20.11.2020
Empfehlungen 01/2020 und 02/2020 des Europäischen Datenschutzausschusses
In seinem folgenreichen Schrems-II-Urteil (vgl. hier ) hatte der EuGH die grundsätzliche Gültigkeit der Standardvertragsklauseln bestätigt. Er hatte jedoch darauf hingewiesen, dass der Abschluss von Standardvertragsklauseln, die staatliche Behörden im Drittland naturgemäß nicht binden können, nicht ausreicht, wenn das Recht des Drittlands die Effektivität des durch die Vereinbarung der Standardvertragsklauseln vermittelten Schutzes personenbezogener Daten gefährdet. In diesem Fall sind zusätzliche Maßnahmen zu treffen, so der EuGH. Welche das sind, hatte das Gericht jedoch offen gelassen.
Zwei am 10. November 2020 veröffentlichte Empfehlungen des Europäischen Datenschutzausschusses (EDSA) („Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ und „Recommendations 02/2020 on the European Essential Guarantees for surveillance measures“) sollen Unternehmen (Datenexporteure) unterstützen, die Rechtmäßigkeit ihrer Datenübermittlungen in Drittländer zu bewerten; es werden Hinweise gegeben, wie mit Überwachungsmaßnahmen in Drittländern umzugehen ist und es werden Vorschläge zur Identifizierung von zusätzlichen Maßnahmen unterbreitet, die neben dem Abschluss der Standardvertragsklauseln getroffen werden müssen. Dazu schlägt der EDSA eine 6-stufige Prüfung vor.
Schritt 1: Identifizierung der eigenen Datentransfers in Drittstaaten
Datenexporteure müssen die von ihnen vorgenommenen Übermittlungen personenbezogener Daten in Drittländer kennen.
Dies klingt zwar wie eine Selbstverständlichkeit, jedoch zeigt die Praxis, dass viele Unternehmen keinen vollständigen Überblick über die eigenen Datenverarbeitungstätigkeiten haben. Unternehmen, die die Pflicht zur Führung von Verarbeitungsverzeichnissen erfüllen, haben es hingegen leichter, da sich bereits aus den Verarbeitungsverzeichnissen ergibt, ob Übermittlungen an Drittländer erfolgen (vgl. Art. 30 Abs. 1 lit. e DSGVO). Auch aus den eigenen Datenschutzhinweisen können sich Hinweise auf Drittlandtransfers ergeben (Art. 13 Abs. 1 lit. f, Art. 14 I lit. f DSGVO). Zu beachten ist, dass auch Datenübermittlungen europäischer Auftragsverarbeiter an Unterauftragnehmer als Datentransfer in Drittländer zu berücksichtigen sind, dies kann z.B. im Rahmen der Nutzung von Cloud-Leistungen erfolgen, wenn das Rechenzentrum selbst in der EU belegen ist und ein Zugriff der US-Mutter (etwa zu Supportzwecken) erfolgt.
Schritt 2: Prüfung der eingesetzten Übermittlungsmechanismen
Kommt eine Berufung auf eine der in Art. 49 DSGVO geregelten Ausnahmen (zum Beispiel eine Einwilligung) nicht in Betracht, müssen Datenexporteure prüfen, auf Grundlage welcher der in Art. 46 DSGVO genannten Transfermechanismen (z.B. Angemessenheitsbeschlüsse, Binding Corporate Rules (BCR) oder Standardvertragsklauseln) die von ihnen identifizierten Übermittlungen von personenbezogenen Daten in Drittländer erfolgen und ob die eingesetzten Transfermechanismen weiterhin gültig sind.
Schritt 3: Prüfung des Rechts des Drittlands zur Bewertung der Wirksamkeit des eingesetzten Transfermechanismus
Im dritten Schritt muss geprüft werden, ob der eingesetzte Transfermechanismus in der Praxis einen ausreichenden Schutz bietet.
Datenexporteure sind aufgefordert, gegebenenfalls mithilfe des Datenimporteurs, sorgfältig zu prüfen, ob das Recht des Drittlands oder dort bestehende Praktiken die Wirksamkeit des eingesetzten Transfermechanismus zur Herstellung eines angemessenen Datenschutzniveaus im Drittland gefährden.
EuGH und EDSA erwarten, dass Datenexporteure eine umfassende Rechtmäßigkeitsprüfung vornehmen, die sich an den in Art. 45 Abs. 2 DSGVO genannten Elementen orientiert (EuGH, Urt.v. 16. Juli 2020 – Schrems-II, Rn. 105) und die daher letztlich der Prüfung des angemessenen Schutzniveaus in einem Drittland durch die Kommission vor Erlass eines Angemessenheitsbeschlusses entspricht.
