KONZERNINTERNE DRITTLAND-ÜBERMITTLUNGEN PERSONEN-BEZOGENER DATEN POST SCHREMS II
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
KONZERNINTERNE
Eingereicht von
Simon Hehenberger
DRITTLAND-
Angefertigt am
Institut für
Unternehmensrecht
ÜBERMITTLUNGEN Beurteiler
Assoz. Univ.-Prof. Dr.
PERSONEN-
Thomas Wolkerstorfer, LL.B.
BEZOGENER DATEN
März 2022
POST SCHREMS II
Diplomarbeit
zur Erlangung des akademischen Grades
Magister der Rechtswissenschaften
im Diplomstudium
Rechtswissenschaften
JOHANNES KEPLER
UNIVERSITÄT LINZ
Altenberger Straße 69
4040 Linz, Österreich
www.jku.at
DVR 0093696Inhaltsverzeichnis
I. Vorwort ................................................................................................................................. 5
II. Der Konzern aus datenschutzrechtlicher Perspektive ........................................................... 6
A. Der Konzernbegriff der DSGVO ..................................................................................... 6
B. Das fehlende Konzernprivileg in Hinblick auf (Drittland-)Übermittlungen........................ 6
III. Drittlandübermittlung aus Sicht der DSGVO ......................................................................... 9
IV. Konzerninterne Datenübermittlungen im Anwendungsbereich des Kap V der DSGVO ....... 12
A. Der Angemessenheitsbeschluss gem Art 45 DSGVO .................................................. 12
1. Allgemeine Grundsätze ........................................................................................... 12
2. Die Aufhebung des EU-US Privacy Shields (Schrems II)......................................... 13
B. Standardvertragsklauseln gem Art 46 Abs 2 lit c DSGVO ............................................ 16
1. Allgemeine Grundsätze ........................................................................................... 16
2. Die Konsequenzen aus Schrems II für Standardvertragsklauseln ........................... 17
3. Die neuen Standardvertragsklauseln und konzerninterne Drittlandübermittlungen .. 18
a) Der modulare Aufbau der neuen Standardvertragsklauseln ............................. 18
b) Transfer Impact Assessment und Garantien bei behördlichem
Herausgabeverlangen ...................................................................................... 20
c) Anwendbarkeit und Umsetzungsfrist ................................................................ 22
C. Verbindliche interne Datenschutzvorschriften gem Art 47 DSGVO .............................. 23
1. Allgemeine Grundsätze ........................................................................................... 23
2. Die Konsequenzen aus Schrems II für verbindliche interne
Datenschutzvorschriften .......................................................................................... 24
D. Der Ausnahmenkatalog nach Art 49 DSGVO............................................................... 25
V. Schlusswort ........................................................................................................................ 27
VI. Literaturverzeichnis............................................................................................................. 28
03. März 2022 Hehenberger Simon 2/31Abkürzungsverzeichnis
aA andere Auffassung
ABl Amtsblatt
Abs Absatz
Art Artikel
BB Fachzeitschrift Betriebsberater
BCR Binding Corporate Rules
bspw beispielsweise
bzw beziehungsweise
C2C Controller to Controller
C2P Controller to Processor
CLOUD Act Clarifying Lawful Overseas Use of Data Act
DSB Österr Datenschutzbehörde; Fachzeitschrift Datenschutzberater
DSGVO Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien Datenverkehr und
zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119,1 idFd
Berichtigung ABl L 2016/314, 72
DS-RL Richtlinie 95/46 EG zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr,
ABl L 1995/281,31
DuD Fachzeitschrift Datenschutz und Datensicherheit
E Entscheidung
E.O. 12333 Executive Order 12333
EDSA Europäischer Datenschutzausschuss
EG Europäische Gemeinschaft
ErwGr Erwägungsgrund
etc et cetera
EU Europäische Union
EuGH Europäischer Gerichtshof
EU-US Privacy Shield Durchführungsbeschluss (EU) 2016/1250 vom 12. Juli 2016 über die
Angemessenheit des vom EU-US-Datenschutzschild gebotenen
Schutzes, C/2016/4176, ABl L 207/2016, 1
EWR Europäischer Wirtschaftsraum
EWS Fachzeitschrift Europäisches Wirtschafts- und Steuerrecht
f folgende
ff fortfolgende
FISA 702 Section 702, Foreign Intelligence Surveillance Act
gem gemäß
ggf gegebenenfalls
ggü gegenüber
GRAU Fachzeitschrift Grauzonen
GRC Charta der Grundrechte der Europäischen Union, ABl C 2010/83, 389
03. März 2022 Hehenberger Simon 3/31hL herrschende Lehre
HR Human Ressources
Hrsg Herausgeber
idFd in der Fassung des
idR in der Regel
idZ in diesem Zusammenhang
iSd im Sinne des
iSe im Sinne eines
iSv im Sinne von
iVm in Verbindung mit
iZm in Zusammenhang mit
Kap Kapitel
lit litera
mE meines Erachtens
MMR Fachzeitschrift Multimedia und Recht
mWN mit weiteren Nachweisen
NJW Neue Juristische Wochenschrift
NZG Neue Zeitschrift für Gesellschaftsrecht
österr österreichische, österreichischer
P2C Processor to Controller
P2P Processor to Processor
Rsp Rechtsprechung
Rz Randziffer
S Satz
SaaS Software-as-a-Service
Safe Harbor E 2000/520/EG der Kommission v 26. 7. 2000 gem RL 95/46/EG des
Europäischen Parlaments und des Rates über die Angemessenheit des
von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen
"Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt
vom Handelsministerium der USA, ABl L 2000/215, 7
TIA Transfer Impact Assessment
ua unter anderem
US United States
VG Verwaltungsgericht
vgl vergleiche
Z Ziffer
zB zum Beispiel
ZD Zeitschrift für Datenschutz
ZfRV Zeitschrift für Europarecht, internationales Privatrecht und
Rechtsvergleichung
ZIIR Zeitschrift für Informationsrecht
03. März 2022 Hehenberger Simon 4/31I. Vorwort
Für global operierende Konzerne ist der internationale Datentransfer sowohl eine
Selbstverständlichkeit als auch eine wirtschaftliche Notwendigkeit. So ist der Austausch von
Mitarbeiterdaten zwischen Muttergesellschaften und Tochtergesellschaften außerhalb und
innerhalb des EWR zu einem wesentlichen Charakteristikum von häufig anzutreffenden
Konzernstrukturen, wie zB der Matrixorganisation1 geworden, die sich ungebrochener Beliebtheit
erfreuen.2 Diese Strukturen sind untrennbar verbunden mit einem Trend zur Zentralisierung von
internationalem Datentransfer, der sich bspw in Form von konzernweit verfügbaren Telefon-
oder Kommunikationsverzeichnissen, einer konzerneigenen Skill-Datenbank, einer
3
konzernübergreifenden Projektkoordinierung oder generell in der Schaffung einer
4
konzernweiten Personalverwaltung äußert. Dabei kommt es zwingend zur Übermittlung großer
Mengen an personenbezogenen Daten, die Regelungsgegenstand der Datenschutz-
Grundverordnung (DSGVO) sind.5 Dies bedeutet letztlich, dass in deren Anwendungsbereich die
Voraussetzungen an die Rechtmäßigkeit der Verarbeitung an sich und ggf ebenso die Vorgaben
des Kap V der DSGVO zur Drittlandübermittlung von Daten zu beachten sind.6
Gerade in Bezug auf die Rechtfertigung von Datentransfers in Drittländer hat sich jedoch als
Folge der Schrems II Judikatur des EuGHs7 erhebliche Rechtsunsicherheit aufgetan, die den
konzerninternen Datenfluss vor erhebliche Herausforderungen stellt.8 In der E Schrems II wurde
nämlich nicht nur der Angemessenheitsbeschluss iSd Art 45 DSGVO für zertifizierte
Unternehmen in den USA aufgehoben, sondern von noch größerer Tragweite sind darin die
Aussagen des EuGHs zu Standardvertragsklauseln gem Art 46 Abs 2 lit c DSGVO9, die sich
zudem auch auf weitere Garantien gem Art 46f DSGVO übertragen lassen und Konzerne somit
mit erheblichen faktischen Zwängen konfrontiert sind. Diese Zwänge wurden zudem durch die
Reaktionen der Europäischen Kommission und des Europäischen Datenschutzausschusses
(EDSA) auf diese E des EuGHs verschärft, die ua die datenschutzrechtskonforme Verwendung
von konzernintern betriebenen Software-as-a-Service (SaaS) Diensten, zB in Form von
zentralisierten Personalverwaltungsanwendungen, erheblich in Zweifel ziehen.10 Wie nun
DSGVO-konforme Drittlandübermittlungen im Konzern bewerkstelligt werden bleibt letztlich
weiterhin ein kontrovers diskutiertes Thema11, das somit auch besonderer Aufmerksamkeit
bedarf.
