Schrems II - internationale Datenübermittlungen ins EU-Ausland  ·  24. Juli 2020

Schrems II - Info 2 - Handlungsempfehlungen

Womit müssen Unternehmen rechnen?

 

Werden die Aufsichtsbehörden nun Sanktionen verhängen, zB Strafen oder Datenübermittlungen untersagen?

Die EuGH-Entscheidung in der Angelegenheit Schrems II verpflichtet die Verantwortlichen zu unmittelbaren Handlungen, um Übermittlungen an Empfänger in den USA (und auch anderen Drittstaaten) weiterhin rechtmäßig durchführen zu können, und keinen Sanktionen durch die Aufsichtsbehörden ausgesetzt zu sein. 

 

Der EuGH hat ausgeführt, dass die Übermittlungsgrundlage EU-US-Privacy-Shield nicht rechtmäßig verwendet werden kann, da

  • in den USA ein Datenzugriff durch Sicherheitsbehörden (auf Basis von FISA 702, EO 12333 und ..) nicht ausgeschlossen ist, und
  • bei derartigen Datenzugriffen die EU-Bürger keine ausreichenden Rechtsmittel zur Verfügung haben, um dagegen vorzugehen, und
  • Sanktionen durch eine unabhängige Stelle bei unzulässigen Zugriffen zu erwirken. 

 

Dadurch ist für die personenbezogenen Daten der EU-Bürger kein ausreichendes, im wesentlichen gleichwertiges Schutzniveau gegeben.

 

Der Datenexport in Länder ohne derartiges Schutzniveau ist daher unzulässig.

 

 

Informationen zu 

 

Einige dieser Rechtsgrundlagen, die Sicherheitsbehörden Zugriff auf Daten ermögliche, wurden im Rahmen der Evaluierung des EU-US-Privacy-Shield auch beurteilt. 

 

 

 

Was ist zu tun?

Es ist im Sinne einer eingehenden internen Prüfung (due diligence) der Status zu erheben und es sind geeignete Maßnahmen zu planen.

 

 

Fragestellungen für die interne due diligence:

  • Gibt es Datenübermittlungen an Empfänger in die USA?
  • Ist der Empfänger der Daten als Verantwortlicher oder als Auftragsverarbeiter einzustufen?
  • Welche konkreten Datenarten werden an diese Empfänger übermittelt?
  • Zu welchen konkreten Zwecken werden die Daten an diese Empfänger übermittelt?
  • Gäbe es "europäische" Möglichkeiten, die Übermittlungsempfänger zu ersetzen.

 

Die Datenimporteure sind zu prüfen und es ist (über die Datenimporteure) das konkrete Schutzniveau für die übermittelten personenbezogenen Daten im Zielland zu erheben bzw. zu erfragen.

 

Es ist prüfen, ob im Zielland / Empfängerland ein annähernd gleichwertiges Schutzniveau für die personenbezogenen Daten herrscht.

 

Wenn es Zugriffe auf die personenbezogenen Daten durch Sicherheitsbehörden im Zielland gibt, dann müssen die betroffenen Personen eine Möglichkeit des effektiven Rechtschutzes (wie in der EU) haben, dh eine die Möglichkeit sich zu beschweren, ein Recht auf ein faires Verfahren, eine Entscheidung durch eine unabhängige Stelle und die unabhängige Stelle muss die Möglichkeit haben, Sanktionen wegen eines (unberechtigten) Datenzugriffes zu verhängen. 

 

 

 

Für Datenübermittlungen in die USA.

 

Prüfen Sie / Fragen Sie bei den Datenempfängern nach, ob diese den vom EuGH als problematisch identifizierten Regelungen (FISA 702, E.O. 12333, PDD 28) unterliegen, dh fragen Sie konkret nach:

 

Folgende "Musterfragen" werden von noyb.eu (dem Verein, der von Max Schrems gegründet wurde) zur Verfügung gestellt:

 

 

 

Direct Application of 50 U.S.C. § 1881a (= FISA 702)

(1)    Do you or any other relevant US entity (controller or processor) that processes or has access to personal data that is transferred to you fall under one of the following definitions in 50 U.S.C.