Vorrangig sei zu prüfen, inwiefern (Überwachungs-)Gesetzgebung zum Zugriff von Behörden (zum Beispiel Geheimdiensten, Strafverfolgungsbehörden, Aufsichtsbehörden) auf personenbezogene Daten besteht.
Anforderungen an Überwachungsgesetzgebung- Europäische Garantien
Der EDSA sieht vor, dass im Hinblick auf derartige gesetzliche Zugriffsrechte staatlicher Behörden geprüft werden muss, ob diese Gesetzgebung die Anforderungen der „European Essential Guarantees“ (Garantien) erfüllt, die er in seiner Empfehlung 02/2020 näher beschreibt. Nur wenn dies der Fall ist, kann die Gesetzgebung zu den Zugriffsrechten staatlicher Behörden als hinnehmbar akzeptiert werden, anderenfalls besteht im Drittland kein im Wesentliches gleiches Datenschutzniveau und die Datenübermittlung muss unterbleiben.
Eine Überwachungsgesetzgebung muss danach folgende Anforderungen erfüllen:
Garantie A: Die darin beschriebene Verarbeitung muss auf klaren, präzisen und zugänglichen gesetzlichen Regeln basieren.
Garantie B: Die zur Verfolgung legitimer Zwecke erfolgende Verarbeitung muss notwendig und verhältnismäßig sein.
Garantie C: Ein unabhängiger Überwachungsmechanismus muss bestehen.
Garantie D: Für betroffene Personen muss ein effektiver Rechtsschutz bestehen.
Dies ist beispielsweise im Hinblick auf § 702 des US- amerikanischen Foreign Intelligence Surveillance Amendment Act (FISA) nicht der Fall, da dieser unverhältnismäßig in die Grundfreiheiten der betroffenen Person eingreift; aus diesem Grund kann ein Datentransfer an einen Datenimporteur, der dieser Gesetzgebung unterfällt, nur erfolgen, wenn zusätzliche technische Maßnahmen getroffen werden, die einen Zugriff der US-Behörden auf die übertragenen Daten unmöglich oder ineffektiv machen.
Der EDSA schlägt die Aufnahme vertraglicher Regelungen vor, nach denen sich der Datenimporteur etwa verpflichtet, die auf ihn anwendbaren Gesetze zu benennen, aufgrund derer ein Zugriff durch staatliche Behörden auf die Daten erfolgen könnte, und mangels solcher Gesetze dem Datenexporteur Informationen und Statistiken zum Zugriff staatlicher Behörden auf personenbezogene Daten in ähnlichen Verarbeitungssituationen zur Verfügung zu stellen. Auch könnte der Datenimporteur verpflichtet werden, zu bestätigen, dass die von ihm genutzte Software keine Backdoors enthält, die einen Zugriff durch nationale staatliche Behörden auf die Daten zulassen und dass er nicht verpflichtet ist, den Schlüssel (encryption key) zu den verschlüsselten Daten, den er gegebenenfalls besitzt, an staatliche Behörden zu übergeben.
Der EDSA weist darauf hin, dass im Rahmen der Prüfung die Einzelheiten des konkreten Datentransfers zu beachten sind, etwa
weil kontextspezifische nationale Regelungen im Drittland bestehen können.
Ferner ist in der Prüfung zu berücksichtigen, ob es aufgrund von Präzedenzfällen, Gesetzgebung oder sonst bekannten Praktiken wahrscheinlich erscheint, dass staatliche Behörden versuchen werden, Zugriff auf die Daten mit oder ohne Wissen des Datenimporteur zu erhalten oder Daten sogar abgefangen werden.
Schritt 4: Identifikation und Implementierung zusätzlicher Maßnahmen
Gelangt die vorgenommene Prüfung zu dem Ergebnis, dass das Rechtssystem des Drittlands die Wirksamkeit des eingesetzten Transfermechanismus gefährdet, so sind Datenexporteure verpflichtet, technisch-organisatorische Maßnahmen zu identifizieren und zu implementieren, die geeignet sind, einen Ausgleich zu schaffen und ein angemessenes Schutzniveau herzustellen.
Eine Kombination von verschiedenen Maßnahmen kann erforderlich sein. Der EDSA weist darauf hin, dass allein vertragliche oder organisatorische Maßnahmen nicht dazu geeignet sein werden, etwa einen Zugriff durch staatliche Behörden im Drittland zu verhindern. In diesem Fall kommen ausschließlich technische Maßnahmen (zum Beispiel Verschlüsselung) infrage, die einen Zugriff durch staatliche Behörden (zum Beispiel zu Überwachungszwecken) abwehren oder ineffektiv machen sollen. Im Anhang 2 nennt der EDSA am Beispiel von Use Cases mögliche Maßnahmen.