Im Folgenden soll nun untersucht werden, wie sich die Schrems II E des EuGHs auf die
praxisrelevantesten Rechtfertigungsgrundlagen für Drittlandübermittlungen im Konzerngefüge
1 Feige, Personaldaten(über)fluss – Konzerne als illegale Datensammler? – Datenübermittlungen in Konzern- und
Matrixstrukturen innerhalb Europas, ZD 2015, 116.
2 Jung/Schwab, Datenschutzrechtliche Implikationen, GRAU 2021, 24.
3 Feige, ZD 2015, 116.
4 Seifert in Simitis/Hornung/Spiecker (Hrsg), Datenschutzrecht (2019) Art 88 Rz 17.
5 Feiler/Schlacher, Konzerninterne Datenübermittlungen DSGVO-konform gestalten, Compliance Praxis 2017, 28.
6 Wieczorek in Specht/Mantz (Hrsg), Handbuch Europäisches und deutsches Datenschutzrecht (2019) § 7 Rz 94.
7 EuGH 16.7.2020, C-311/18 (Schrems II).
8 Conrad/Siara, Endlich Lösungen für die konzerninterne Drittlandübermittlung von Beschäftigtendaten, ZD 2021,
471ff.
9 Golland, Datenschutzrechtliche Anforderungen an internationale Datentransfers, NJW 2020, 2593 (2596).
10 Conrad/Siara, ZD 2021, 472.
11 Spies, EU-US-Privacy-Shield – eine schwierige Reparatur, ZD 2021, 478ff. Siehe dazu auch Conrad/Siara, ZD
2021, 471ff sowie Schulte/Schmale, Vertragliche Absicherung internationaler Datentransfers, DuD 2021, 46ff;
Golland, NJW 2020, 2593ff und Jungkind/Raspé/Schramm, Risikoanalyse und zusätzliche Maßnahmen –
Konzerninterner US-Datentransfer nach „Schrems II“, NZG 2020, 1056ff.
03. März 2022 Hehenberger Simon 5/31ausgewirkt hat und inwieweit diese weiterhin probate Übermittlungsinstrumente darstellen können. In diesem Zusammenhang wird auch auf die Ausnahmetatbestände gem Art 49 DSGVO einzugehen sein. Zur notwendigen Kontextualisierung der zu untersuchenden Fragestellung werden die ersten beiden Abschnitte zudem Ausführungen zur Konzeption des Konzerns und von Drittlandübermittlungen aus datenschutzrechtlicher Sicht enthalten. II. Der Konzern aus datenschutzrechtlicher Perspektive A. Der Konzernbegriff der DSGVO Der Konzern als datenschutzrechtliches Konzept findet sich in der DSGVO erstmals in der Legaldefinition des Art 4 Z 19 DSGVO wieder12, wobei dieser nicht vom Konzern, sondern von der „Unternehmensgruppe“ spricht.13 Die Unternehmensgruppe wird wiederum als eine Gruppe von Unternehmen konzipiert, die aus einem herrschenden und einem von diesem abhängigen Unternehmen besteht. Gemeint ist somit die übliche Unternehmens- bzw Konzernstruktur, die sich aus einem Mutterunternehmen und ihren Tochterunternehmen ergibt, die direkt oder indirekt von Ersterer beherrscht werden.14 Eine derartige Beherrschung liegt gem ErwGr 37 insbesondere dann vor, sofern ein Unternehmen „aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann“.15 Es kommt somit nicht auf eine rein gesellschaftsrechtliche Beherrschung an, sondern vielmehr auf die faktischen Verhältnisse.16 Unternehmenszusammenschlüsse, die kein Abhängigkeitsverhältnis aufweisen, die aber unter einer einheitlichen Leitung stehen, wie zB sogenannte „Gleichordnungskonzerne“ bzw „Franchisesysteme“17, unterfallen folglich nicht dem Begriff der Unternehmensgruppe gem Art 4 Z 19 DSGVO. Für die hier relevante Fragestellung besitzen derartige Konzernstrukturen aber dennoch Relevanz, da auch diesen die Möglichkeit offensteht verbindliche interne Datenschutzvorschriften bzw Binding Corporate Rules (BCR) iSd Art 47 DSGVO für Drittlandübermittlungen zu erstellen.18 Art 4 Z 20 DSGVO eröffnet nämlich auch einer Gruppe von Unternehmen, die zwar eine gemeinsame Wirtschaftstätigkeit ausüben, zwischen denen jedoch kein rechtliches Abhängigkeitsverhältnis besteht, die Möglichkeit der behördlichen Genehmigung von BCR.19 B. Das fehlende Konzernprivileg in Hinblick auf (Drittland-)Übermittlungen Sofern nun ein Konzern als „Unternehmensgruppe“ iSd DSGVO qualifiziert wird, sind damit nur einige wenige datenschutzrechtliche Erleichterungen verbunden. Dies ist letztlich darauf zurückzuführen, dass ein sogenanntes Konzernprivileg im Rahmen der DSGVO nicht realisiert wurde.20 Daraus resultiert, dass an konzerninterne Übermittlungen bzw Verarbeitungen von 12 Hörtnagel-Donner, Verarbeitung von personenbezogenen Daten im Konzern, ZIIR 2019, 138. 13 Jahnel, Kommentar zur Datenschutz-Grundverordnung (2020) Art 4 Z 19 Rz 2. 14 Klabunde in Ehmann/Selmayr (Hrsg), Datenschutzgrundverordnung2 (2018) Art 4 Rz 58. 15 Feiler/Forgó, EU-DSGVO (2016) 85. 16 Hödl in Knyrim (Hrsg), DatKomm (2018) Art 4 Rz 186. 17 Feiler/Forgó, EU-DSGVO, 85. 18 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 4 Z 19 Rz 2. 19 Hödl in Knyrim, DatKomm Art 4 Rz 194. 20 Buchner/Petri in Kühling/Buchner (Hrsg), DS-GVO BDSG3 (2020) Art 6 Rz 168. 03. März 2022 Hehenberger Simon 6/31
personenbezogenen Daten natürlicher Personen, und nur auf diese bezieht sich die DSGVO21, grundsätzlich dieselben Anforderungen gestellt werden, wie an Datenverarbeitungen im Allgemeinen. Wie bei jeder Datenverarbeitung iSd DSGVO sind somit auch bei der Übermittlung von personenbezogenen Daten zwischen Konzerngesellschaften, die Datenschutzgrundsätze gem Art 5 DSGVO zu beachten,22 und vor alledem hat auch ein allgemeiner Erlaubnistatbestand bzw eine ausreichende Rechtsgrundlage für die Verarbeitung vorzuliegen.23 Zudem befreit das Vorliegen einer Unternehmensgruppe nicht vom konzerninternen Abschluss von Auftragsverarbeitungsverträgen gem Art 28 DSGVO oder Vereinbarungen über die gemeinsame Verantwortlichkeit gem Art 26 DSGVO.24 Neben der Möglichkeit einen gemeinsamen Datenschutzbeauftragten gem Art 37 Abs 2 DSGVO zu bestellen, sieht die DSGVO aber dennoch einzelne begünstigende Rechtsfolgen in Bezug auf die Datenübermittlung im Konzern vor.25 Als abgeschwächtes bzw „kleines“26 Konzernprivileg anerkennt ErwGr 48 grundsätzlich, dass es ein berechtigtes Interesses gem Art 6 Abs 1 lit f DSGVO an konzerninternen Datenübermittlungen zu Verwaltungszwecken oder bei der Verarbeitung von Beschäftigten- und Kundendaten geben kann.27 Ein berechtigtes Interesse gem Art 6 Abs 1 lit f DSGVO liegt damit zwar nicht bei jeder hierbei einschlägigen Verarbeitung zwingend vor, jedenfalls kann aber das berechtigte Interesse des Konzerns im Rahmen der vorzunehmenden Interessensabwägung berücksichtigt werden.28 Hier ist selbstverständlich vorausgesetzt, dass es sich bei den beteiligten Konzernunternehmen um eigenständige bzw gemeinsame Verantwortliche handelt und diese nicht in der Rolle des Auftragsverarbeiters tätig werden. Hierfür bedarf es schließlich keiner weiteren Rechtfertigung.29 Zwar handelt es sich grundsätzlich um kein Spezifikum des konzerninternen Datenverkehrs, dass die Übermittlung von Daten an einen Auftragsverarbeiter (zB konzerninterne Dienstleistungsgesellschaft30) keiner Rechtsgrundlage iSd DSGVO bedarf31, dennoch kann hierin ebenso eine gewisse Erleichterung für diesen erblickt werden. In diesem Zusammenhang ist auch das von Bergauer32 vorgeschlagene „Konzernprivileg in engen Grenzen“ zu erwähnen, welches juristische Personen, die der unmittelbaren Verantwortung eines herrschenden Unternehmens unterliegen, als eine funktionale Einheit betrachtet. Folglich würden keine „Dritte“ iSd Art 4 Z 10 DSGVO vorliegen, da die unmittelbar beherrschten und hinsichtlich der Verarbeitung weisungsgebundenen Unternehmen, als „Ausführungsorgane“ zu werten wären (zB im Rahmen von Unterordnungskonzernen mit Beherrschungsvereinbarung). Die Notwendigkeit von Rechtsgrundlagen gem Art 6, 9 Abs 2 u 10 DSGVO für konzerninterne Datenübermittlungen vom herrschenden Unternehmen an abhängige 21 Feiler/Schlacher, Compliance Praxis 2017, 28. Ist nun in der Folge von Daten die Rede, sind stets nur personenbezogene Daten gemeint, da nur solche dem Anwendungsbereich der DSGVO unterfallen. 