17.12.2020
Standardvertragsklauseln und Schrems ll-Update
Dieser Beitrag zeigt auf, wie Unternehmen mit der neuen Entwicklung im Rahmen des Drittlandtransfers, unter Berücksichtigung der Empfehlungen des EDSA, umgehen können und welche Schritte zu empfehlen sind.
Jacqueline Neiazy
Director Datenschutz
Der Europäische Gerichtshof (EuGH) kippte im Urteil „Schrems II“ (C-311/18) im Juli diesen Jahres den EU-US Privacy Shield, die wichtigste Grundlage für Datenübermittlungen in die USA. Viele Unternehmen müssen nun auf sogenannte Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) zurückgreifen. Anders als der Privacy Shield, stellen diese aber keine automatische Legitimation für Datentransfers in die USA oder andere Staaten dar. Ihre Nutzung ist an umfangreiche Anforderungen geknüpft, deren Erfüllung Unternehmen eigenständig sicherstellen müssen. Nun hat hierzu schließlich der Europäische Datenschutzausschuss (EDSA; engl.: European Data Protection Board, EDPB) koordinierte Empfehlungen veröffentlicht. Dieser Beitrag zeigt auf, wie Unternehmen mit der neuen Entwicklung im Rahmen des Drittlandtransfers, unter Berücksichtigung der Empfehlungen des EDSA, umgehen können und welche Schritte zu empfehlen sind.
Wie war die bisherige die Entwicklung in Sachen Drittlandstransfer
Die Begründung des bereits erwähnten EuGH-Urteils lässt sich schnell auf den Punkt bringen: In den USA gebe es kein ausreichendes Datenschutzniveau, das dem der EU vergleichbar wäre. Das sei vor allem auf verschiedene Gesetze in den USA zurückzuführen, die den dortigen Behörden zu Zwecken der nationalen Sicherheit oder Verteidigung weitreichender Zugriffsbefugnisse auf Daten einräumen. Auch in diesen Fällen findet die DSGVO auf die betreffenden Übermittlungen personenbezogener Daten Anwendung. Dieser Umstand hat allerdings nicht nur Auswirkungen auf den Privacy Shield, der dementsprechend für ungültig erklärt wurde, sondern er betrifft grundsätzlich alle Datenübermittlungen in die USA sowie andere Staaten außerhalb des EU- und EWR-Bereichs. Denn das Instrument der Datenschutzklauseln, das der EuGH grundsätzlich unangetastet ließ, ändert für sich genommen nichts an der datenschutzrechtlichen Lage in den USA. Daher reichen die SCC, die von der EU-Kommission auf der Grundlage von Art. 46 Abs. 2 lit. c) DSGVO erlassen worden sind, allein nicht aus. Unternehmen müssen für jeden Einzelfall gesondert und in eigener Verantwortung überprüfen, ob die beabsichtigten Datenübermittlungen den datenschutzrechtlichen Anforderungen genügen und somit zulässig sind. Da sich Unternehmen nunmehr auf keinen Mechanismus wie im Rahmen des Privacy Shields verlassen können, entsteht eine hohe Rechtsunsicherheit.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
An diesen Ausgangspunkt knüpft nun die Empfehlung des EDSA an.
Demnach müssen im Falle eines unzureichenden Datenschutzniveaus in den Drittstaaten über die SCC hinaus weitere Maßnahmen getroffen werden. Speziell für die USA muss mit Blick auf die dortige Überwachungs-Gesetzgebung FISA und die diesbezüglichen Aussagen des EuGH davon ausgegangen werden, dass kein angemessenes Datenschutzniveau besteht.
Der EDSA ist daher der Ansicht, dass eine Übermittlung personenbezogener Daten allein auf Basis von Standardvertragsklauseln (SCC) in Drittstaaten in vielen Fällen nicht mehr möglich ist, sodass zusätzliche Sicherungsmaßnahmen erforderlich sind.
Dabei sind nach Empfehlung des EDSA allein technische Maßnahmen geeignet, den Zugriff durch Dritte (Sicherheitsbehörden) auf die übermittelten Daten zu verhindern. Organisatorische und vertragliche Zusicherungen eines Dienstleisters allein genügen hingegen nicht. Die Mittel an ergänzenden technischen Maßnahmen, die im Zusammenhang mit den SCC einen rechtskonformen Transfer gestatten können, ist dabei überschaubar:
- In Betracht kommt eine Ende-zu-Ende-Verschlüsselung der Daten, die keinerlei Verarbeitung der Daten im Klartext im Drittland zulässt. Dies kommt – auch nach den klaren Worten des EDSA – in aller Regel z.B. nur bei Lagerung eines Backups in Betracht. Das Papier weist ausdrücklich darauf hin, dass lediglich risikomindernde Maßnahmen, wie eine Transportverschlüsselung und eine Speicherung „at rest“ (auch zusammengenommen)nicht ausreichend sind, wenn weiterhin Daten im Drittland, und dies auch nur vorübergehend, im Klartext verarbeitet werden. Nach Ansicht des EDSA können daher Cloud- und SaaS-Produkte nicht – ohne weitere Sicherungsmaßnahmen – rechtskonform in Drittstaaten eingesetzt werden, wenn eine dortige Klartextverarbeitung gegeben ist.
- Ein verbleibender Ausweg kann eine effektive Pseudonymisierung der Daten vor der Übertragung sein, sodass die Verarbeitung im Drittland lediglich die pseudonymisierten Daten umfasst und es weder Dienstleistern noch Sicherheitsbehörden möglich ist, die betroffenen Personen identifizieren zu können. In den Konstellationen, in denen eine derartige Anpassung der eingesetzten Services in Betracht kommt, sollte die Anwendbarkeit dieser Maßnahme nunmehr konkret geprüft werden.
