So unter anderem das Gericht in einem Berufungsverfahren in seinem Hinweisbeschluss vom 11.Mai 2026 (Az.: 21 U 3882/25 e) in einem Rechtsstreit, in dem ein Anspruch auf Schadensersatz nach Art. 82 DSGVO unter anderem geltend gemacht worden war. Das Gericht führt in den Gründen des Beschlusses unter anderem aus:
„..Vor dem 10.07.2023 ist die Datenübermittlung der Beklagten in die USA jedoch zunächst auf der Grundlage der Standardvertragsklauseln 2010 und ab dem 31.08.2021 auf der Grundlage der Standardvertragsklauseln 2021 erfolgt und damit nach Art. 46 DSGVO nicht rechtswidrig. Der EuGH hat in seiner Entscheidung „Schrems II“, Urteil vom 16.07.2020 – C-311/18, unter Leitsatz 4 ausdrücklich klargestellt, dass die Prüfung des Beschlusses 2010/87/EU der Kommission vom 05.02.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der RL 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16.12.2016 geänderten Fassung anhand der Art. 7, 8 und 47 GRCh nichts ergeben habe, was seine Gültigkeit berühren könnte. Der Beschluss war daher weiterhin wirksam. In Rn. 133 ff. des Urteils hat der EuGH weiter ausgeführt, dass
„die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln nur darauf abzielen, den in der Union ansässigen Verantwortlichen bzw. ihren dort ansässigen Auftragsverarbeitern vertragliche Garantien zu bieten, die in allen Drittländern einheitlich gelten, d. h. unabhängig vom dort jeweils garantierten Schutzniveau. Da diese Standarddatenschutzklauseln naturgemäß keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“
Die Beklagte hat substantiiert ausgeführt, dass sie weitere Maßnahmen zur Gewährleistung der Garantien getroffen hat (siehe bereits Klageerwiderung vom 19.04.2025, Rn. 19 ff.). So habe sie etwa Verschlüsselungsalgorithmen eingesetzt und den anfragenden Behörden nur die unbedingt notwendigen Daten übermittelt sowie im halbjährlichen Transparenzbericht die Nutzer informiert. Dem ist die Klagepartei erstinstanzlich nicht entgegengetreten. Soweit die Klagepartei mit ihrer Berufung nunmehr behauptet, die Beklagte trage keine geeigneten ergänzenden Maßnahmen i.S.d. EDSA-Empfehlungen 01/2020 (Version 2.0 vom 18.06.2021) substantiiert vor, so ist dieser Vortrag schon verspätet. Im Übrigen ist anzumerken, dass in Anhang 2 der genannten EDSA-Empfehlungen beispielsweise ausdrücklich eine starke Verschlüsselung als eine Maßnahme genannt ist (vgl auch Ziffer 2.4 der Empfehlungen, Rn. 50 ff., vgl. auch BeckOK DatenschutzR/Lange/Filip, 55. Ed. 1.2.2024, DS-GVO Art. 46 Rn. 3c). Genau eine solche Verschlüsselung trägt die Beklagte aber unbestritten vor.
Zusätzlich zur Erbringung geeigneter Garantien müssen den Betroffenen gemäß Art. 46 Abs. 1 DSGVO auch durchsetzbare Rechte und wirksame Rechtsbehelfe eingeräumt werden, mithin mindestens Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie auf Schadensersatz sowie Rechtsbehelfe zur Verfügung gestellt werden (BeckOK DatenschutzR/Lange/Filip 54. Ed. 1.2.2024, DS-VO Art. 46 Rn. 2g ff., 7 ff). Die Beklagte hat vorgetragen, dass sie diese Rechte wahrt (etwa Klageerwiderung Rn. 19 ff.). Diesem Vortrag ist die Klagepartei nicht substantiiert entgegengetreten: Zwar ist für die USA als Drittland, wie von der Klagepartei vorgetragen, zu berücksichtigen, dass die amerikanischen Behörden auf die aus der Union in die USA übermittelten personenbezogenen Daten zugreifen und sie verwenden könnten, was insbesondere nach Section 702 des FI-SA, der E.O. 12333 und der PPD-28 geschehen könne (EuGH, aaO, Rn. 166 zum Angemessenheitsbeschluss), dies schließt aber das Bestehen wirksamer Rechtsbehelfe nicht aus. Vielmehr heißt es in Artikel 1 des vom EuGH ausdrücklich für gültig erklärten Beschlusses 2010/87/EU der Kommission vom 05.02.2010, dass die „Standardvertragsklauseln im Anhang […] als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Absatz 2 der RL 95/46/EG“ gelten. In den Standardvertragsklauseln im Anhang dieses Beschlusses sieht Klausel 3 eine Drittbegünstigung, Klausel 5 Informationspflichten, Klausel 6 eine Haftung und Klausel 7 Rechtsbehelfsmöglichkeiten vor. Die Klagepartei hat nicht substantiiert vorgetragen, dass diese Klauseln unter Berücksichtigung der von der Beklagten vorgetragenen Verschlüsselung keinen ausreichenden Schutz gewährleisten…“
Hinweis des Autors:
Dem Autor ist zum Zeitpunkt der Erstellung des Beitrages nicht bekannt, ob die Berufung zurückgewiesen oder zurückgenommen worden ist, da die gesetzte Frist des OLG zum Zeitpunkt der Erstellung des Beitrages noch nicht abgelaufen war.