22 Hörtnagel-Donner, ZIIR 2019, 138. 23 Feiler/Schlacher, Compliance Praxis 2017, 28. 24 Lezzi/Oberlin, Gemeinsam Verantwortliche in der konzerninternen Datenverarbeitung, ZD 2018, 398 (399). 25 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 4 Z 19 Rz 3. 26 Bussche v.d./Voigt, Konzerndatenschutz 2 (2019) Kap 3 Rz 4. 27 Buchner/Petri in Kühling/Buchner, DS-GVO BDSG3 Art 6 Rz 168. 28 Jung/Schwab, GRAU 2021, 26. 29 Bergauer, Die Rollenverteilung nach der DS-GVO – zugleich Überlegungen zu einem Übermittlungsprivileg im Konzern innerhalb enger Grenzen, jusIT 2018/24, 60 (65). 30 Feiler/Schlacher, Compliance Praxis 2017, 28. 31 Geuer/Wollmann, Verarbeitung von pseudonymen Daten mit besonderem Fokus auf Art 26 und 28 DS-GVO, jusIT 2020/6, 18, 19 mwN. Eine aA vertritt Spoerr in Wolff/Brink (Hrsg), BeckOK Datenschutzrecht38 (2021) Art 28 Rz 29b. 32 Bergauer, jusIT 2018/24, 63ff. 03. März 2022 Hehenberger Simon 7/31
Unternehmen würde somit jedenfalls entfallen.33 Ähnlich dazu auch Bussche v.d. und Voigt, die zB im Kontext von Matrix-Strukturen es für denkbar erachten, bei der Beurteilung des Vorliegens eines Dritten iSd Art 4 Z 10 DSGVO und der damit einhergehenden Notwendigkeit einer Rechtsgrundlage, weniger auf die Zugehörigkeit eines Mitarbeiters zu einem bestimmten Konzernunternehmen abzustellen, sondern auf seine konkrete Weisungsgebundenheit bei einer bestimmten Tätigkeit. Wird nun ein Mitarbeiter in einer Matrix-Struktur für ein Konzernunternehmen funktional tätig, dem er unmittelbar weisungsgebunden ist, zu dem aber kein direktes Anstellungsverhältnis vorliegt, könnte demnach die Erforderlichkeit einer Rechtsgrundlage für die Offenlegung dennoch entfallen, da er nicht als Dritter iSd Art 4 Z 10 DSGVO qualifiziert würde.34 Von der Erforderlichkeit der Rechtfertigung einer Datenübermittlung gem Art 6, 9 u 10 DSGVO sollte jedoch stets in Hinblick auf die Anwendbarkeit des Kap V der DSGVO35 getrennt die Frage beurteilt werden, ob überhaupt eine Datenübermittlung vorliegt. Am Vorliegen einer solchen würden nämlich letztere Überlegungen von Bergauer und Bussche v.d./Voigt grundsätzlich mE auch nichts ändern, da der Empfängerbegriff gem Art 4 Z 9 DSGVO auf juristische und natürliche Personen abstellt, denen gegenüber personenbezogene Daten offengelegt werden, unabhängig davon, ob diesen die Eigenschaft des Dritten iSd Art 4 Z 10 DSGVO zukommt oder nicht.36 Die innerhalb des Anwendungsbereichs der DSGVO wohl teils notwendige teleologische Reduktion des Empfängerbegriffs um Beschäftigte37 oder sonstige direkt rechtlich unterworfene Stellen38 des Verantwortlichen selbst, kann mE nicht so weit gehen, ganze Konzernunternehmen in Drittländern und ggf deren Mitarbeiter39, wenn auch gänzlich gesellschaftsrechtlich abhängig bzw weisungsgebunden, nicht als Empfänger und somit nicht dem Regime der Art 44ff DSGVO unterworfen, anzusehen.40 Für Übermittlungen an Konzernunternehmen in Drittländer bekräftigt der ErwGr 48 schließlich sogar ausdrücklich, dass auf diese die allgemeinen Übermittlungsregeln, folglich Art 44ff DSGVO zur Anwendung gelangen.41 Um den in Art 44 S 2 DSGVO niedergelegten Schutzgedanken nicht zu untergraben, auch in Drittländern für personenbezogene Daten dasselbe Datenschutzniveau aufrechtzuerhalten, wäre es somit schwer nachvollziehbar, selbst unselbstständige Niederlassungen vom Empfängerbegriff auszunehmen, wie Hödl42 dies vorschlägt, und Art 44ff DSGVO, mangels Vorliegen einer Übermittlung, leerlaufen zu lassen.43 33 Schopper, Informationsweitergabe und Wissenszurechnung, in Artmann/Rüffler/Torggler (Hrsg), Konzern – Einheit oder Vielheit (2019), 101 (114). 34 Bussche v.d./Voigt, Konzerndatenschutz 2 (2019) Kap 3 Rz 4. 35 Martini in Paal/Pauly (Hrsg), DS-GVO BDSG3 (2021) Art 28 Rz 10b stellt klar, dass auf Übermittlungen an Auftragsverarbeiter in Drittländern Art 44ff DSGVO, unabhängig von der Notwendigkeit einer Rechtfertigung, zur Anwendung kommen. 36 Hödl in Knyrim, DatKomm Art 4 Rz 104. 37 Bergauer, justIT 2018/24, 60 (66). 38 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 4 Z 9 Rz 7. 39 Der EDSA hat in seinen Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Rz, 14f nunmehr klargestellt, dass der Zugriff eines Mitarbeiters auf Unternehmensdaten aus deinem Drittland, mangels eigenständiger Rolle als Auftragsverarbeiter oder Verantwortlicher, keine Drittlandübermittlung darstellt. Ebenso führt der EDSA in den Guidelines 05/2021, Rz 12 aus, dass keine Drittlandübermittlung vorliegt, sofern Daten direkt bei einem Betroffenen auf dessen Initiative hin erhoben werden. 40 Zwar erwähnt Art 44 DSGVO den Begriff des „Empfängers“ nicht, sinnvollerweise muss dieser aber hier mitgedacht werden, wie dies der europäische Gesetzgeber in Art 58 Abs 2 lit j DSGVO auch selbst explizit ausformuliert, da eine Übermittlung an ein Drittland selbst nicht denkbar ist. Vgl dazu Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 Rz 1. Vgl dazu auch Schantz in Simitis/Hornung/Spiecker, Datenschutzrecht Art 44 Rz 11. 41 Hödl in Knyrim, DatKomm Art 4 Rz 189. 42 Hödl in Knyrim, DatKomm Art 4 Rz 105. 43 Vgl dazu auch Conrad/Siara, ZD 2021, 480f. 03. März 2022 Hehenberger Simon 8/31
Zwar mag sich aus den bisher getätigten Überlegungen regelmäßig eine faktische
Privilegierung44 von konzerninternen Datenübermittlungen hinsichtlich der (fehlenden)
Notwendigkeit einer Rechtsgrundlage zB gem Art 6 Abs 1 lit f DSGVO ergeben, spezifische
Erleichterungen für konzerninterne Drittlandübermittlungen und dem damit verbundenen
Regelungsregime des Kap V der DSGVO sind aber nur bedingt durch den Umstand gegeben,
dass Konzernen das Übermittlungsinstrument der verbindlichen internen
45
Datenschutzvorschriften gem Art 47 DSGVO offensteht. Bevor diese näher behandelt werden
können, soll zuvor aber noch die kontrovers diskutierte Frage weiter vertieft werden, wann nun
eine Drittlandübermittlung tatsächlich vorliegt.
