„Schrems II“ und die Standardvertragsklauseln
Seit der Entscheidung des Europäischen Gerichtshofes (”EuGH”) in der Rechtssache C-311/18 im Juli 2020 – besser bekannt als “Privacy-Shield-Entscheidung” oder “Schrems II” – steht grundsätzlich fest, dass in den USA kein angemessenes Datenschutzniveau herrscht.
Übermittlungen personenbezogener Daten an US-Empfänger sind seither also nur mehr unter äußerst eingeschränkten Voraussetzungen zulässig.
Was seitdem für Verwirrung zu sorgen scheint (oder teilweise wohl auch gezielt verwirrend verwendet wird), ist die Frage der Einsatzmöglichkeiten der sogenannten “EU-Standardvertragsklauseln”. Die “EU-Standardvertragsklauseln” stellen an sich einen Katalog von Regelungen dar, die bei entsprechender Einbeziehung in einen Vertrag zwischen Übermittler und Empfänger personenbezogener Daten eine Rechtsgrundlage für Übermittlungen auch außerhalb der EU bilden können.
Mit der Frage, ob diese Standardvertragsklauseln eine taugliche Grundlage für Datenübermittlungen außerhalb der EU darstellen können, hat sich der EuGH in der Entscheidung ebenfalls auseinandergesetzt. Was der EuGH dazu zu sagen hatte und welche Konsequenzen damit einhergehen, scheint sich in der Praxis allerdings sehr zögerlich zu verbreiten.
Die Kernaussage dazu ist zunächst: der Einsatz von Standardvertragsklauseln kann eine taugliche Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der Europäischen Union in Drittstaaten darstellen. So weit so (halb-)klar. Sieht man sich dann allerdings an, womit der EuGH die grundsätzliche Zulässigkeit des Einsatzes von Standardvertragsklauseln begründet, wird klarer, was das für Übermittlungen an US-Empfänger bedeutet.
Der EuGH hält die EU-Standardvertragsklauseln insbesondere deshalb für eine geeignete rechtliche Grundlage für Datenübermittlungen in Drittstaaten, weil die Klauseln selbst Regelungen dafür vorsehen, was zu geschehen hat, wenn der Empfänger der Daten seinen vertraglichen Verpflichtungen nicht mehr nachkommen kann. Die unmittelbare Konsequenz ist nämlich, dass jegliche Datenübermittlungen sofort zu stoppen sind und der Übermittler das Recht hat, vom zugrundeliegenden Vertrag zurückzutreten.
„DER VERANTWORTLICHE IST ZUR AUSSETZUNG DER DATENÜBERMITTLUNG UND/ODER ZUM RÜCKTRITT VOM VERTRAG VERFLICHTET, WENN DER EMPFÄNGER DER ÜBERMITTLUNG NICHT ODER NICHT MEHR IN DER LAGE IST, DIE STANDARDDATENSCHUTZKLAUSELN EINZUHALTEN.“
Die Standardvertragsklauseln sind also deshalb eine taugliche Rechtsgrundlage für Drittstaatsübermittlungen, da sie selbst einen Mechanismus vorsehen, der jeden Transfer sofort unterbindet, sobald der Drittstaatsempfänger seinen vertraglichen Verpflichtungen, die eben ein angemessenes Datenschutzniveau sicherstellen sollen, nicht mehr nachkommen kann.
Daraus folgt also, dass der Einsatz von EU-Standardvertragsklauseln natürlich zulässig ist – die Zulässigkeit des Einsatzes aber nicht bedeutet, dass deshalb auch automatisch eine Datenübermittlung zulässig ist. Ganz im Gegenteil. Gerade beim Einsatz von Standardvertragsklauseln haben Übermittler und Empfänger genau zu prüfen, ob der Empfänger seinen vertraglichen Verpflichtungen auch nachkommen kann. Für Übermittlungen an US-Empfänger hat der EuGH die Möglichkeit der Einhaltung dieser Verpflichtungen faktisch ausgeschlossen. Vertragliche Verpflichtungen können schließlich nichts daran ändern, dass US-Empfänger auf Basis nationaler gesetzlicher Regeln zur Herausgabe von Daten gezwungen werden.
