17. Dezember 2020

Standardvertragsklauseln und Schrems ll-Update

Der Europäische Gerichtshof (EuGH) kippte im Urteil „Schrems II“ (C-311/18) im Juli diesen Jahres den EU-US Privacy Shield, die wichtigste Grundlage für Datenübermittlungen in die USA. Viele Unternehmen müssen nun auf sogenannte Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) zurückgreifen. Anders als der Privacy Shield, stellen diese aber keine automatische Legitimation für Datentransfers in die USA oder andere Staaten dar. Ihre Nutzung ist an umfangreiche Anforderungen geknüpft, deren Erfüllung Unternehmen eigenständig sicherstellen müssen. Nun hat hierzu schließlich der Europäische Datenschutzausschuss (EDSA; engl.: European Data Protection Board, EDPB) koordinierte Empfehlungen veröffentlicht. Dieser Beitrag zeigt auf, wie Unternehmen mit der neuen Entwicklung im Rahmen des Drittlandstransfers, unter Berücksichtigung der Empfehlungen des EDSA, umgehen können und welche Schritte zu empfehlen sind.

Wie war die bisherige die Entwicklung in Sachen Drittlandstranfer

Die Begründung des bereits erwähnten EuGH-Urteils lässt sich schnell auf den Punkt bringen: In den USA gebe es kein ausreichendes Datenschutzniveau, das dem der EU vergleichbar wäre. Das sei vor allem auf verschiedene Gesetze in den USA zurückzuführen, die den dortigen Behörden zu Zwecken der nationalen Sicherheit oder Verteidigung weitreichender Zugriffsbefugnisse auf Daten einräumen. Auch in diesen Fällen findet die DSGVO auf die betreffenden Übermittlungen personenbezogener Daten Anwendung. Dieser Umstand hat allerdings nicht nur Auswirkungen auf den Privacy Shield, der dementsprechend für ungültig erklärt wurde, sondern er betrifft grundsätzlich alle Datenübermittlungen in die USA sowie andere Staaten außerhalb des EU- und EWR-Bereichs. Denn das Instrument der Datenschutzklauseln, das der EuGH grundsätzlich unangetastet ließ, ändert für sich genommen nichts an der datenschutzrechtlichen Lage in den USA. Daher reichen die SCC, die von der EU-Kommission auf der Grundlage von Art. 46 Abs. 2 lit. c) DSGVO erlassen worden sind, allein nicht aus. Unternehmen müssen für jeden Einzelfall gesondert und in eigener Verantwortung überprüfen, ob die beabsichtigten Datenübermittlungen den datenschutzrechtlichen Anforderungen genügen und somit zulässig sind. Da sich Unternehmen nunmehr auf keinen Mechanismus wie im Rahmen des Privacy Shields verlassen können, entsteht eine hohe Rechtsunsicherheit.

An diesen Ausgangspunkt knüpft nun die Empfehlung des EDSA an.

Demnach müssen im Falle eines unzureichenden Datenschutzniveaus in den Drittstaaten über die SCC hinaus weitere Maßnahmen getroffen werden. Speziell für die USA muss mit Blick auf die dortige Überwachungs-Gesetzgebung FISA und die diesbezüglichen Aussagen des EuGH davon ausgegangen werden, dass kein angemessenes Datenschutzniveau besteht.

Der EDSA ist daher der Ansicht, dass eine Übermittlung personenbezogener Daten allein auf Basis von Standardvertragsklauseln (SCC) in Drittstaaten in vielen Fällen nicht mehr möglich ist, sodass zusätzliche Sicherungsmaßnahmen erforderlich sind. 

Dabei sind nach Empfehlung des EDSA allein technische Maßnahmen geeignet, den Zugriff durch Dritte (Sicherheitsbehörden) auf die übermittelten Daten zu verhindern. Organisatorische und vertragliche Zusicherungen eines Dienstleisters allein genügen hingegen nicht. Die Mittel an ergänzenden technischen Maßnahmen, die im Zusammenhang mit den SCC einen rechtskonformen Transfer gestatten können, ist dabei überschaubar:

  • In Betracht kommt eine Ende-zu-Ende-Verschlüsselung der Daten, die keinerlei Verarbeitung der Daten im Klartext im Drittland zulässt. Dies kommt – auch nach den klaren Worten des EDSA – in aller Regel z.B. nur bei Lagerung eines Backups in Betracht. Das Papier weist ausdrücklich darauf hin, dass lediglich risikomindernde Maßnahmen, wie eine Transportverschlüsselung und eine Speicherung „at rest“ (auch zusammengenommen)nicht ausreichend sind, wenn weiterhin Daten im Drittland, und dies auch nur vorübergehend, im Klartext verarbeitet werden. Nach Ansicht des EDSA können daher Cloud- und SaaS-Produkte nicht – ohne weitere Sicherungsmaßnahmen – rechtskonform in Drittstaaten eingesetzt werden, wenn eine dortige Klartextverarbeitung gegeben ist.
  • Ein verbleibender Ausweg kann eine effektive Pseudonymisierung der Daten vor der Übertragung sein, sodass die Verarbeitung im Drittland lediglich die pseudonymisierten Daten umfasst und es weder Dienstleistern noch Sicherheitsbehörden möglich ist, die betroffenen Personen identifizieren zu können. In den Konstellationen, in denen eine derartige Anpassung der eingesetzten Services in Betracht kommt, sollte die Anwendbarkeit dieser Maßnahme nunmehr konkret geprüft werden.
  • Auch eine Aufteilung bzw. Mehr-Parteien-Verarbeitung der Daten kann in einigen Fällen denkbar sein, so dass Teile der Verarbeitung jeweils von einzelnen Dienstleistern vorgenommen werden und nicht einer allein eine Identifizierung der betroffenen Personen vornehmen kann.