III. Drittlandübermittlung aus Sicht der DSGVO
Art 44 DSGVO knüpft für die Anwendbarkeit der Bestimmungen des Kapitels V der DSGVO
daran an, dass eine „Übermittlung personenbezogener Daten, die bereits verarbeitet werden
oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet
werden“ vorliegt. Hinsichtlich der Begrifflichkeiten des Drittlands gibt es keine
Interpretationsschwierigkeiten, da es sich hierbei um Staaten handelt, die nicht Angehörige der
EU oder des EWR sind.46
Zu ausführlichen Debatten führt jedoch der Begriff der „Übermittlung“. Die DSGVO selbst kennt
für diesen zentralen Regelungsgegenstand nämlich keine Legaldefinition.47 Darin und an der
teils inkonsistent verwendeten Terminologie des europäischen Gesetzgebers wurde breite Kritik
geäußert, da damit erhebliche praxisrelevante Auslegungsschwierigkeiten verbunden sind.48 Ein
weiter Auslegungsansatz versteht unter dem Terminus „Übermittlung“ „jede Form der Weiter-
oder Bekanntgabe von personenbezogenen Daten an Empfänger in einem Drittland oder einer
internationalen Organisation“.49 Eine ähnlich weite Definition findet sich bei Pauly, der unter
Übermittlung „jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in
einem Drittland oder einer internationalen Organisation […], wobei es weder auf die Art der
Offenlegung, noch auf die Offenlegung gegenüber Dritten ankommt“ versteht.50 Dieser wertet als
Offenlegung bereits die Einstellung personenbezogener Daten auf eine Plattform, auf die von
einem Drittland zugegriffen werden kann, unabhängig davon, ob ein Zugriff erfolgt oder nicht.
Unbeachtlich wäre hierbei auch der Standort des für die Zurverfügungstellung verwendeten
Servers.51 Dieser Auffassung wird aber entgegengehalten, dass der EuGH noch vor dem
Inkrafttreten der DSGVO im Fall "Bodil Lindqvist"52 feststellte, dass nicht schon durch das
Einstellen von Informationen zum Abruf ins Internet eine Drittlandübermittlung vorliege.53 Die
Frage, ob nun schon die alleinige Möglichkeit des Zugriffs auf personenbezogene Daten aus
44 Es sollte jedoch Beachtung finden, wie Gabel/Lutz in Taeger/Gabel (Hrsg), DSGVO-BDSG-TTDSG4 (2022) Art 28
Rz 23f ausführt, dass in vielen konzernrelevanten Konstellationen, wie zB bei Matrix-Strukturen oder bei „Cross-
Selling“, idR kein Auftragsverarbeitungsverhältnis vorliegt und folglich die allgemeinen Voraussetzungen an eine
Datenverarbeitung (zB nach Art 6 DSGVO) auch hier anzuwenden sind.
45 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 4 Z 19 Rz 3.
46 Knyrim in Knyrim, DatKomm Art 44 Rz 20.
47 Gail, Übermittlung = Übermittlung?, DSB 2021, 187.
48 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 Rz 6.
49 Gabel in Taeger/Gabel, DSGVO – BDSG – TTDSG4 Art 44 Rz 11.
50 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 4.
51 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 5. Etwas zurückhaltender Zerdick in Ehmann/Selmayr,
Datenschutz-Grundverordnung2 Art 44 Rz 8.
52 EuGH 06.11.2003, C-101/01 (Bodil Lindqvist).
53 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 Rz 7.
03. März 2022 Hehenberger Simon 9/31einem Drittland ausreicht, um von einer Drittlandübermittlung zu sprechen, hat aber
insbesondere in Folge der Schrems II E54 des EuGH immanente Bedeutung gewonnen. Für den
Fall, dass sich die strenge Ansicht nach Pauly durchsetzt, würde nämlich selbst die Speicherung
von Daten auf Servern in der EU bei Angehörigen von US-Konzernen zum Vorliegen einer
Drittlandübermittlung gem Art 44 DSGVO führen, da aufgrund des Clarifying Lawful Overseas
Use of Data Act (CLOUD Act) amerikanische Dienstleister und denen angehörige Unternehmen
unter gewissen Voraussetzungen die Verpflichtung trifft, auch Daten von Nicht-US-Bürgern auf
EU-Servern gegenüber US-Behörden offenzulegen.55
Diese Überlegungen sind letztlich auch für Konzerne von hoher Relevanz, nicht nur hinsichtlich
der Inanspruchnahme von amerikanischen Dienstleistern, sondern auch in Bezug auf interne
konzernübergreifende Datenbanken und immer komplexer werdende
56
Datenorganisationsstrukturen und konzerninterne Datenflüsse , da sich hier stets die Frage
stellt, ob schon die alleinige Zugriffsmöglichkeit auf Datenbanken als Drittlandübermittlung
qualifiziert werden kann oder ob es zu einem faktischen Zugriff bzw einer Abfrage kommen
muss. Weitgehend unzweifelhaft erscheint es mE, wie bereits oben diskutiert, dass
konzerninterne Datenübermittlungen bzw -offenlegungen auch an unselbstständige
Zweigniederlassungen in Drittländern57 unter den Anwendungsbereich des Kapitel V der
DSGVO fallen,58 und dass es hierfür auch kein physisches Verlassen der personenbezogenen
Daten der EU – bzw des EWR – bedarf, sofern es zu einem tatsächlichen Datenzugriff kommt.59
Die rein potentielle Offenlegung personenbezogener Daten gegenüber Empfängern in
Drittländern wäre zwar in der Praxis mit erheblichen Schwierigkeiten verbunden, der
Übermittlungsbegriff sollte mE dennoch weit gedacht werden, um den Schutzgedanken, welcher
der DSGVO inhärent ist und der auch in Art 44 S 2 DSGVO explizit niedergelegt ist60, nicht zu
unterlaufen. Dies insbesondere vor dem Hintergrund, dass im Zentrum der Schrems II E des
EuGHs61 die Feststellung des mangelnden Rechtschutzniveaus für Unionsbürger hinsichtlich
ihrer personenbezogenen Daten stand und zwar aufgrund der Überwachungs- und
Zugriffsbefugnisse von amerikanischen Behörden.62 Bestehen nun auch ähnliche Befugnisse
der amerikanischen Behörden hinsichtlich europäischer Server, die dem CLOUD-Act
unterliegen, kann auch hier letztlich nicht das von Art 44 DSGVO geforderte Schutzniveau ohne
weiteres angenommen werden und es sind ggf zusätzliche Maßnahmen zu ergreifen.63 In
ähnlicher Weise äußerte sich bereits das VG Wiesbaden in seiner E zur Anwendung „Cookiebot“
in der das Vorliegen einer amerikanischen Konzernmutter, die dem CLOUD-Act unterlag, bereits
für die Annahme einer Drittlandübermittlung als ausreichend galt.64
54 EuGH 16.7.2020, C-311/18 (Schrems II).
55 Gail, DSB 2021,187.
56 Feige, ZD 2015, 116.
57 Eine andere Auffassung vertritt Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 105 für unselbstständige
Niederlassungen, der diese vom Empfängerbegriff ausnimmt.
58 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 5.
