Wann darf man denn nun eigentlich die „absolute Ausnahme“, also die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, als Grundlage für Drittlandübermittlungen nutzen?
Seit heute würde ich (natürlich etwas sarkastisch formuliert) sagen – „für alles, wozu mir Standardvertragsklauseln mit TIA zu unbequem sind“.
Denn heute habe ich etwas gelesen, was mich verwirrt hat.
Aber erst mal zu den Hintergründen meiner Verwirrung:
Während all der Jahre als Datenschützer habe ich den Leuten "gepredigt", dass die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO nur die absolute Ausnahme sein darf, wenn alle anderen möglichen Voraussetzungen (also Angemessenheitsbeschluss, SCC etc.) für eine Übermittlung in ein Drittland (also außerhalb der EU) nicht anwendbar sind.
Und das auch nur in absoluten Einzelfällen. Also keine wiederholten, regelmäßigen oder gar massenhaften Übermittlungen.
Dabei habe ich mich nach dem orientiert, was z.B. der EDSA (bzw. EDPB) in seinen Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 (https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en) zur Klärung sagt:
Nur wenn keine anderen Garantien nach Art. 44 ff DSGVO möglich sind:
“Article 49 (1) (a) states that a transfer of personal data to a third country or an international organization may be made in the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, on the condition that ‘the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards’.“
Nur gelegentliche und nicht wiederholte Übermittlungen:
The EDPB notes that the term “occasional” is used in recital 111 and the term “not repetitive” is used in the “compelling legitimate interests” derogation under Article 49 par. 1 §2.
These terms indicate that such transfers may happen more than once, but not regularly, and would occur outside the regular course of actions, for example, under random, unknown circumstances and within arbitrary time intervals. For example, a data transfer that occurs regularly within a stable relationship between the data exporter and a certain data importer can basically be deemed as systematic and repeated and can therefore not be considered occasional or not-repetitive.
Was hat mich also so verwirrt?
Das bayerische Digitalministerium macht aktuell Werbung für seine „Bayern App 2.0“. Mit dieser App sollen Bürger in Bayern besseren Überblick und Zugriff auf digitale Verwaltungsleistungen erhalten.
Eine recht gute Sache.
Da ich die „Berufskrankheit“ Datenschutz habe, lese ich natürlich zuerst die Datenschutzhinweise zur App durch (https://www.stmd.bayern.de/service/inhalt/datenschutzerklaerung-bayernapp).
Und in Punkt 4 stolpere ich da direkt über für mich irritierende Informationen:
„4. Empfänger und Kategorien von Empfängern der personenbezogenen Daten
Der technische Betrieb unserer Datenverarbeitungssysteme erfolgt durch das IT-Dienstleistungszentrum am Landesamt für Digitalisierung, Breitband und Vermessung.
Sofern Sie im Menüpunkt „Neuigkeiten“ die Push-Funktionalität aktivieren, werden nach Ihrer ausdrücklichen Einwilligung Ihre IP-Adresse sowie die gewählten Themen an Server der Firma Google gesendet, die den in Android integrierten Push-Dienst „Firebase Cloud Messaging“ betreibt, sowie unter iOS zusätzlich an Server der Firma Apple, die den Dienst „Apple Push Notification Services“ betreibt. In diesen Fällen können Daten ohne geeignete Garantien i.S.d. Art. 46 DSGVO an alle Google– bzw. Apple-Rechenzentren (auch in Nicht-EU-Ländern ohne angemessenes Datenschutzniveau, insbesondere USA) übertragen werden. Mit Urteil vom 16.07.2020, Az.: C-311/18 („Schrems II“) hat der EuGH festgestellt, dass in den USA kein angemessenes Datenschutzniveau gewährleistet werden kann. Es besteht dort zum einen das Risiko eines Zugriffs auf die übertragenen Daten durch US-Sicherheitsbehörden ohne, dass eine Möglichkeit vorgesehen ist, wirksame Rechtsbehelfe einzulegen. Zum anderen fehlen durchsetzbare Betroffenenrechte.