Ein Use Case betrifft die Datenspeicherung für Back-up Zwecke, die keinen Zugriff auf Klardaten erfordert. In diesem Fall kann durch eine sichere Verschlüsselung ein Zugriff von staatlichen Behörden auf die Daten verhindert werden. Es ist sicherzustellen, dass nur der Datenexporteur über den Schlüssel verfügt. Ein anderer Use Case betrifft die Datenverarbeitung für Forschungszwecke. Hier etwa kann ein Zugriff staatlicher Behörden durch die Übermittlung ausschließlich pseudonymisierter Daten verhindert werden.
Ist jedoch erforderlich, dass der Datenimporteur (etwa ein Cloud-Diensteanbieter) Zugriff auf die Echtdaten/Klardaten nehmen muss, um seine vertraglichen Pflichten erfüllen zu können und bestehen Zugriffsrechte von staatlichen Behörden, die nicht mehr als notwendig und verhältnismäßig betrachtet werden können, handelt es sich nach dem EDSA um ein Szenario, in dem keine effektiven zusätzlichen Maßnahmen gefunden werden können. Entsprechendes gilt für den Zugriff in einer Unternehmensgruppe, wenn ein Gruppenunternehmen in einem Land mit nicht angemessenem Datenschutzniveau Zugriff auf personenbezogene Daten im Klartext erhalten soll.
Sollten keine geeigneten zusätzlichen Maßnahmen ersichtlich sein, die die Gefährdung der Schutzwirkung des eingesetzten Transfermechanismus ausgleichen, so müssen Datenexporteure von dem Datenexport absehen.
Schritt 5: prozessuale Schritte
Die zu treffenden prozessualen Schritte hängen davon ab, welcher der in Art. 46 DSGVO genutzten Transfermechanismen genutzt wird.
Standardvertragsklauseln etwa dürfen ergänzt werden, solange die Ergänzung nicht direkt oder indirekt den Standardvertragsklauseln widerspricht. Die Ergänzung von widersprechenden Regeln führt dazu, dass die zuständige Aufsichtsbehörde die geänderten Klauseln genehmigen muss (Art. 46 Abs. 3 lit. a DSGVO).
Zu Recht weist der EDSA darauf hin, dass das Schrems-II- Urteil auch für BCR gilt; der EDSA kündigt an, zur Behandlung von BCR in Kürze Stellung zu beziehen.
Schritt 6: kontinuierliche Evaluierung des Schutzniveaus der übermittelten Daten
Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfordert es, dass der Datenexporteur kontinuierlich das im Drittland bestehende Datenschutzniveau beobachtet und insbesondere Entwicklungen, die den Schutz der übermittelten personenbezogenen Daten beeinträchtigen können, identifiziert. Es müssen ausreichende Mechanismen eingeführt werden, um sicherzustellen, dass der Datentransfer unverzüglich ausgesetzt oder beendet werden kann, wenn der Datenimporteur seine Verpflichtungen aus dem eingesetzten Transfermechanismus verletzt oder zusätzlich getroffene Maßnahmen im Drittland nicht mehr länger effektiv sind.
Der EDSA stellt – dem Schrems-II Urteil folgend – hohe Anforderungen an die von Unternehmen durchzuführende Prüfung der Rechtmäßigkeit ihrer Datentransfers in Drittländer. Für viele Unternehmen wird diese Prüfung kaum leistbar sein.
Gleichzeitig dürften Prüfungen der Aufsichtsbehörden immer wahrscheinlich werden, da seit dem Schrems-II Urteil bereits vier Monate verstrichen sind und die Aufsichtsbehörden inzwischen ihre Rechtsauffassungen zur Unzulässigkeit zahlreicher internationaler Datentransfers kundgetan haben. Insbesondere Unternehmen, die in diesem Kontext keinerlei Aktivitäten dokumentiert haben, drohen hohe Geldbußen.
Aus diesem Grund müssen Unternehmen unverzüglich damit beginnen, ihre internationalen Datentransfers zu identifizieren und ihre Zulässigkeit (erneut) zu prüfen. Technisch-organisatorische Maßnahmen sollten auf die EDSA-Empfehlungen ausgerichtet werden, insbesondere muss geprüft werden, ob ein Zugriff auf unverschlüsselte Daten zwingend erforderlich ist.
Abhängig von der Risikobereitschaft des Unternehmens muss im Einzelfall unter Abwägung aller Umstände entschieden werden, ob Datenübermittlungen weiterhin erfolgen sollen. Wir unterstützen Sie hierbei gern.
Dr. Christian Rabe
Senior Associate
Hamburg
christian.rabe@luther-lawfirm.com
+49 40 18067 14946