59 Gail, DSB 2021,188. Vgl auch Jahnel in Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 Rz 11.
60 Schröder in Kühling/Buchner, DS-GVO BDSG3 Art 44 Rz 22.
61 EuGH 16.7.2020, C-311/18 (Schrems II).
62 Kröpfl/Rohner, Schrems II: Uncle Sam am Boden?, Dako 2020/44, 78f.
63 Siehe dazu Gail, DSB 2021,188 mWN. Der EDSA hat in seinen Guidelines 05/2021, Rz 7 zwar durch seine dort
angegebene Definition des Übermittlungs- bzw Offenlegungsbegriffs, die diesbezüglichen Auslegungskomplikationen
nicht beseitigt, er nimmt aber in diesem Zusammenhang (sh Fußnote 7) Bezug auf die EuGH E „Bodil Lindqvist“,
womit letztlich ein engeres Verständnis der Übermittlung iSd Art 44 DSGVO signalisiert sein könnte.
64 VG Wiesbaden 1.12.2021, 6 L 738/21.WI DSB 2022, 62 (Krone/Roth).
03. März 2022 Hehenberger Simon 10/31Als möglicher Ausweg aus der befürchteten ausufernden Anwendbarkeit der Bestimmungen der
Art 44ff DSGVO wurde zT auf eine vereinzelt vertretene Auslegung65 des
Drittlandübermittlungsbegriffs verwiesen, die für das Vorliegen einer solchen verlangt, dass
personenbezogene Daten an einen Empfänger weitergegeben werden, auf den die DSGVO
keine Anwendung findet („jurisdiktioneller Ansatz“).66 Unterliegt ein Verantwortlicher oder
Auftragsverarbeiter in einem Drittstaat hinsichtlich einer Verarbeitung kraft Art 3 Abs 1 oder Abs
2 DSGVO ohnehin dem Anwendungsbereich der DSGVO, so wurde daraus geschlussfolgert,
dass aufgrund des dadurch sichergestellten Datenschutzniveaus die zusätzlichen
Bestimmungen des Kap V der DSGVO keiner Anwendung bedürften und letztlich keine
Drittlandübermittlung stattfindet.67 Auch für konzerninterne Drittlandübermittlungen wäre daraus
einiges gewonnen, wie zB für Konzernunternehmen außerhalb der EU, die HR- oder IT-
Dienstleistungen als Shared Services für verbundene Unternehmen betreiben, die sich
wiederum in der EU befinden, da Erstere regelmäßig aufgrund des aus Art 3 Abs 1 DSGVO
resultierenden „Niederlassungsprinzips“ dem Anwendungsbereich der DSGVO unterliegen.68
Auch das Beispiel 5 der Leitlinie des Europäischen Datenschutzausschusses zu Art 3 DSGVO69
zeigt auf, wie umfangreich der Anwendungsbereich der DSGVO im Rahmen des
„Niederlassungsprinzip“ ist, wenn darin klargestellt wird, dass auf die Verarbeitung von
personenbezogenen Forschungsdaten, die durch ein pharmazeutisches Unternehmen in der EU
an eine Zweigniederlassung in Singapur ausgelagert wurden, die DSGVO kraft Art 3 Abs 1
DSGVO unmittelbar zur Anwendung kommt. Im Zusammenhang mit dem
„Niederlassungsprinzip“ wird zudem regelmäßig die E „Google Spain und Google“ des EuGHs
70
genannt, in der dieser klarstellte, dass die in Art 4 Abs 1 lit a DS-RL (nunmehr Art 3 Abs 1
DSGVO) von der Niederlassung geforderte datenverarbeitende Tätigkeit nicht von dieser selbst
ausgeübt werden muss, sondern nur in einem untrennbaren Zusammenhang mit dieser stehen
müsse, zB durch die dort gegenständlichen Marketingtätigkeiten für das übergeordnete
Konzernunternehmen.71 Vor allem im Zusammenspiel mit diesem auch nach Einführung der
DSGVO für zutreffend erachteten „flexiblen Niederlassungskonzept“72 würde der eingangs
erwähnte „jurisdiktionelle Ansatz“ die Anwendbarkeit des Kap V der DSGVO auf
Datenübermittlungen im Konzern erheblich einschränken. Dieser Auffassung ist primär
entgegenzuhalten, dass Art 44 DSGVO nicht hinsichtlich Empfängern differenziert, die bereits
der DSGVO unterliegen.73 Die neuen Leitlinien des EDSA74 zum Verhältnis von Art 44ff zu Art 3
DSGVO bestätigen letztlich die Auffassung, dass es, für das Vorliegen einer
Drittlandübermittlung und der Anwendbarkeit von Kap V der DSGVO, gerade nicht darauf
ankommt, ob der Empfänger hinsichtlich einer Verarbeitung bereits der DSGVO gem Art 3
DSGVO unterliegt oder nicht.75 Diesem Ansatz wird letztlich auch zu folgen sein, da dieser nicht
65 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 16f.
66 Schröder in Kühling/Buchner, DS-GVO BDSG3 Art 44 Rz 16a.
67 Spies, EU-Standardvertragsklauseln bei internationaler Datenübermittlung, ZD-Aktuell 2021, 05011.
68 Bussche v.d./Voigt, Konzerndatenschutz 2, Kap 1 Rz 7.
69 EDSA, Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3), Rz10f.
70 EuGH 13. 5. 2014, C-131/12 (Google Spain und Google).
71 Leissler/Wolfbauer in Knyrim, DatKomm Art 3 DSGVO Rz 8.
72 Bussche v.d./Voigt, Konzerndatenschutz 2, Teil 4 Kap 1 Rz 9.
73 Schröder in Kühling/Buchner, DS-GVO BDSG3 Art 44 Rz 16b.
74 Dem Europäischen Datenschutzausschuss (EDSA) kommt gem Art 70 Abs 1 lit e DSGVO die Aufgabe zu Leitlinien,
Empfehlungen und bewährte Verfahren zu erarbeiten, die die einheitliche Auslegung der DSGVO sicherstellen sollen.
Obwohl diesen keine unmittelbare rechtliche Bindungswirkung zukommt, haben sie dennoch große Bedeutung, da sie
idR der Meinung der europäischen Aufsichtsbehörden entsprechen. Siehe dazu Nguyen in Gola (Hrsg), Datenschutz-
Grundverordnung2 (2018) Art 70 Rz 7f.
75 EDSA, Guidelines 05/2021, Rz 7.
03. März 2022 Hehenberger Simon 11/31nur weitgehend die hL76 widerspiegelt, sondern ebenso notwendig ist, um für eine Vielzahl an
Datenverarbeitungen in Drittländern das erforderliche Datenschutzniveau zu garantieren.
IV. Konzerninterne Datenübermittlungen im Anwendungsbereich des Kap V
der DSGVO
Aufbauend auf dem bisher Erörterten, ändert somit das Vorliegen eines Konzerngefüges bzw
einer Unternehmensgruppe gem Art 4 Z 19 DSGVO nichts daran, dass deren
Datenverarbeitungen mit Drittlandbezug in aller Regel dem Anwendungsbereich des Kap V der
DSGVO unterfallen. Dies hat letztlich zur Folge, dass für diese eine zweistufige
Rechtmäßigkeitsprüfung zu erfolgen hat, wobei zunächst die allgemeinen
Rechtmäßigkeitsvoraussetzungen (ua Vorliegen eines Erlaubnistatbestands gem Art 6, 9 oder
10 DSGVO) erfüllt sein müssen und in einem nächsten Schritt zu prüfen ist, ob die Verarbeitung
den Vorgaben der Art 44ff DSGVO gerecht wird.77 Im Kern muss somit für eine
Drittlandübermittlung, durch eines der in Art 45ff DSGVO vorgegebenen Instrumente,
sichergestellt sein, dass für diese das von der DSGVO vorgegebene Datensicherheitsniveau
besteht.78 Die Übermittlungsinstrumente bzw -garantien, die für die Praxis der Konzerne
(zumindest bisher) am meisten Relevanz besaßen, werden Gegenstand der folgenden
Ausführungen sein.79 Neben dem Angemessenheitsbeschluss gem Art 45 DSGVO sind hier
insbesondere Standarddatenschutzklauseln gem Art 46 Abs 2 lit b DSGVO und verbindliche
interne Datenschutzvorschriften gem Art 47 DSGVO zu nennen.80 Da nunmehr in Folge der
Schrems II E81 vermehrt die Ausnahmetatbestände des Art 49 DSGVO als mögliche
Lösungsansätze für die Rechtfertigung des konzerninternen außereuropäischen Datentransfers
diskutiert werden82, wird auch auf diese im Anschluss eingegangen werden.