Die Übermittlung erfolgt daher nur mit Ihrer ausdrücklichen Einwilligung auf Grundlage des Art. 49 Abs. 1 Buchst. a) DSGVO.“
Wie verstehe ich das?
SCC für’n A…
Ganz hart formuliert heißt das für mich, dass offenbar nicht einmal ein bayerisches Staatsministerium Willens oder in der Lage ist, rechtsgültige Standardvertragsklauseln gemäß Art. 46 DSGVO mit Google oder Apple (die beide sehr große Niederlassungen in München haben) auszuhandeln.
EU-US DPF für’n A…
Zudem kann man das als offenes (und wie ich finde auch ehrliches) Eingeständnis interpretieren, dass man den aktuellen EU-US DPF wohl selbst auf Ebene bayerischer Ministerien nicht mehr als ernst zu nehmende Grundlage für Datentransfers in die USA sieht. Denn sonst könnte man sich ja auf den darauf basierenden (noch existierenden) Quasi-Angemessenheitsbeschluss berufen.
Datenschutzfreundliche Alternativen für’n A…
Es scheint so, dass es zudem dem bayerischen Digitalministerium offenbar nicht möglich (oder zu teuer/zu umständlich?) ist, eigene Push-Nachrichtenservices zu implementieren, wie etwa über Web-Push, lokale In-App-Benachrichtigungen oder einen eigenen Messaging-Dienst, der im IT-DZ des Landesamts für Digitalisierung, Breitband und Vermessung betrieben werden könnte.
Strikte Auslegung?
Mir ist klar, dass es inzwischen offenbar gebräuchlich ist, diese „Ausnahme“-Transfergrundlage für alles zu verwenden, was nicht wirklich schlüssig über SCCs abzusichern ist wie etwa auch Google Analytics, Facebook Pixel, AWS-Cloud, etc. etc.
Selbst gestandene Fachjuristen machen sich nicht mehr die Mühe, nach „Feigenblatt“-Rechtsgrundlagen bzw. -Garantien zu suchen. Da wird halt die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO genommen.
Nur die Aufsichtsbehörden halten scheinbar noch an einer relativ strikten Auslegung dieser Einwilligung als „letzter Möglichkeit“ fest(?).
Fazit (sarkastische Version)
Wenn schon aktuell über eine Reform der DSGVO gesprochen wird und so lange die „digitale Souveränität Europas“ schlicht und einfach nichts als eine leere Worthülse ist (und womöglich bleibt), sollte man sich Gedanken machen.
Gedanken, ob nicht für Datentransfers in unsichere Drittländer einfach die informierte Einwilligung im Sinne des Art. 6 Abs. 1 lit a DSGVO verwendet werden kann und die ganzen (de facto Papiertiger-)Regelungen des Art. 44 ff. DSGVO für Drittlandtransfers komplett abgeschafft werden.
Warum?
- Es kann eh kein Unternehmen (das nicht Horden von Juristen oder internationale Kanzleien beschäftigt) bewerten, ob es in einem Drittland ein halbwegs angemessenes Datenschutz-Niveau gibt (siehe auch Transfer Impact Assessment, TIA zu SCC) und ob diese Vertrags-Regelungen auch wirklich eingehalten werden.
- Die Abhängigkeit von US-amerikanischen Tech-Giganten kann offenbar nicht einmal von staatlich finanzierten Stellen abgemildert werden (wie sollen das also etwa kleine oder mittlere Unternehmen schaffen?).
- Weil diejenigen, die geschützt werden sollen, hemmungslos, freiwillig und für minimale Vorteile ihre intimsten Daten in die USA, nach China und sonst wohin auf der Welt transferieren, ohne auch nur einen Gedanken daran zu verschwenden, wie diese missbraucht werden.
Fazit (nicht sarkastische Version)
Da fällt mir aktuell echt nix ein… Zumindest nicht, wenn ich Meldungen wie
- Google und BSI arbeiten an sicheren Cloud-Lösungen für die öffentliche Hand (heise.de, deshalb hier kein direkter Link)
- EU-Staaten treten bei Chatkontrolle auf der Stelle (netzpolitik.org) oder
- Bund macht sich abhängig von Amazon und Co. (netzpolitik.org)
lese.