§ 1881(b)(4), that could render you or the other entit(ies) directly subject to 50 U.S.C. § 1881a    (= FISA 702)?

 

Yes       No               We are under a legal obligation not to answer this question

 

(2)    Especially,

 

(A)   are you or any other relevant US entity a telecommunications carrier, as that term is defined in section 153 of title 47 U.S.C.;

 

Yes       No               We are under a legal obligation not to answer this question

 

(B)    are you or any other relevant US entity a provider of electronic communication service, as that term is defined in section 2510 of title 18 U.S.C.;

 

Yes       No               We are under a legal obligation not to answer this question

 

(C)    are you or any other relevant US entity a provider of a remote computing service, as that term is defined in section 2711 of title 18 U.S.C.;

 

Yes       No               We are under a legal obligation not to answer this question

 

(D)   are you or any other relevant US entity any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored; or

 

Yes       No               We are under a legal obligation not to answer this question

 

(E)    are you or any other relevant US entity an officer, employee, or agent of an entity described in (A), (B), (C), or (D)?

 

Yes       No               We are under a legal obligation not to answer this question

 

Processing under EO 12.333

(3)    Do you, or any other relevant US entity (controller or processor) that processes personal data that is transferred from us to you, cooperate in any respect with US authorities conducting surveillance of communications under EO 12.333, should this be mandatory or voluntary?

 

Yes       No              We are under a legal obligation not to answer this question

 

Other relevant Laws

(4)    Are you or any other relevant US entity (controller or processor) that processes personal data that is transferred from us to you subject to any other law that could be seen as undermining the protection of personal data under the GDPR (Article 44 GDPR)?

 

Yes       No              

We are under a legal obligation not to answer this question If so, please specify these laws:

 

 

Measures against Mass and Indiscriminate Processing in Transit (FISA 702 and EO 12.333)

(5)    As the Court of Justice has also highlighted the need to ensure that personal data is not subject to mass surveillance in transit, we seek the following clarifications:

 

(A)   Have you implemented appropriate technical and organisational measures (see Article 32 GDPR) for every step of the processing operations which ensure that mass and indiscriminate processing of personal data by or on behalf of authorities in transit (such as under the “Upstream” program in the US) is made impossible?

 

Yes       No               We are under a legal obligation not to answer this question

 

 

(B)    If so, please specify which technical and organisational measures (including encryption) have been taken so that neither content nor meta data can be processed by sophisticated state actors with direct access to the internet backbone, switches, hubs, cables and alike:

 

 

 

 

Sollten die Unternehmen, denen Sie die Daten übermitteln, nicht von diesen (weitreichenden) US-Regelungen, die vom EuGH als zu eingriffintsensiv beurteilt wurden, betroffen sein, dann könnte die Übermittlung der personenbezogenen Daten an diese konkreten Übermittlungsempfänger auf Basis von Standard-Datenschutzklauseln zulässig sein. 

 

 

 

Fraglich, und noch nicht von den Aufsichtsbehörden geklärt ist, wie sich die EuGH-Entscheidung auf "Daten in Transit", dh personenbezogenen Daten auf dem Weg in die USA bzw. von den USA nach Europa auswirkt. FISA 702 bezieht sich insbes. auf den Zugriff auf Daten, die von Telekommunikationsunternehmen verarbeitet werden. Dazu werden wir noch Stellung nehmen.

 

 

 

24.07.2020, Autoren:

Michael Schweiger, zert DSBA

Dr. Thomas Schweiger, LL.M., CIPP/E, zert DSBA

Tags: EuGH, USA, Privacy Shield, Standarddatenschutzklauseln, Datenübermittlung, SCC, Schrems II, Privacy-Shield, FISA 702, E.O. 1233, FISC, PRISM, UPSTREAM, Art 46, Art 49, SDK, internationaler Datenverkehr, Datenverkehr, Datenexport, Datenimport

Kommentar schreiben

Kommentare: 0