A. Der Angemessenheitsbeschluss gem Art 45 DSGVO
1. Allgemeine Grundsätze
Der Angemessenheitsbeschluss ist zweifelsohne der eleganteste und einfachste Weg nicht nur
gelegentliche Drittlandübermittlungen zu ermöglichen, da bei dessen Vorliegen „nur“ die
allgemeinen Verarbeitungsgrundsätze gem Art 5ff DSGVO beachtet werden müssen.83 Hierbei
handelt es sich um einen Durchführungsrechtsakt der Europäischen Kommission, durch den
festgestellt wird, dass eine Internationale Organisation oder ein bestimmtes Drittland oder ein
sich dort befindliches Gebiet oder ein dortiger Sektor ein angemessenes Schutzniveau bietet.84
76 Schröder in Kühling/Buchner, DS-GVO BDSG3 Art 44 Rz 16b mWN. Siehe dazu auch Zerdick in Ehmann/Selmayr,
Datenschutz-Grundverordnung2 Art 3 Rz 6; Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 45 Rz 4ff und
Feiler/Forgó, EU-DSGVO, 243.
77 Meyer/Schulte, Rechtliche Absicherung des Datentransfers – insbesondere internationaler Datenübermittlung, in
Pachinger (Hrsg), Datenschutz – Recht und Praxis (2019), 336 (337).
78 Lindner, Datenübermittlung innerhalb des Konzerns und ins Ausland, in Körber-Risak/Brodil (Hrsg), Datenschutz
und Arbeitsrecht (2018), 67 (74).
79 Conrad/Siara, ZD 2021, 472.
80 Lindner in Körber-Risak/Brodil, Datenschutz und Arbeitsrecht, 74. Siehe dazu auch Jung/Schwab, GRAU 2021, 27.
81 EuGH 16.7.2020, C-311/18 (Schrems II).
82 Leibold/Roth, Gelegentliche bzw. nicht wiederholte Datenverarbeitung? Auslegungsschwierigkeiten bei Art. 49 DS-
GVO, ZD 2021, 05247 (05248).
83 Gabel in Taeger/Gabel, DSGVO – BDSG – TTDSG4 Art 45 Rz 1.
84 Knyrim in Knyrim, DatKomm Art 45 Rz 8.
03. März 2022 Hehenberger Simon 12/31Unter angemessenem Schutzniveau wird idZ aber kein identes Datenschutzniveau, wie in der EU gefordert, sondern lediglich ein der Sache nach gleichwertiges.85 Daraus resultiert letztlich, dass hinsichtlich dieser Drittländer dieselben Vorgaben für die Datenverarbeitung gelten, wie innerhalb der EU bzw des EWR.86 Ob nun ein gleichwertiges Schutzniveau vorliegt, ist anhand der in Art 45 Abs 2 lit a - c DSGVO vorgegebenen, jedoch nicht abschließend genannten87 Kriterien zu beurteilen. Das erste Kriterium setzt insbesondere Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten sowie damit verbundene effektive Instrumente der Rechtsdurchsetzung voraus.88 Art 45 Abs 2 lit b u c DSGVO verlangen wiederum das Vorhandensein einer oder mehrerer unabhängiger Datenschutzaufsichtsbehörden und das Bestehen internationaler Verpflichtungen zur Gewährleistung des Schutzes personenbezogener Daten.89 Sind diese Kriterien erfüllt und wird ein angemessenes Schutzniveau für gegeben erachtet, ist nunmehr als Einzige die Europäische Kommission ermächtigt, einen Angemessenheitsbeschluss zu treffen.90 Nachdem die Kommission einen Beschluss nach Art 45 DSGVO gefasst hat, hat sie aber stets darüber zu wachen, ob das ursprünglich festgestellte Schutzniveau weiterhin besteht und ggf ist der Angemessenheitsbeschluss auszusetzen, zu ändern oder zu widerrufen.91 Von ihrer Befugnis Angemessenheitsbeschlüsse gem Art 45 DSGVO zu erlassen, hat die Kommission hinsichtlich einiger Staaten (zB Japan, Israel etc) Gebrauch gemacht, wobei eine entsprechende Liste öffentlich einsehbar ist.92 Die größte Bedeutung für inländische Unternehmen entfaltet gegenwärtig der Angemessenheitsbeschluss für die Schweiz, da eine Reihe von österr Unternehmen Konzernober- oder Konzernuntergesellschaften in besagtem Drittland aufweisen.93 Hier sei auch erwähnt, dass das Ausscheiden des Vereinigten Königreichs aus der Europäischen Union aus datenschutzrechtlicher Sicht durch die Annahme eines für vier Jahre gültigen Angemessenheitsbeschlusses abgefedert wurde. Zu bedenken ist jedoch, dass dieser eine „Einwanderungsausnahme“ vorsieht, die sich einschränkend auf datenverarbeitende HR-Prozesse von Unternehmen oder Konzernen auswirken könnte.94 Als wohl einschneidendstes Ereignis hinsichtlich der europäischen Datenwirtschaft kann jedoch seit Geltung der DSGVO die Aufhebung des Angemessenheits-Teilbeschlusses95 für in der USA zertifizierte Unternehmen angenommen werden, der, aus Sicht mancher Autoren, zu einem quasi „Digitalen Lockdown“ führte.96 Da diese E des EuGHs Ausgangspunkt für die hier gestellte Fragestellung ist, soll diese im Folgenden nun näher beleuchtet werden. 2. Die Aufhebung des EU-US Privacy Shields (Schrems II) Die E Schrems II97 des EuGHs kann gewissermaßen als Déjà-vu für Datenschützer angesehen werden. Bereits der Vorgänger des EU-US Privacy Shields, namentlich das „Safe-Harbor“ 85 Bussche v.d./Voigt, Konzerndatenschutz2, Teil 4 Kap 2 Rz 5. 86 Jahnel, Kommentar zur Datenschutz-Grundverordnung (2020) Art 45 Rz 3. 87 Zerdick in Ehmann/Selmayr, Datenschutz-Grundverordnung2 Art 44 Rz 7. 88 Knyrim in Knyrim, DatKomm Art 45 Rz 11. 89 Zerdick in Ehmann/Selmayr, Datenschutz-Grundverordnung2 Art 44 Rz 7. 90 Knyrim in Knyrim, DatKomm Art 45 Rz 13. 91 Gabel in Taeger/Gabel, DSGVO – BDSG – TTDSG4 Art 45 Rz 2. 92 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 45 Rz 4ff. 93 Knyrim in Knyrim, DatKomm Art 45 Rz 2. 94 Thiele, Datenschutz post BREXIT – Business as Usual?, ZIIR 2021, 391ff. 95 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 45 Rz 6. 96 Gabauer/ Höller, Datenübermittlung in die USA: Auswege aus dem digitalen Lock-down?, Dako 2020/45, 80. 97 EuGH 16.7.2020, C-311/18 (Schrems II). 03. März 2022 Hehenberger Simon 13/31
Abkommen, das für die transatlantische konzerninterne Datenübermittlung von immanenter Bedeutung war98, konnte im Prüfverfahren99 vor dem EuGH nicht bestehen. Wesentliche Entscheidungsgründe des EuGHs waren mangelhafte Überwachsungs- und Kontrollmechanismen sowie die fehlende Geltung für amerikanische Behörden, deren Zugriffs- und Datenverarbeitungsmöglichkeiten als unverhältnismäßige Grundrechtseingriffe angesehen wurden. Damit in Verbindung wurde der Vorrang nationalen Rechts vor den Safe-Harbor- Schutzregeln und das Fehlen von wirksamen Rechtsbehelfen gegen staatliche Grundrechtseingriffe als wesentliche inhaltliche Entscheidungsgründe herangezogen.100 Als Reaktion auf diese Entscheidung wurde nach Verhandlungen mit den USA das EU-US Privacy Shield von der Kommission beschlossen, das zwar gewisse Verbesserungen vorsah, wie ua wirksameren Rechtsschutz und Schutzvorkehrungen bzw Transparenz hinsichtlich behördlichem Datenzugriff101, aber dennoch von Beginn an in der Kritik stand und als unzureichend erachtet