Verarbeitung von Daten innerhalb der EU oder gleichgestellten Staaten (6.3 c)

Die Verarbeitung von Daten darf laut Pilotvertrag für Diensteanbieter nur innerhalb der EU stattfinden (6.3 c). Warum ist dieses Teilnahmekriterium im Vertrag enthalten? Gerne möchten wir im Folgenden genauer auf die Gründe eingehen.

Ein Transfer von personenbezogenen Daten aus der EU/EWR in ein Drittland ist nur dann möglich, wenn die Vertragsparteien ihre datenschutzrechtlichen Pflichten (Art. 5, 6, 26 oder 28 DS-GVO) erfüllen und das Drittland über ein dem EU-Recht vergleichbares Datenschutzniveau verfügt (Art. 44 DS-GVO). Eine Übermittlung personenbezogener Daten ist dann zulässig, wenn eine der folgenden Optionen erfüllt wird:

Option 1: Artikel 45: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Es ist zulässig, personenbezogene Daten an ein Drittland oder an eine internationale Organisation zu übermitteln, „wenn die Kommission beschlossen hat, dass das betreffende Drittland, […] oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.“ Dieser sog. Angemessenheitsbeschluss hat zur Folge, dass der Datenexporteur den Status dieses Drittlandes nicht prüfen muss. Die Europäische Kommission hat (Stand 1/2023) einen Entwurf eines Angemessenheitsbeschlusses für die USA vorgelegt. Weitere Infos finden Sie auf den öffentlichen Seiten der Europäischen Kommission.

Option 2: Artikel 46, 47: Datenübermittlung (Standarddatenschutzklauseln und verbindliche interne Datenschutzvorschriften (Binding Corporate Rules (BCR))

Gibt es keinen Angemessenheitsbeschluss, muss der Verantwortliche selbst Vorkehrungen zum Schutz der betreffenden Daten treffen. Eine Übermittlung personenbezogener Daten ist zulässig, wenn „geeignete Garantien und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“. Generell bedürfen geeignete Garantien einer Genehmigung im Einzelfall durch die zuständigen Aufsichtsbehörden, Art. 46 Abs. 3 DSGVO.

Ausgenommen von einer Einzelfallgenehmigung sind Verträge mit EU-Standarddatenschutzklauseln (Art. 46 Abs. 1 lit. c DS-GVO) abzuschließen, die als Mustervertragstexte zur Verfügung stehen, außer wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten. Für den Fall der USA hat der Europäische Gerichtshof (EuGH) entschieden, dass allein über die Verwendung der Standarddatenschutzklauseln kein angemessenes Schutzniveau derzeit hergestellt werden kann. Nach Ansicht des EuGH müssen die Standarddatenschutzklauseln durch zusätzliche Maßnahmen ergänzt werden, die die übermittelten Daten im konkreten Einzelfall angemessen vor dem unbeschränkten Zugriff der US-Sicherheitsbehörden schützen. Der EuGH macht keine Vorgaben, welche Maßnahmen dies sind bzw. sein können. Unternehmen können sich verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules, Art. 46 Abs. 2 lit. b DS-GVO) geben, die behördlich zu genehmigen sind.

Fraglich ist jedoch, inwieweit sich Behörden nach dem sog. Schrems II-Urteil des EuGH noch auf die von der EU-Kommission beschlossenen Standarddatenschutzklauseln bzw. auf Binding Corporate Rules als geeignete Garantien berufen können, wenn sie Dienste eines US-Cloud-Anbieters nutzen bzw. mit einem Unternehmen zusammenarbeiten wollen, das diese Dienste nutzt.
Bei der Nutzung eines Clouddienstes eines US-Konzerns besteht, selbst wenn der Cloud-Dienst auf einem Server im EU/EWR (Europäischen Wirtschaftsraum) angeboten wird, ein Restrisiko, dass gespeicherte Daten aufgrund des CLOUD-Acts an den US-Mutterkonzern übermittelt und von dort US-amerikanischen Sicherheitsbehörden ausgehändigt werden.

Keine Option 3: Artikel 49: Ausnahme bei Öffentlichem Interesse

Eine Einwilligung in den Transfer in Drittländern (Art. 49 Abs. 1 Unterabs. 1 lit. a DSGVO) oder die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen (Art. 49 Abs., 1 Unterabs. 1 lit. b DSGVO) bzw. im Interesse der betroffenen Person (Art. 49 Abs. 1 Unterabs. 1 lit. c DSGVO) hat Ausnahmecharakter und ist nicht als Rechtsgrundlage für wiederholte oder routinemäßige Übermittlungen geeignet.

Zusammenfassend lässt sich also sagen, dass VIDIS laut Datenschutzgrundverordnung personenbezogene Daten aus Gründen des Öffentlichen Interesses (Unterricht; Schulpflicht) übermitteln darf. Ebenso wird klar, warum Bildungsanbieter gemäß dem VIDIS Pilotvertrag keine personenbezogenen Daten an Drittstaaten übermitteln dürfen.