13.11.2020 | IT-Recht und Datenschutz
Wer derzeit Daten in Länder außerhalb der EU/des EWR exportieren möchte, muss mit den Folgen des EuGH Urteils in Sachen Schrems II kämpfen. Wie den meisten Lesern bekannt sein dürfte, hat der Gerichtshof den Privacy Shield – der den Datentransfer zwischen der EU und den USA absicherte – für unwirksam erklärt. Ein Transfer auf Basis der Standarddatenschutzklauseln (sog. Standard Contractual Clauses, kurz SCC) bleibt auch nach dem Urteil möglich. Der EuGH stellte jedoch insbesondere in Bezug auf die USA fest, dass der Abschluss dieses Vertrages zwischen Datenexporteur und -importeur regelmäßig nicht ausreichend sei, um das europäische Datenschutzniveau sicherzustellen. Vielmehr bedarf es nach dem EuGH „zusätzlicher Schutzmaßnahmen“, um zu verhindern, dass v.a. Auslandsgeheimdienste die Daten beim Importeur „anzapfen“.
Der EuGH ließ in seiner Entscheidung jedoch offen, wie diese „zusätzlichen Schutzmaßnahmen“ aussehen können. Auch der Europäische Datenschutzausschuss (EDSA) wagte sich in seiner ersten Stellungnahme zum Urteil noch nicht aus der Deckung und wiederholte lediglich den Auftrag des EuGH, zusätzliche Maßnahmen zu implementieren (s. Frage 10 der FAQ des EDSA). Einige Aufsichtsbehörden, allen voran der Baden-Württembergische Datenschutzbeauftragte, gaben erste Handreichungen für Verantwortliche heraus. Wirklich hilfreich waren diese in der Praxis jedoch aus zwei Gründen nicht:
- Insbesondere kleine und mittlere Unternehmen (KMUs) haben nicht die Verhandlungskraft, Änderungen oder Ergänzungen an den SCC gegenüber den regelmäßig größeren Vertragspartnern – vor allem in den USA – durchzusetzen (unabhängig von der Frage der Wirksamkeit und Effektivität dieser Änderungen).
- Technische Maßnahmen wie Verschlüsselung und Pseudonymisierung funktionieren in der Regel nicht, wenn man Dienstleister einsetzen will, die mit den Daten Rechenoperationen durchführen sollen (wie SaaS-Dienste) und mehr sind als bloß ein Storage-Hoster. Genau solche Dienstleister stellen aber die in der Praxis relevanten Datentransfers dar, denn viele der technischen Lösungen, insbesondere von US-Diensten, werden in Europa entweder gar nicht oder nicht in der selben Qualität angeboten.
In der Praxis versuchten deshalb viele, sich mit dem Abschluss der SCC und Transfer Impact Assessments (Risikoanalysen und Folgenabschätzungen, bezogen auf den jeweiligen Transfer) zu helfen. Wo möglich wurden zusätzliche technische und organisatorische Maßnahmen ergriffen. Alles war aber verbunden mit der Unsicherheit, ob Behörden und Gerichte ein ausreichendes Bemühen um das Datenschutzniveau annehmen würden.
Vor diesem Hintergrund haben viele zum EDSA und zur EU-Kommission geblickt, in der Hoffnung, konkrete Hinweise und Unterstützung zu erhalten. Beide haben in dieser Woche geliefert, wobei das Ergebnis nach der ersten Analyse für die meisten Verantwortlichen recht ernüchternd sein dürfte.
Empfehlungen des EDSA zu zusätzlichen Schutzmaßnahmen bei Drittlandstransfers
Der EDSA setzt sich in seiner Stellungnahme „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ vom 10. November in einem recht hohen Detailgrad mit den aktuellen Problemen auseinander. Das Papier, das aus allgemeinen Hinweisen (S. 1-20) und einem Anhang mit Use Cases (S. 21-37) besteht, bringt dabei letztlich leider wenig Neues hervor. Es handelt sich vielmehr um eine umfangreiche Zusammenstellung der bereits von den verschiedenen europäischen Aufsichtsbehörden geäußerten Vorschläge.
Kommen wir zunächst zu den erfreulichen Aussagen des Papiers: Der EDSA stellt fest, dass zusätzliche vertragliche Maßnahmen, die neben den SCC vereinbart werden, grundsätzlich keiner behördlichen Genehmigung bedürfen. Dieser Punkt war bis dato nicht ganz klar. Sobald aber die ergänzenden vertraglichen Regelungen den SCC inhaltlich widersprechen, oder gar eine Modifikation der Klauseln der SCC vorgenommen wird, ist eine behördliche Genehmigung einzuholen. Weiterhin identifiziert der EDSA in Anhang B fünf Use Cases, in denen zusätzliche Schutzmaßnahmen denkbar sind (1. Datenspeicherung für Backup und andere Zwecke, die keinen Zugriff auf Daten im Klartext erfordern; 2. Übertragung pseudonymisierter Daten; 3. Verschlüsselte Daten, die lediglich Drittländer passieren; 4. Geschützte Empfänger; 5. Geteilte oder Mehrparteien-Verarbeitung). Hier liefert der EDSA dann auch hilfreiche konkrete Schritte, z.B. zur Art der Verschlüsselung.