wurde.102 Verschärft wurden diese Bedenken zudem durch die Einführung des CLOUD Acts im Jahre 2018, der amerikanischen Behörden den weltweiten Zugriff auf im Ausland gespeicherte Daten US-fremder Personen und Unternehmen, unabhängig von den dort geltenden nationalen Rechtsvorschriften, erlaubt, vorausgesetzt, diese Daten werden von einem amerikanischen Unternehmen bzw durch ein von diesem direkt oder indirekt kontrolliertes (Tochter-) Unternehmen verarbeitet.103 Somit war es nicht gänzlich überraschend, dass der EuGH in seiner umfangreichen Schrems II E104 letztlich wieder mit der Frage konfrontiert war, inwieweit die Gültigkeit des EU-US Privacy Shields durch die ausufernden Befugnisse der amerikanischen Behörden beeinträchtigt sei.105 Der EuGH stellte in diesem Zusammenhang hinsichtlich der Befugnisse von nationalen Behörden fest, dass diese stets an Art 7 u 8 GRC zu messen sind, da mit der Datenweitergabe ein Grundrechtseingriff verbunden ist. Diese Eingriffsbefugnisse sind somit präzise gesetzlich zu regeln, müssen den Kern der garantierten Grundrechte auf Privatsphäre und auf das Kommunikationsgeheimnis wahren und sie sind in deren Umfang auf das absolut Notwendige zu reduzieren.106 Bei der Beurteilung des Angemessenheitsbeschlusses berücksichtigte der EuGH folglich primär die massenhaften Überwachungsprogramme, die von amerikanischen Behörden auf Basis von FISA 702 und E.O. 12333 unterhalten werden.107 In der Folge kam der EuGH wiederum zu dem Schluss, dass durch das EU-US Privacy Shield, ähnlich wie durch seinen Vorgänger, amerikanischen öffentlichen Sicherheitsinteressen und nationalem Recht Vorrang eingeräumt wurde und somit Eingriffen in die Grundrechte von Personen, die von Datenübermittlungen in die USA betroffen waren, Raum gegeben wurde. Diese Befugnisse amerikanischer Behörden, auf solche Übermittlungen zuzugreifen und Daten daraus zu verwenden, wurden vom EuGH in der Folge mangels Erfüllung des dem Unionsrechts eigenen Grundsatzes der Verhältnismäßigkeit hinsichtlich des notwendigen angemessenen Schutzniveaus, als der Sache 98 Waidmann, Konzerninterner Austausch personenbezogener Daten, ecolex 2014, 7 (8). 99 EuGH 6.10.2015, C-362/14 (Schrems). 100 Georgieva, EU-US-Privacy Shield – eine Gesamtbetrachtung, in Baumgartner (Hrsg), Öffentliches Recht (2017), 194 (204). 101 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 45 Rz 15. 102 Knyrim in Knyrim, DatKomm Art 45 Rz 28ff mWN. 103 Brauneck, Europa-Cloud: Zwingt der US CLOUD Act EU-Unternehmen zur EU-rechtswidrigen Datenherausgabe?, EWS 2019, 307 (309). 104 EuGH 16.7.2020, C-311/18 (Schrems II). 105 Kröpfl/Rohner, Dako 2020/44, 78. 106 Thiele, Ist der Datentransfer in die USA am Ende? – Zur Unzulässigerklärung des EU Privacy Shield - Analyse der Entscheidung EuGH 16. 7. 2020, C-311/18 mit Praxistipps, jusIT 2020/70, 196f. 107 Thiele, jusIT 2020/70, 197. 03. März 2022 Hehenberger Simon 14/31
nach nicht gleichwertig erachtet.108 Der EuGH stützte sich hierbei vor allem auf den Umstand,
dass durch FISA 702 weder Einschränkungen der darauf basierenden
Überwachungsprogramme vorgesehen sind, noch Garantien für Personen ohne amerikanische
Staatsbürgerschaft verbürgt werden. Des Weiteren verneinte der EuGH das Vorliegen
ausreichender durchsetzbarer Rechte gegenüber amerikanischen Behörden und wirksamer
Rechtsbehelfe, woran auch die Existenz eines dem amerikanischen Außenministerium
unterstehenden Ombudsmanns nichts109 ändern konnte.
Zusammenfassend wurde somit im Lichte der GRC festgestellt, dass weder die ausufernden
Überwachungsbefugnisse der amerikanischen Behörden mit Art 52 Abs 1 GRC vereinbar sind110
noch der mangelhafte Rechtsschutz die Erfordernisse nach Art 47 GRC erfüllt.111 Aufgrund
dieser grundrechtskonformen Auslegung der Erfordernisse an einen Angemessenheitsbeschluss
gem Art 45 DSGVO wurde festgehalten, dass die Kommission die Anforderungen an das hierfür
notwendige angemessene Schutzniveau verkannt habe, und der EuGH erklärte das EU-US
Privacy Shield mit sofortiger Wirkung für ungültig.112 Damit können nunmehr (konzerninterne)
Datenübermittlungen in die USA nicht mehr auf Basis von Art 45 DSGVO erfolgen.113
Anders noch als bei der Aufhebung des Safe-Harbor-Vorgängers, die insbesondere den
konzerninternen Datentransfer betraf114, ist dieser Teil der Schrems II E115 für den Datenfluss in
Konzernstrukturen von eher untergeordneter Bedeutung, da nur verhältnismäßig wenige
Unternehmen jemals eine Privacy Shield - Zertifizierung in Anspruch genommen haben116. Die
größeren Herausforderungen für die Konzernpraxis und für die rechtskonforme Ausgestaltung
von Drittlandübermittlungen im Allgemeinen und nicht nur in Bezug auf die USA, ergeben sich
insbesondere aus den Erwägungen des EuGHs zu der Gültigkeit von
117 118
Standardvertragsklauseln gem Art 46 Abs 2 lit c DSGVO , die ebenso wesentlicher
Bestandteil des Vorlageantrags an den EuGH waren.119 Auf diese wird im Folgenden nun auch
ausführlicher eingegangen werden.
Abschließend ist an dieser Stelle noch anzuführen, dass der Abschluss eines
Nachfolgeabkommens laut Beobachtern der Verhandlungen zwischen den Vertretern der Biden
Administration und der Europäischen Kommission gegenwärtig nicht in Greifweite ist120 und
somit Unternehmen mit konzerninternen Datenübermittlungen in die USA bis auf Weiteres auf
die Garantien nach Art 46ff verwiesen sein werden.
108 EuGH C-311/18, ZfRV-LS 2020/22, 174 (Topal-Gökceli).
109 EuGH C-311/18, ZfRV-LS 2020/22, 174 (Topal-Gökceli).
110 Kritik an der vollumfassenden Messung der amerikanischen nachrichtendienstlichen Aktivitäten an der GRC findet
sich bei Thieme/Wegmann, Transatlantischer Datenstillstand nach Schrems II?, BB 2020, 1922 (1923f), die
diesbezüglich eine Ungleichbehandlung im Vergleich zu nachrichtendienstlichen Aktivitäten von Unions-Mitgliedern
verorten.
111 Thiele, jusIT 2020/70, 197.
112 Kröpfl/Rohner, Dako 2020/44, 78.
113 Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 45 Rz 18.
114 Knyrim in Knyrim, DatKomm Art 45 Rz 22.
115 EuGH 16.7.2020, C-311/18 (Schrems II).
116 Jungkind/Raspé/Schramm, NZG 2020, 1056f.
117 Im Folgenden wird stets der Begriff „Standardvertragsklauseln“ verwendet, der zwar nicht dem eigentlich in Art 46
Abs 2 lit c DSGVO verwendeten Begriff „Standarddatenschutzklauseln“ entspricht, jedoch nunmehr im aktuellen
Durchführungsbeschluss der Kommission (EU) 2021/914 EK v 4. 6. 2021 die maßgebliche Begrifflichkeit darstellt.
