaftlich auf ihre Produkte bzw. Dienstleistungen angewiesen sind. Das dadurch bedingte Ungleichgewicht zwischen kleinen oder mittleren Unternehmen als Vertragspartner auf der einen und einem Riesen wie Google auf der anderen Seite schränkt den Handlungsspielraum der wirtschaftlich schwächeren Partei schmerzlich ein. Während sich die von der DSGVO geforderte Einzelfallbeurteilung dabei also faktisch nicht realisieren lässt, verlagert sich das Augenmerk vielmehr auf eine Beurteilung der Risiken, mit denen im Falle der Aufnahme einer Zusammenarbeit konkret zu rechnen ist – schließlich werden diese über wirtschaftliche Abhängigkeiten mittelbar auf in der EU tätige Händler übertragen, die für Aufsichtsbehörden noch dazu leichter greifbar sind als manche US-Anbieter.
3. Google & Co. reagieren – Google Analytics wieder rechtssicher?
Werden Daten in die undurchdringbaren Weiten des Internets eingespeist, entspricht dies immer auch einem gewissen Kontrollverlust der jeweils betroffenen Person. Daher ist es notwendig, auch in diesem Bereich Spielregeln aufzustellen. Während die alten SCC einhellig als nicht mehr geeignet angesehen wurden, bestehende Problematiken in den Griff zu bekommen, gibt die EU-Kommission Verantwortlichen mit den neuen Klauseln ein Werkzeug an die Hand, das durch den modularen Aufbau eines Baukastensystems vielseitig einsetzbar ist. Je gründlicher sich Datenimporteur und Datenexporteur damit befassen, und umso mehr Schutzvorkehrungen sie in diesem Zusammenhang treffen, desto besser lassen sich auch umfangreiche Datenübermittlungen rechtfertigen.
Recht pünktlich zum Stichtag, mit dem die alten SCC für neue Vertragsabschlüsse nicht mehr herangezogen werden dürfen, haben zahlreiche Unternehmen reagiert und ihre Verträge auf die neuen Klauseln umgestellt. Dies betrifft etwa Amazons Cloud-Computing-Dienst Amazon Web Services (AWS) oder Googles beliebtes Trackingtool Google Analytics, das aufgrund seiner besonderen Relevanz im Online-Bereich beispielhaft herausgegriffen werden soll. Bei Google Analytics handelt es sich um ein datenverarbeitendes Website-Tool, das im EU-/EWR-Raum von der Google Ireland Limited angeboten wird. Google sieht sich dabei selbst als Auftragsverarbeiterin, die in einer Verarbeitungskette Daten an die verbundene Google LLC als Sub-Auftragsverarbeiterin in den USA überträgt. Hier kommen die "Google Ads & Measurement: Standard Contractual Clauses (Module 3: Processor-to-Processor)" zur Anwendung.
Damit ist man einerseits von der von Google getroffenen datenschutzrechtlichen Rollenverteilung abhängig (ein Auftragsverarbeiter hat grundsätzlich kein Eigeninteresse an im Auftrag verarbeiteten Daten!); andererseits muss man darauf vertrauen, dass die eingegangenen Verpflichtungen vom Vertragspartner auch eingehalten werden. Folglich gilt es die jeweilige Situation zu überwachen und im Rahmen der eigenen Möglichkeiten auf Entwicklungen zu reagieren. Und auch für bestehende Vertragsverhältnisse gilt: Unabhängig davon, ob Partnerunternehmen die neuen SCC im Wege einer aktiven Zustimmung, über eine entsprechende Möglichkeit in Kontoeinstellungen oder im Wege einer automatischen Umstellung verfügbar machen; der Umstieg sollte von Wirtschaftstreibenden schnellstmöglich sichergestellt werden, um in den Genuss einer zusätzlichen Absicherung zu kommen.
Eine gewisse Rechtsunsicherheit bleibt zwar bestehen, werden die SCC allerdings gewissenhaft implementiert, stellen sich Risiken nunmehr als überschaubar dar. Insbesondere besteht bei Verwendung der SCC die Pflicht, eine Folgenabschätzung und Gesamtbeurteilung des Datentransfers nach einem risikobasierten Ansatz durchzuführen (ein sog. Transfer-Impact-Assessment). Festgestellt wird, ob der Datenimporteur aufgrund der rechtlichen Lage im Drittland die vertraglichen Regelungen der SCC einhalten kann. Dies muss dokumentiert und auf Verlangen an die zuständige Aufsichtsbehörde herausgegeben werden. Somit hat es nun jeder selbst in der Hand, Schritte zu setzen, um Risiken zu minimieren und sich abzusichern, ohne vor die vollendete Tatsache einer (absoluten) rechtlichen Unzulässigkeit gestellt zu sein.
4. Abgestufte Handlungsempfehlungen zur Risikominimierung
Wie bereits dargelegt, läuft die angestrebte Compliance mit datenschutzrechtlichen Vorschriften in der Praxis auf ein unternehmerisches Risiko-Assessment hinaus. Daher werden nachfolgend Handlungsempfehlungen dargestellt, welche bei angemessener Umsetzung die mit dem Drittlandtransfer verbundenen Risiken deutlich minimieren können:
- Feststellung der mit der Datenverarbeitung verbundenen Risiken
Ausgangspunkt aller datenschutzrechtlichen Überlegungen und Maßnahmen sind grundsätzlich die für die betroffene Person mit der Verarbeitung ihrer Daten verbundenen Risiken. Auf den Einzelfall bezogen erfordert dieser risikobasierte Ansatz eine genaue Analyse der Verarbeitungsvorgänge im Hinblick auf die damit verbundenen Risiken.
- Auswahl der Vertragspartner
Obwohl die Auswahlmöglichkeiten von Vertragspartnern – trotz der von der DSGVO normierten Auswahlverantwortlichkeit – aufgrund der annähernd marktbeherrschenden Stellung der Konzernriesen für Unternehmen überschaubar sein dürften, so empfiehlt es sich doch nach datenschutzfreundlichen Anbietern oder EU-Alternativen Ausschau zu halten.
- Umsetzung der neuen SCC
Da die alten SCC spätestens mit Ende nächsten Jahres (bei bestehenden Vertragsverhältnissen) ihre Gültigkeit verlieren, ist ehestmöglich aktives Handeln von Unternehmern gefragt. Werden Daten auf Basis von SCC verarbeitet, sollte nach Möglichkeit jetzt gehandelt und nicht bis zum letztmöglichen Zeitpunkt zugewartet werden!
- Überprüfung der Rollenverteilung
Um die richtige Umsetzung der SCC und damit ihre Wirksamkeit zu gewährleisten, ist eine Überprüfung der datenschutzrechtlichen Rollenverteilung erforderlich. Werden Zuordnungen vom Vertragspartner offensichtlich falsch getroffen, sollte Abstand von der Zusammenarbeit genommen werden! (Achtung: Bei komplexeren Gesellschaftskonstruktionen kann es sich bereits als herausfordernd darstellen, in bestimmten Fällen den konkreten Vertragspartner zu identifizieren!)
- Datenschutzfreundliche Voreinstellungen
Sofern eine Wahlmöglichkeit besteht, sollte datenschutzfreundlichen Einstellungen/Implementierungsoptionen in allen Fällen Vorrang eingeräumt werden. Dies betrifft etwa die "anonymizeIP"-Funktion oder die Einstellung der Speicherdauer bei Google Analytics.
- Transfer-Folgenabschätzung
Eine angemessene, gut dokumentierte Folgenabschätzung hilft dabei, bestehende Risiken zu identifizieren und entsprechend zu mindern.