Leider enthält das Papier aber auch mehrere problematische Punkte, allen voran:
- Der EDSA stellt in Anhang B, Use Case 6 klar, dass er keine Lösung für den Transfer unverschlüsselter Daten an Importeure sieht, die mit diesen Daten Rechenoperationen durchführen sollen. Wie oben bereits beschrieben, ist das aber einer der für die Praxis relevantesten Fälle. Durch die Feststellung des EDSA, dass dieser Transfer quasi nicht rechtskonform durchgeführt werden kann, tritt eher eine Verschlimmbesserung der Situation ein, denn Verantwortliche haben dadurch in der Argumentation deutlich weniger Spielraum.
- Gleiches gilt für die Situation in Konzernen, bei denen internationale Zugriffsberechtigungen bestehen. Auch hier wird den Verantwortlichen das Leben schwerer gemacht.
- Der EDSA deutet an, dass er die von der Praxis im Rahmen der Transfer-Impact-Assessment-Risikobewertung häufig vorgenommene Erwägung, wie wahrscheinlich ein Datenzugriff durch ausländische Behörden im individuellen Fall ist, für nicht überzeugend hält. Das lässt den argumentativen Spielraum ebenfalls schrumpfen.
Alles in allem schafft der EDSA durch sein Papier zwar mehr Klarheit. Wirklich besser macht er die Situation für die meisten Verantwortlichen dadurch aber nicht.
EU-Kommission veröffentlicht Entwurf neuer SCC
Der zweite Hoffnungsschimmer sind die neuen SCC, die die EU-Kommission am 12. November in einer Entwurfsfassung zur öffentlichen Konsultation bereitgestellt hat.
Gleich vorweg lässt sich nach einer ersten Durchsicht sagen, dass die neuen SCC ein maßgebliches Praxisproblem lösen werden: Bislang gab es die Standarddatenschutzklauseln nur für das Verhältnis Verantwortlicher-Auftragsverarbeiter und Verantwortlicher-Verantwortlicher. Dies führte zu erheblichen Problemen bei Unterauftragsverhältnissen. Die neuen SCC sind nun modular aufgebaut und bilden endlich auch das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher ab! Damit kommt die Kommission nach über zwei Jahren DSGVO Ihrem Auftrag aus ErwG 109 S. 1 DSGVO nach. Das wird viele Beteiligte freuen.
Darüber hinaus enthalten die neuen SCC eine ganze Reihe an ergänzenden Klauseln, die weitere vertragliche Schutzmaßnahmen nach der Vorstellung des EDSA darstellen dürften. Insgesamt wird das Korsett sowohl für Datenexporteure als auch -importeure dadurch enger, denn ihnen werden im Vergleich zu den bestehenden SCC umfangreichere Pflichten auferlegt. Diese sind dafür – im Vergleich zu den bestehenden SCC – erfreulich konkret und weniger abstrakt.
So enthält Klausel 3 von SECTION II – OBLIGATIONS OF THE PARTIES nun z.B. eine Regelung zum Umgang mit Regierungsanfragen. Der Importeur muss danach den Exporteur über solche Anfragen benachrichtigen und sich weitestgehend mit Rechtsmitteln wehren. Außerdem muss er regelmäßige Berichte über Behördenanfragen offenlegen.
Gleichzeitig wird sich an der generellen Zulässigkeit von Drittlandstransfers auch unter Geltung der neuen SCC voraussichtlich nicht viel ändern. Sie sind nicht das von vielen erhoffte Allheilmittel und stellen kein Privacy Shield 2.0 dar. Es handelt sich bei Ihnen nach wie vor allein um vertragliche Absprachen zwischen zwei Vertragsparteien. An den bestehenden Zugriffsrechten in Drittstaaten werden sie nichts ändern.
Fazit: Mehr Klarheit, aber nicht (viel) mehr Sicherheit
Die Handreichungen des EDSA und die neuen SCC sind in jedem Fall begrüßenswert. Das Bemühen der Institutionen um eine Unterstützung der europäischen Verantwortlichen ist spürbar. Vor allem die neuen SCC für das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter sind ein guter Schritt vorwärts.
Die durch die Schrems II-Entscheidung hervorgerufenen Probleme lösen beide Ansätze in den für die Praxis relevantesten Fällen allerdings voraussichtlich nicht. Es bleibt dabei, dass eine Einzelfallbetrachtung von den Verantwortlichen vorgenommen werden muss und im Zweifel Transfers unterbunden werden müssen, oder eben ein Rechtsrisiko in Kauf zu nehmen ist. Schrems II bleibt damit ein politisches Problem, das durch einzelne Verantwortliche kaum befriedigend aufgelöst werden kann.