118 Conrad/Siara, ZD 2021, 471.
119 Kröpfl/Rohner, Dako 2020/44, 78.
120 Spies, ZD 2021, 481.
03. März 2022 Hehenberger Simon 15/31B. Standardvertragsklauseln gem Art 46 Abs 2 lit c DSGVO 1. Allgemeine Grundsätze Sofern die Kommission nicht verbindlich iSd Art 45 DSGVO festgestellt hat, dass ein bestimmtes Drittland ein angemessenes Schutzniveau aufweist, ist die Sicherstellung der Zulässigkeit einer Drittlandübermittlung zunächst durch geeignete Garantien gem Art 46 DSGVO zu bewerkstelligen.121 Neben Angemessenheitsbeschlüssen und BCR sind die genehmigungsfreien Standardvertragsklauseln mit die wichtigste Garantie, die das Kap V der DSGVO für die Praxis und vor allem für Unternehmensgruppen vorweist.122 Es sei auch erwähnt, dass die von der Kommission zu erlassenden Standardvertragsklauseln auch bereits vor Aufhebung des EU-US Privacy Shields das wichtigste Instrument waren, um in der Unternehmenspraxis Drittlandübermittlungen in die USA zu rechtfertigen.123 Standardvertragsklauseln gem Art 46 Abs 2 lit c DSGVO werden aufgrund eines festgelegten Verfahrens durch die Kommission mithilfe eines Durchführungsbeschlusses nach erfolgtem Prüfverfahren erlassen. Bei diesem formalisierten Verfahren kann die Kommission auf selbst entwickelte vertragliche Regelungen zurückgreifen oder von Dritten vorgelegte Vertragsregelungen dahingehend prüfen, ob diese ein ausreichendes Schutzniveau für Betroffene bieten.124 Die Anforderungen an Standardvertragsklauseln sind dergestalt, dass diese die wesentlichen Schutzelemente zu enthalten haben, die hinsichtlich bestimmter Drittlandübermittlungskonstellationen nicht vorliegen und sie müssen folglich in der Lage sein, ein in einem Drittstaat a priori nicht vorliegendes angemessenes Datenschutzniveau zu kompensieren. Nähere Vorgaben hinsichtlich des notwendigen Inhalts und der Vertragspartner sind in der DSGVO jedoch nicht vorgesehen.125 Durch die Erlassung der Standardvertragsklauseln durch die Kommission im Zuge des nach Art 93 Abs 2 DSGVO vorgesehenen Verfahrens, kommen diesen jedoch offiziell die Qualität einer ausreichenden Garantie für den Schutz von Drittlandübermittlungen zu.126 Anders als die Garantien iSd Art 46 Abs 3 DSGVO bedarf der Abschluss dieser Standardvertragsklauseln durch die jeweiligen Vertragspartner keiner gesonderten Genehmigung der nationalen Aufsichtsbehörde.127 Die Genehmigungsfreiheit und damit letztlich auch die Wirksamkeit der Standardvertragsklauseln gem Art 46 Abs 2 lit c DSGVO hängt aber insbesondere davon ab, dass diese durch die Vertragspartner nicht abgeändert werden. Für den Betroffenen vorteilhafte Ergänzungen des Vertragswerks, zB in Form von zusätzlichen Garantien, sind jedoch weder genehmigungspflichtig noch hemmen sie die Gültigkeit der Standardvertragsklauseln.128 Da auch nur auf Anfrage eine Vorlagepflicht ggü den Aufsichtsbehörden besteht129, hatten Standardvertragsklauseln bisher den Vorteil für sich, dass keine Unsicherheiten aus einem behördlichen Genehmigungsverfahren erwuchsen und bis vor kurzem konnte zudem auch noch 121 Hamann/Wegmann, Endlich Rechtssicherheit? Die neuen Standardvertragsklauseln der EU-Kommission für die Übermittlung personenbezogener Daten in Drittländer, BB 2021, 1803. 122 Lindner in Körber-Risak/Brodil, Datenschutz und Arbeitsrecht, 74. Siehe dazu auch Wieczorek in Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht § 7 Rz 95. 123 Jungkind/Raspé/Schramm, NZG 2020,1057. 124 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 19f. 125 Zerdick in Ehmann/Selmayr, Datenschutz-Grundverordnung2 Art 46 Rz 10. 126 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 19. 127 Gabel in Taeger/Gabel, DSGVO – BDSG – TTDSG4 Art 46 Rz 8. 128 Lange/Filip in Wolff/Brink, BeckOK Datenschutzrecht38 Art 46 Rz 26ff. 129 Gabel in Taeger/Gabel, DSGVO – BDSG – TTDSG4 Art 46 Rz 10. 03. März 2022 Hehenberger Simon 16/31
gelten, dass diese schnell implementierbar wären.130 Zwar besteht nach wie vor Genehmigungsfreiheit der Standardvertragsklauseln. Die bisher vertretene Ansicht, dass Standardvertragsklauseln insbesondere für Unternehmen Rechtssicherheit und verminderten Verwaltungs- und Ressourcenaufwand bedeuten würden131, ist jedoch durch die Schrems II E des EuGH und den damit verbunden Folgen zu revidieren.132 2. Die Konsequenzen aus Schrems II für Standardvertragsklauseln Auch nach Inkrafttreten der DSGVO galten vorerst die Standardvertragsklauseln datierend aus dem Jahre 2001, die noch auf Basis von Art 26 Abs 4 DS-RL erlassen worden waren und seitdem zwar fallweise modifiziert wurden, dennoch aber in den letzten Jahren als überarbeitungsbedürftig galten.133 Nichtsdestotrotz wurde gerade im Unternehmenskontext weiterhin inflationär134 auf diese Garantie gesetzt.135 Bereits die E Schrems136 aus dem Jahre 2015 hatte zu Zweifeln an der Zulässigkeit von Datentransfers in die USA auf Basis derselben geführt.137 Im Zuge des der Schrems II E zugrundeliegenden Rechtsstreits wurde nunmehr der EuGH mit der Frage der Gültigkeit und Auslegung der damals aktuellsten Fassung der Standardvertragsklauseln befasst.138 Anlass für die Vorlagefrage waren die Standardvertragsklauseln, die Facebook Ireland mit der amerikanischen Konzernmutter geschlossen hatte139. Grundlegend stellte der EuGH fest, dass die gegenständlichen Standardvertragsklauseln ein taugliches Mittel zur Absicherung des internationalen Datentransfers darstellen würden und bestätigte damit deren Gültigkeit.140 Darüber hinaus erinnerte der EuGH jedoch an eine der wesentlichen Zielsetzungen der Vertragswerke nach Art 46 Abs 2 lit c DSGVO, nämlich, dass diese dazu dienen, ein im Zielstaat mangelndes Datenschutzniveau zu kompensieren und ein angemessenes Schutzniveau für eine konkrete Datenverarbeitung herzustellen, wobei wiederum das Primärrecht der Union und damit vor alledem die GRC als Prüfungsmaßstab zur Anwendung zu kommen hat.141 Im Zuge dessen verneinte der EuGH aber, dass der Abschluss von Standardvertragsklauseln alleine jedenfalls ausreichen würde, um das geforderte angemessene Datenschutzniveau herzustellen. Vielmehr muss in jedem konkreten Fall gesondert geprüft werden, ob die in den Standardvertragsklauseln enthaltenen Garantien zu diesem Zwecke ausreichend sind, wobei diese bei einem negativen Befund um weitere geeignete Garantien zu ergänzen sind.142 Es trifft folglich den Verantwortlichen bzw Auftragsverarbeiter in jedem Einzelfall die Verpflichtung, zunächst eine Einschätzung hinsichtlich des Datenschutzniveaus des Drittlands zu treffen und ggf die Standardvertragsklauseln um zusätzliche Maßnahmen zu ergänzen.143 Verlangt wird hierbei insbesondere eine Prüfung 130 Pauly in Paal/Pauly, DS-GVO BDSG3 Art 44 Rz 20. 131 Towfigh/Ulrich in Sydow (Hrsg), Europäische Datenschutzgrundverordnung2 (2018) Art 46 Rz 9. 132 Hamann/Wegmann, BB 2021, 1807. Siehe dazu auch Knyrim, EuGH Schrems II trifft Unternehmen hart, Dako 2020/41, 73. 133 Zerdick in Ehmann/Selmayr, Datenschutz-Grundverordnung2 Art 46 Rz 12. 134 Conrad/Siara, ZD 2021, 471. 135 Hamann/Wegmann, BB 2021, 1803. 136 EuGH 6.10.2015, C-362/14 (Schrems). 137 Zerdick in Ehmann/Selmayr, Datenschutz-Grundverordnung2 Art 46 Rz 12. 138 EuGH 16.7.2020, C-311/18, EWS 2020, 205. 139 Kröpfl/Rohner, Dako 2020/44, 78. 140 Jungkind/Raspé/Schramm, NZG 2020,1057. 141 Thieme/Wegmann, BB 2020,1924. 142 Jungkind/Raspé/Schramm, NZG 2020,1057. 143 Kröpfl/Rohner, Dako 2020/44, 78. 03. März 2022 Hehenberger Simon 17/31
Sie können auch lesen