Welche Handlungsschritte ergeben sich nun hieraus?

Zur Einschätzung der nächsten Handlungsschritte, kann auf den 6-Stufenplan des EDSA zur Evaluierung und Behandlung von grenzüberschreitenden Datentransfers hingewiesen werden. Demnach sind zur Festlegung der nächsten Handlungsschritte, die folgenden 6 Stufen zu beachten:

  1. Identifizierung und Dokumentation der Drittstaatentransfers (Sitz oder Verarbeitungsort von Dienstleistern und auch Subdienstleistern außerhalb der EU/des EWR)
  2. Identifizierung der für den Transfer genutzten Instrumente/geeigneten Garantien, insbes.:
    1. Angemessenheitsbeschlüsse (dann keine weiteren Anforderungen),
    2. Standardvertragsklauseln,
    3. Binding Corporate Rules,
    4. EU-US Privacy Shield allein stellt einen klaren Verstoß dar.
  3. Prüfung der Rechtslage im Empfängerland (insb. ob rechtliche oder andere Gegebenheiten des Empfängerlandes an einem angemessenen Datenschutzniveau zweifeln lassen. Der EDSA konkretisiert auch diesbezüglich das Prüfprogramm. Sofern Dienstleister in anderen Drittstaaten als den USA eingesetzt werden, ist diese Konstellation ebenfalls zu prüfen.)
  4. Identifizierung zusätzlicher Maßnahmen für einen sicheren Datentransfer, wenn Zweifel an angemessenem Datenschutzniveau nach Stufe 3:
    1. Technische Maßnahmen (insb. Voll-Verschlüsselung) sind in aller Regel erforderlich,
    2. Ergänzend: organisatorische und vertragliche Maßnahmen zum Schutz gegen überbordende Zugriffe durch Sicherheitsbehörden.
    3. Nunmehr Prüfung, ob und für welche Konstellationen technische Zusatzmaßnahmen in Betracht kommen:
      • Voll-Verschlüsselung (Ende-zu-Ende) möglich? Nicht bei: Cloud, SaaS, Virtuellen Maschinen
      • Effektive Pseudonymisierung möglich?
      • Anonymisierung möglich?
    4. Zusätzliche vertragliche/organisatorische Maßnahmen möglich? (Was wurde ggf. vom Dienstleister angeboten? Ggf. weitere Kommunikation mit Dienstleister)
    5. Dokumentation geprüfter Maßnahmen/europäischer Alternativen und der Kommunikation mit dem Dienstleister zu dem Umgang mit der Schrems II-Entscheidung
    6. Entscheidung der Geschäftsführung zum weiteren Vorgehen (operativ zwingende Dienstleister sind zu priorisieren)
  1. Sofern technische Lösungen tatsächlich möglich: Sicherstellung der Umsetzung der getroffenen Maßnahmen
  2. Regelmäßige Überprüfung anhand dieser Kriterien.

Sind womöglich die angekündigten neuen Standardvertragsklauseln ein Mittel zur Lösung des Problems?

Eine Lösung des Problems wird leider nicht durch die neuen Standardvertragsklauseln geschaffen werden können.

Die Europäische Kommission hat zwar nunmehr einen Entwurf neuer Standardvertragsklauseln veröffentlicht, die sich derzeit noch in Konsultation befinden und wohl kurzfristig verabschiedet werden.

Diese werden jedoch nach wie vor nur zusätzliche vertragliche Maßnahmen darstellen und (allein) kein ausreichendes Schutzniveau bieten können. Diese Änderung zwingt zudem aller Voraussicht nach alle EU-Unternehmen, im nächsten Jahr die neuen Standardvertragsklauseln mit den eigenen Dienstleistern abzuschließen.

Fazit und Ausblick

Nach dem bisher Gesagtem ist offensichtlich, dass die Abgabe einer Empfehlung nicht gerade einfach ist. Wo jedoch ausreichende technische Maßnahmen nicht umgesetzt werden können, bietet, unter Berücksichtigung der bisherigen Situation, nur der Wechsel zu rein europäischen Dienstleistern eine vollständige Sicherheit. Einige US-Dienstleister bieten mittlerweile die Möglichkeit, den Vertrag mit der europäischen Tochterfirma zu schließen und sichern eine Datenhaltung ausschließlich in europäischen Rechenzentren zu. Sollte es in der Folge daher tatsächlich nicht zu einer Datenverarbeitung durch die US-Gesellschaft kommen, so kann diese Konstellation Ausgangspunkt für eine vertretbare Lösung sein. Sofern jedoch weiterhin tatsächliche Zugriffsmöglichkeiten des US-Unternehmens bestehen, verbleibt stets ein Anwendungsrisiko. Falls im Einzelfall ein Vertragsschluss mit einer europäischen (Tochter-)Gesellschaft möglich ist, sollten Sie diese Konstellation konkret bei sich im Unternehmen mit den Verantwortlichen besprechen, um die verbleibenden Risiken bewerten zu können.

Letztlich werden die Datenübermittlungen in Drittländer im Jahr 2021 eine herausgehobene Stellung einnehmen, sodass nur empfohlen werden kann, die weiteren Entwicklungen nicht ohne eingehende Beschäftigung mit der Thematik abzuwarten.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!