„Schrems II“-Workaround für den Einsatz von US-Dienstleistern?

Es ist nun schon eine ganze Menge Wasser den Rhein hinuntergelaufen, seit der EuGH mit seinem „Schrems II“-Urteil vom 16.07.2020 nicht nur für Furore, sondern für eine Menge Probleme in der Wirtschaft (und auch bei öffentlichen Stellen) gesorgt hat.

Da insbesondere im Hinblick auf die USA die Möglichkeiten zur Sicherstellung eines angemessenen Datenschutzniveaus durch den EuGH bedeutend eingeschränkt worden sind, viele Dienstleistungen der „modernen“ Informationsgesellschaft aber nun einmal aus den USA heraus erbracht werden, gibt es aktuell ein handfestes Problem.

Und auch knapp ein Jahr nach dem Urteil fehlt es an Lösungen. Einige US-Dienstleister haben nachgebessert und die vom EuGH geforderten „supplementary measures“ definiert und bieten diese als Vertragsergänzung an. Aber reicht das? Das weiß aktuell niemand so richtig.

Wer jetzt erwartet, dass man mit jedem Dienstleister aus den USA individuell über zusätzliche Maßnahmen zum Datenschutz sprechen kann, weiß allerdings auch nicht, dass das im Markt so nicht funktioniert. Und zwar nicht, weil die Dienstleister das partout nicht wollen, weil sie z.B. „ignorant“ sind.

Nein, es ist schlichtweg nicht umsetzbar, in einem Massengeschäft wie z.B. Software as a Service (SaaS) unzählige Vertragsbedingungen mit einzelnen Kunden auszuhandeln und dann auch noch praktisch zu überwachen und einzuhalten. Das kann nur schiefgehen.

Also wird es auch in der Regel nur Lösungen „aus der Schublade“ geben, die dann eben für alle gelten. Oder für die gelten, die diese zusätzlichen Maßnahmen abschließen wollen.

Anlass für neue Ansätze durch einen Richter am EuGH

In der internationalen „Datenschutzrechtsszene“ rumort es nun schon seit ein paar Wochen. Und das hat interessanterweise wiederum mit dem EuGH zu tun. Nein, nicht dem EuGH selbst, sondern dem Richter am EuGH Thomas von Danwitz, der zudem Berichterstatter bei der „Schrems II“-Entscheidung war und damit aus berufenem Munde sprach.

Thomas von Danwitz hatte auf dem „Europäischen Datenschutztag“, der am 28.01.2021 virtuell stattgefunden hat, einige bemerkenswerte Ausführungen gemacht. Ein wenig Berichterstattung dazu kannst du bei Dr. Sebastian Kraska vom IITR nachlesen.

Neben den einigermaßen erbarmungslosen Ausführungen des Richters dazu, dass das „Kippen“ des Privacy Shields für alternativlos gewesen sei, gab es dann noch „Denkstoff“ für Juristinnen und Juristen, die sich mit dem Thema von Lösungen für weitere Drittlandsverarbeitungen beschäftigen.

Denn von Danwitz hat auf Nachfrage betont, dass die Ausnahmeregelungen in Art. 49 DSGVO seiner Meinung nach noch nicht hinreichend „ausgelotet“ worden seien.

Und auf weitere Nachfrage hat er dann mitgeteilt, dass er nicht unbedingt sehen würde, dass die Ausnahmeregelungen in Art. 49 DSGVO so „restriktiv“ auszulegen wären. Insbesondere bei der Datenverarbeitung im Kontext mit einem Vertrag mit dem Betroffenen sei nach Ansicht des Richters der Grundsatz der Erforderlichkeit der (alleinige) Kernpunkt.

Die wesentlichen Passagen der Aussagen von Thomas von Danwitz habe ich in diesem Video zusammengetragen:

Und in diesen Ausführungen ist natürlich „Sprengstoff“. Denn die europäischen Aufsichtsbehörden sehen dies deutlich anders. Sie wollen die Ausnahmeregelungen der Art. 49 DSGVO sehr restriktiv auslegen. Nachzulesen in den „Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679“ (PDF) des Europäischen Datenschutzausschusses (EDSA).

Systematik der Ausnahmeregelungen bei Drittlandsverarbeitungen

Um das Problem und den diskutierten Lösungsansatz besser verstehen zu können, dürfen wir uns die Systematik von Art. 49 DSGVO einmal näher ansehen. Und zwar werfen wir hier einen Blick auf den Absatz 1 der Norm – und es geht hier jetzt weniger um das Lesen des Inhalts, sondern um das Verständnis der Struktur der Norm.

Art. 49 DSGVO – Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

Auf diesen ersten Teil des Absatzes 1 folgt dann Unterabsatz 1:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Und dann folgt ein wichtiger Punkt, der gerne falsch verstanden wird, nämlich der Unterabsatz 2 von Art. 49 Abs. 1 DSGVO:

Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 — einschließlich der verbindlichen internen Datenschutzvorschriften — gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat (…)

Hier machen viele schon den ersten Lesefehler, weil sie den zweiten Unterabsatz so verstehen, dass die im ersten Unterabsatz geregelten Ausnahmen auch nur dann zulässig sind, wenn die Verarbeitung nicht wiederholt erfolgt und auch nur eine begrenzte Zahl von Personen betrifft.

Das ist aber nicht der Fall. Die in Unterabsatz 1 genannten Ausnahmen sind nicht von den Beschränkungen des Unterabsatzes 2 umfasst. Und das sehen übrigen auch die europäischen Aufsichtsbehörden (sprich: der EDSA) ausdrücklich auch so.

Sind die Ausnahmen wirklich restriktiv auszulegen?

Der EDSA begründet seine Ansicht einer restriktiven Auslegung der in Art. 49 Abs. 1 UAbs. 1 genannten Ausnahmen vornehmlich mit dem Erwägungsgrund 111 der DSGVO. Dort heißt es wörtlich:

Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist.

Den Satz bitte einmal genau lesen. Denn hier gibt es unterschiedliche Auslegungsmöglichkeiten. Die Aufsichtsbehörden verstehen den Satz so:

Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein. Nämlich dann, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat. Oder wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist.

Auch hier bitte genau lesen!

Was jetzt aber in der internationalen Datenschutzrechtsszene diskutiert wird, ist, dass der Satz so zu lesen ist:

Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein. Nämlich dann, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat oder wenn die Übermittlung gelegentlich erfolgt. Und wenn die Verarbeitung im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen erfolgt, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist.

Erkennst du den Unterschied? Sicherlich. In der Lesart der letzten Variante bezieht sich das einschränkende Merkmal der „Gelegentlichkeit“ auf die Fälle, in denen eine Verarbeitung „gelegentlich“ erfolgt, und zwar unabhängig von der jeweiligen Rechtsgrundlage.

Das Merkmal der Gelegentlichkeit bezieht sich aber eben nicht auf die Verarbeitung, die zur Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist und auch nicht auf die Verarbeitung zur Geltendmachung von Rechtsansprüchen.

Warum wird das nun gerade jetzt so „trendy“ diskutiert?

Nun…das hat ganz deutlich mit den Ausführungen von Thomas von Danwitz zu tun, die er am Ende des Videos (s.o.) macht.

Denn der EuGH-Richter legt z.B. bei der Verarbeitung von personenbezogenen Daten im Drittland für Zwecke eines Vertrages allein den Maßstab der Erforderlichkeit an. Von einer „gelegentlichen“ Verarbeitung ist bei ihm überhaupt keine Rede.

Und damit dürfte er auch Recht haben. Und dies auchbewusst so gesagt haben.

Denn die Lesart der Aufsichtsbehörden von Erwägungsgrund 111 ist m.E. nicht zutreffend.

Dafür spricht schon, dass es keinen Sinn ergibt, die Gelegentlichkeit als beschränkendes Element einer Verarbeitung von Daten für die Geltendmachung von Rechtsansprüchen vorzusehen.

Es wird doch niemand ernsthaft behaupten wollen, dass es Sinn und Zweck der DSGVO sei, die Geltendmachung von Rechtsansprüchen in Drittländern zu beschränken, oder? Nein, sicher nicht.

Wer diese Ansicht – genau wie ich – teilt, kann schlechterdings auch nicht behaupten, dass die „Gelegentlichkeit“ in Erwägungsgrund 111 sich auch auf die Datenverarbeitung für Vertragszwecke beziehe.

Im Ergebnis kann daher festgestellt werden, das die Rechtsauffassung des EDSA zu der auf Erwägungsgrund 111 basierenden Auslegung fehlerhaft ist.

Dafür spricht im Übrigen auch der insoweit eindeutige Wortlaut des Art. 49 Abs. 1 DSGVO. Der Erwägungsgrunde 111 ist – insbesondere bei nicht deutlich zu ermittelndem Sinngehalt – hier nicht direkt für eine Auslegung heranziehbar. Hinzu kommt, dass die Beschränkungen der Ausnahmeregelungen des Art. 49 Abs. 1 UAbs. 1 DSGVO in den Folgeabsätzen des Art. 49 DSGVO geregelt sind und insoweit auch kein Erfordernis für eine Heranziehung des Erwägungsgrundes 111 besteht.

Dass große Teile der rechtswissenschaftlichen Literatur diese fragwürdige Rechtsauffassung des EDSA weiterhin kritiklos wiedergeben, ist verwunderlich. Ich hoffe sehr, dass hier in den Folgeauflagen ein kritischer Umgang mit den betreffenden Guidelines des EDSA erfolgt. Selbst wenn man die Linie des EDSA teilen sollte, liegt der Fehler der Ableitung des Erwägungsgrundes 111 m.E. auf der Hand. Das sollte zumindest diskutiert werden.

Ist das jetzt ein Freifahrtschein für die Nutzung von US-Dienstleistern?

Nein. Das ist es nicht. Auch wenn die restriktive Auslegung des EDSA aus o.g. nicht Gründen überzeugend ist, bleibt Art. 49 DSGVO gleichwohl schon aus der Gesetzessystematik eine Ausnahmeregelung.

Das bedeutet allerdings auch nicht, dass auf dieser Basis nur ausnahmsweise Daten verarbeitet werden dürften. Die Ausnahme bezieht sich insoweit allein nur auf die Fälle, in denen ich in aus unterschiedlichen Gründen kein angemessenes Datenschutzniveau garantieren kann.

Und wenn ich nun z.B. Daten im Drittland verarbeite und dies auf Basis eines Vertrages erfolgt, den ich mit dem Betroffenen habe, dann bleibt – wie Richter von Danwitz deutlich betont – der Grundsatz der Erforderlichkeit das allein entscheidende Merkmal.

Um dem Ausnahmecharakter der Norm gerecht zu werden, sollte bei der Erforderlichkeitsprüfung insbesondere auch geprüft worden sein, ob es keine andere Verarbeitungsmethode oder Umsetzung der Verarbeitung gegeben hat, mit der ein angemessenes Datenschutzniveau garantiert werden konnte.

Da der EuGH mit Blick auf die USA hier ein grundlegendes Problem sieht, wird die Prüfung der Erforderlichkeit m.E. sehr gezielt und streng darauf gerichtet sein müssen, ob es nicht einen Anbieter in der EU gibt, der in vergleichbarer und zumutbarer Weise diese Verarbeitungsleistung erbringen konnte.

Wer sich ein wenig mit der Informationsgesellschaft und ihren Diensten auskennt, wird relativ schnell erkennen können, in welchen Bereichen des derzeit EU-Alternativen oder Anbieter aus „sicheren Drittstaaten“ gibt und wo ich definitiv auf US-Dienstleister angewiesen bin.

Ich für meinen Teil habe auf dieser Basis eine Reihe von US-Dienstleistern ersetzt und habe bei anderen eine belastbare Prüfung dahingehend gemacht, dass es aktuell eben keine geeigneten Alternativen aus der EU, dem EWR oder z.B. Japan oder Kanada gibt.

Und hier meine ich keine „Alibi“-Prüfung, sondern eine ernsthafte Prüfung von alternativen Dienstleistern und vor allem ihrer Dienstleistungen. Es gibt Bereiche, in denen kann ich auf EU-Alternativen wechseln. Und es gibt andere Bereich, in denen geht das nicht. Und wer hier seine Recherche- und Prüfaufgaben gut gemacht und dokumentiert hat, wird dies m.E. auch vor einer Aufsichtsbehörde gut vertreten können. Sollte eine Aufsichtsbehörde dann darlegen können, dass es sehr wohl gleichwertige und zumutbare Dienstleister in der EU gibt, dann wäre das letztlich auch ein Gewinn für denjenigen, der die Dienstleistungen nutzen möchte. Win-Win sozusagen.

Übrigens: Für die Videoeinbettung oben nutze ich einen EU-Dienstleister und einen Streaming-Service aus der EU. Habe lange gesucht, probiert und etwas gefunden. Ist nicht so bequem wie YouTube oder Vimeo. Und eine ganze Ecke teurer. Geht aber (zumindest aktuell). „I eat my own dogfood“.

Wir dürfen die weitere juristische Diskussion hier jedenfalls mit Spannung erwarten…