Konsequenz des Einsatzes von Standardvertragsklauseln im Zusammenhang mit Übermittlungen an US-Empfänger wäre somit lediglich die sich aus den Standardvertragsklauseln ergebende Unzulässigkeit des Datenaustausches samt Rücktrittsmöglichkeit für den Datenübermittler.
Die Frage der Zulässigkeit des Einsatzes von Standardvertragsklauseln stellt sich also völlig losgelöst von der Frage darauf beruhender Datentransfers.
EU-Standardvertragsklauseln können nach aktueller Rechtslage keine Rechtsgrundlage für Übermittlungen personenbezogener Daten an US-Empfänger liefern. Im Gegenteil ist der Einsatz von Standardvertragsklauseln schon grundsätzlich nur deshalb zulässig, weil Standardvertragsklauseln unter den gegebenen Umständen Übermittlungen an US-Empfänger verhindern.
Strafbar ist unter diesen Umständen die Verarbeitung personenbezogener Daten, die auf Grund berufsmäßiger Beschäftigung anvertraut oder zugänglich geworden sind oder die widerrechtlich erlangt wurden.
Geschützt sind personenbezogene Daten, an denen der Betroffene ein schutzwürdiges Geheimhaltungsinteresse hat. Ein schutzwürdiges Geheimhaltungsinteresse besteht nach § 1 DSG leidglich dann nicht, „wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind“. Sonst geht das Gesetz grundsätzlich davon aus, dass ein schutzwürdiges Geheimhaltungsinteresses gegeben ist.
Während die Datenverarbeitung in Schädigungsabsicht im Unternehmensbereich eher nur unter außergewöhnlichen Umständen verwirklicht werden wird, ist die Datenverarbeitung mit Bereicherungsvorsatz wesentlich schneller vollendet als man es glauben möchte.
Problematisch ist in diesem Zusammenhang nämlich der leider sehr weit verbreitete Einsatz von Online-Tools, von denen mittlerweile allgemein bekannt ist, dass sie kostenlos zur Verfügung gestellt werden, weil sie den bereitstellenden Unternehmen im Hintergrund als Datensammelwerkzeuge dienen. Das betrifft insbesondere in viele Unternehmenswebsites integrierte Tools wie Google Analytics oder YouTube-Videos. Die Gegenleistung für den Einsatz dieser Werkzeuge besteht darin, dass Daten jedes Website-Besuchers an Google bzw. YouTube fließen.
Dieser Datenabfluss ist spätestens seit der Aufhebung von Privacy-Shield datenschutzrechtlich in den meisten Fällen unzulässig. Abgesehen von der Tatsache, dass die abfließenden Daten im Zusammenhang mit Unternehmenswebsites meist im Rahmen berufsmäßiger Beschäftigung zugänglich wurden, liegt so meist auch eine widerrechtliche Erlangung vor.
Der springende Punkt ist nun allerdings, dass der Einsatz dieser datenschutzrechtlich höchst bedenklichen Werkzeuge meist ausschließlich darauf beruht, dass sie kostenlos zur Verfügung gestellt werden und so keine Kosten für die eigene Bereitstellung derartiger Ressourcen oder den Einsatz datenschutzkonformer Lösungen anfallen. Bereicherungsvorsatz ist allerdings nicht nur dann gegeben, wenn das Erzielen eines Erlöses angestrebt wird, sondern auch dann, wenn Ergebnis der verpönten Handlung eine Ersparnis sein soll.
Datenschutzbehördliche Inaktivität führt aktuell vielfach dazu, dass bekannte datenschutzrechtliche Probleme auf die leichte Schulter genommen werden, da datenschutzrechtliche Konsequenzen vermeintlich ausbleiben.
Wer allerdings datenschutzrechtliche Probleme in Kauf nimmt, um sich aus datenschutzkonformer Umsetzung resultierende Aufwände zu ersparen, verwirklicht damit den Tatbestand der Datenverarbeitung mit Bereicherungsvorsatz und hat es plötzlich nicht mehr mit einer schwer greifbaren Datenschutzbehörde, sondern der zuständigen Staatsanwaltschaft zu tun.
Insbesondere der Einsatz von YouTube-Videos auf Unternehmenswebsites stellt also gerade für Entscheidungsträger im Unternehmen ein massives Risiko dar, das im schlimmsten Fall in der Verhängung von Freiheitsstrafen münden kann.