- Auch eine Aufteilung bzw. Mehr-Parteien-Verarbeitung der Daten kann in einigen Fällen denkbar sein, so dass Teile der Verarbeitung jeweils von einzelnen Dienstleistern vorgenommen werden und nicht einer allein eine Identifizierung der betroffenen Personen vornehmen kann.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Welche Handlungsschritte ergeben sich nun hieraus?
Zur Einschätzung der nächsten Handlungsschritte, kann auf den 6-Stufenplan des EDSA zur Evaluierung und Behandlung von grenzüberschreitenden Datentransfers hingewiesen werden. Demnach sind zur Festlegung der nächsten Handlungsschritte, die folgenden 6 Stufen zu beachten:
- Identifizierung und Dokumentation der Drittstaatentransfers (Sitz oder Verarbeitungsort von Dienstleistern und auch Subdienstleistern außerhalb der EU/des EWR)
- Identifizierung der für den Transfer genutzten Instrumente/geeigneten Garantien, insbes.:
- Angemessenheitsbeschlüsse (dann keine weiteren Anforderungen),
- Standardvertragsklauseln,
- Binding Corporate Rules,
- EU-US Privacy Shield allein stellt einen klaren Verstoß dar.
- Prüfung der Rechtslage im Empfängerland (insb. ob rechtliche oder andere Gegebenheiten des Empfängerlandes an einem angemessenen Datenschutzniveau zweifeln lassen. Der EDSA konkretisiert auch diesbezüglich das Prüfprogramm. Sofern Dienstleister in anderen Drittstaaten als den USA eingesetzt werden, ist diese Konstellation ebenfalls zu prüfen.)
- Identifizierung zusätzlicher Maßnahmen für einen sicheren Datentransfer, wenn Zweifel an angemessenem Datenschutzniveau nach Stufe 3:
- Technische Maßnahmen (insb. Voll-Verschlüsselung) sind in aller Regel erforderlich,
- Ergänzend: organisatorische und vertragliche Maßnahmen zum Schutz gegen überbordende Zugriffe durch Sicherheitsbehörden.
- Nunmehr Prüfung, ob und für welche Konstellationen technische Zusatzmaßnahmen in Betracht kommen:
- Voll-Verschlüsselung (Ende-zu-Ende) möglich? Nicht bei: Cloud, SaaS, Virtuellen Maschinen
- Effektive Pseudonymisierung möglich?
- Anonymisierung möglich?
- Zusätzliche vertragliche/organisatorische Maßnahmen möglich? (Was wurde ggf. vom Dienstleister angeboten? Ggf. weitere Kommunikation mit Dienstleister)
- Dokumentation geprüfter Maßnahmen/europäischer Alternativen und der Kommunikation mit dem Dienstleister zu dem Umgang mit der Schrems II-Entscheidung
- Entscheidung der Geschäftsführung zum weiteren Vorgehen (operativ zwingende Dienstleister sind zu priorisieren)
- Sofern technische Lösungen tatsächlich möglich: Sicherstellung der Umsetzung der getroffenen Maßnahmen
- Regelmäßige Überprüfung anhand dieser Kriterien.
Sind womöglich die angekündigten neuen Standardvertragsklauseln ein Mittel zur Lösung des Problems?
Eine Lösung des Problems wird leider nicht durch die neuen Standardvertragsklauseln geschaffen werden können.
Die Europäische Kommission hat zwar nunmehr einen Entwurf neuer Standardvertragsklauseln veröffentlicht, die sich derzeit noch in Konsultation befinden und wohl kurzfristig verabschiedet werden.
Diese werden jedoch nach wie vor nur zusätzliche vertragliche Maßnahmen darstellen und (allein) kein ausreichendes Schutzniveau bieten können. Diese Änderung zwingt zudem aller Voraussicht nach alle EU-Unternehmen, im nächsten Jahr die neuen Standardvertragsklauseln mit den eigenen Dienstleistern abzuschließen.
Fazit und Ausblick
Nach dem bisher Gesagtem ist offensichtlich, dass die Abgabe einer Empfehlung nicht gerade einfach ist. Wo jedoch ausreichende technische Maßnahmen nicht umgesetzt werden können, bietet, unter Berücksichtigung der bisherigen Situation, nur der Wechsel zu rein europäischen Dienstleistern eine vollständige Sicherheit. Einige US-Dienstleister bieten mittlerweile die Möglichkeit, den Vertrag mit der europäischen Tochterfirma zu schließen und sichern eine Datenhaltung ausschließlich in europäischen Rechenzentren zu. Sollte es in der Folge daher tatsächlich nicht zu einer Datenverarbeitung durch die US-Gesellschaft kommen, so kann diese Konstellation Ausgangspunkt für eine vertretbare Lösung sein. Sofern jedoch weiterhin tatsächliche Zugriffsmöglichkeiten des US-Unternehmens bestehen, verbleibt stets ein Anwendungsrisiko. Falls im Einzelfall ein Vertragsschluss mit einer europäischen (Tochter-)Gesellschaft möglich ist, sollten Sie diese Konstellation konkret bei sich im Unternehmen mit den Verantwortlichen besprechen, um die verbleibenden Risiken bewerten zu können.
Letztlich werden die Datenübermittlungen in Drittländer im Jahr 2021 eine herausgehobene Stellung einnehmen, sodass nur empfohlen werden kann, die weiteren Entwicklungen nicht ohne eingehende Beschäftigung mit der Thematik abzuwarten.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern