Datenübermittlung in Drittländer – neue Standardvertragsklauseln

Das Datenschutzrecht ist so konzipiert, dass Verantwortliche, bevor Sie personenbezogene Daten verarbeiten dürfen, erstmal die Rechtmäßigkeit der Verarbeitung und den Schutz der Daten sicherstellen müssen. Als Folge von diesem Grundsatz sind Verantwortliche gezwungen, auch das Datenschutzniveau bei Dritten, denen sie Daten übermitteln wollen, zu prüfen. Innereuropäisch gelingt das noch recht einfach, da für alle Beteiligten mit der Datenschutz-Grundverordnung (DSGVO) ein einheitliches gesetzliches Rahmenwerk besteht, das den Betroffenen, deren Daten verarbeitet werden, umfassende Schutzmechanismen bietet. Die Durchsetzungskraft dieses Regelwerks endet allerdings weitestgehend an den Grenzen der Europäischen Union, da ausländische Unternehmen erstmal nicht der Hoheit der hiesigen Staatsmacht unterliegen. Die DSGVO hat verschiedene Instrumente geschaffen, um die Überleitung adäquater Schutzmechanismen auch ins internationale Ausland zu bewerkstelligen.

Eine Möglichkeit, den Datenschutz auch im Drittland, also einem Land, das nicht der Europäischen DSGVO unterliegt, sicherzustellen, ist es, das Datenschutzniveau des Empfängerlandes erstmal grundlegend zu prüfen und begutachten. Da dies ein zentrales Thema ist, das viele Unternehmen gleichermaßen betrifft, sieht die DSGVO die Möglichkeit vor, dass die Europäische Kommission stellvertretend für alle den Datenschutz im Empfängerland überprüft und die Angemessenheit des Datenschutzniveaus des Drittlandes durch einen Beschluss feststellen kann. Auf diesen sogenannten Angemessenheitsbeschluss dürfen sich Unternehmen dann grundsätzlich verlassen, so dass diese Prüfung nicht mehr durch jedes Unternehmen einzeln durchzuführen ist.

Angemessenheitsbeschluss:

Ausgangslage Amerika – Sturz des Privacy Shields:

Den Angemessenheitsbeschluss für unseren größten Handelspartner, den USA, hatte der Europäische Gerichtshof (EuGH) im vergangenen Jahr für unwirksam erklärt. Die geläufige Bezeichnung „EU-US-Privacy-Shield“ resultiert aus der in diesem Angemessenheitsbeschluss vorgesehenen Voraussetzung, dass sich das amerikanische Unternehmen, dem die Daten übermittelt werden sollen, dem im amerikanischen Rechtsraum bestehenden Regelwerk des Privacy-Shields freiwillig unterwerfen.

Anlass für die Aufhebung dieses Angemessenheitsbeschlusses waren hauptsächlich die überbordenden, schrankenlosen Überwachungsmöglichkeiten amerikanischer Ermittlungsbehörden ohne Rechtsschutzmöglichkeiten für nicht-amerikanische Bürger. Über den Umweg über amerikanische Unternehmen und Dienstleister hat sich der Staat einen Weg geschaffen – jenseits von irgendwelchen internationalen Rechtshilfe- oder Auslieferungsabkommen – massenhaft und anlasslos Daten von Menschen weltweit einzusehen und zu nutzen. Diese Handhabung entspricht nicht dem Europäischen Verständnis von Datenschutz, insbesondere nicht in der Funktion als Beschränkung hoheitlicher Eingriffsbefugnisse zur Wahrung von Bürgerrechten, und war damit auch nicht vereinbar mit den Grundsätzen der DSGVO.

Seither besteht für Europäische Unternehmen ein erhebliches Rechtsrisiko, amerikanische Dienste zu nutzen. Denn Fakt ist auch, ein Vertrag zwischen zwei Parteien ist nicht in der Lage, Ermittlungstätigkeiten amerikanischer Behörden zu unterbinden. Dadurch haben es Europäische Verantwortliche zu vertreten, wenn sie in Kenntnis der Rechtslage dennoch Daten übermitteln und somit die Betroffenen dem Risiko einer willkürlichen Staatsmacht aussetzen. In der praktischen Folge bedeutet dies, dass ein nicht unerhebliches Haftungsrisiko besteht. Betroffene könnten ggf. Schadensersatzansprüche geltend machen, die Aufsichtsbehörden könnten Unterlassungen und Bußgelder aussprechen.

Letztendlich wird es erst dann wieder einen klaren Rechtsrahmen geben, wenn auf politischer Ebene eine Einigung gefunden wird, so dass ein neuer Angemessenheitsbeschluss erlassen werden kann. Gespräche wurden bereits aufgenommen, der Ausgang der Verhandlungen ist ungewiss.

Technische Schutzmaßnahmen:

Bis dahin sind Europäische Verantwortliche gezwungen, zusätzliche Maßnahmen neben dem Abschluss datenschutzrechtlicher Verträge zu ergreifen.

Ausschließen lässt sich der Zugriff für amerikanische Behörden nur dadurch, wenn dem amerikanischen Unternehmen selbst der Zugriff gar nicht erst möglich ist. Dies könnte in der Gestalt gelöst werden, dass nur verschlüsselte Daten auf amerikanischem Boden landen, wobei der Schlüssel zum Entschlüsseln der Daten nur dem Verantwortlichen selber zur Verfügung steht.

Möglich ist dies natürlich nur bei Empfängern, die die betroffenen Personen zur Erfüllung der Zusammenarbeit nicht kennen müssen. Um ein plakatives (wenn auch etwas abwegiges) Beispiel zu nennen: ein externer Kuvertierdienst ist sinnlos, wenn der Dienstleister nicht den konkreten Empfänger auf den Umschlag drucken kann.

Anders sieht es aus bei reinem Speicherplatz in einem Cloud-Dienst. Die enthaltenen Informationen sind für den Cloud-Anbieter irrelevant. Die Dienstleistung besteht in der reinen Bereitstellung von Speicherplatz. Hierfür ist die Kenntnis der Inhalte nicht notwendig. Bei solcherlei Übermittlungen könnten kurzfristig umzusetzende Verschlüsselungs-Lösungen gefunden werden.

In Software-as-a-Service-Umgebungen, also Software, die innerhalb einer Cloud betrieben wird, dürfte die Verschlüsselung einen erheblichen Programmieraufwand nach sich ziehen, da oftmals die komplette Software-Architektur dafür angepasst werden muss. Soll der Schlüssel ausschließlich beim Auftraggeber liegen, muss der Schlüssel irgendwo in der Hardware des Auftraggebers platziert werden und ein Teil der Rechenleistung auf Client-Seite erfolgen. Die meisten Dienste dürften diesbezüglich noch in den Kinderschuhen stecken, wenn solche Lösungen überhaupt praktikabel umsetzbar gefunden werden können.

Auf lange Sicht ist die Trennung von Inhalten beim Host und Schlüsselverwaltung zur Entschlüsselung der Inhalte in der eigenen IT allerdings der sicherste Ansatz, weswegen es sich lohnt, diesen Ansatz weiterzuverfolgen, sei es bei bestehenden Dienstleistungen, sei es bei künftigen.

Vertragliche Schutzmaßnahmen:

  • Gibt es keine europäischen gleichwertigen alternativen Lösungen,
  • kann technisch die Übermittlung personenbezogener Daten nicht unterbunden werden und
  • besteht kein Angemessenheitsbeschluss der Europäischen Kommission,

können Verantwortliche auf vertraglicher Basis ein Datenschutzniveau vereinbaren, das die Daten der Betroffenen bestmöglich schützt. Es liegt in der Natur der Sache, dass ein zwischen zwei Parteien getroffener Vertrag kein staatliches Handeln regulieren kann, so dass der Schutz nie so effektiv sein kann, als wenn sich die Staaten untereinander auf ein verpflichtend einzuhaltendes Datenschutzniveau geeinigt hätten (festgestellt durch einen Angemessenheitsbeschluss), oder technische Maßnahmen den Zugriff von vorneherein unmöglich machen. Vertragliche Maßnahmen entbinden nicht davon, alle anderen Möglichkeiten (Europäische Anbieter oder technische Maßnahmen) nachweislich zu prüfen und gegeneinander abzuwägen.

Als vertragliche Schutzmaßnahme können vertragliche Regelungen aufgesetzt werden, die im Einzelfall von den Aufsichtsbehörden geprüft und genehmigt werden können: verbindliche interne Datenschutzrichtlinien (Art. 47 DSGVO – binding corporate rules).

Für die meisten Sachverhalte ist es allerdings praktikabler auf vorgefertigte, von der Europäischen Kommission vorab genehmigte Standarddatenschutzklauseln zurückzugreifen. Bereits unter der Geltung der Europäischen Datenschutz-Richtlinie (DS-RL), der Vorläufer zur DSGVO, wurden die sogenannten Standardvertragsklauseln für verschiedene Sachverhaltskonstellationen herausgegeben. Diese wurden zwar durch den EuGH grundsätzlich für zulässig erklärt. Gleichwohl stellte das Gericht fest, dass der Abschluss dieser Vertragsklauseln die Verantwortlichen nicht davon entbindet, eine Prüfung des Datenschutzniveaus im Einzelfall vorzunehmen und bei Feststellungen von Mankos zusätzliche Maßnahmen zu ergreifen.

Als Mankos galten bei der Übermittlung nach Amerika die gleichen Vorwürfe hinsichtlich der staatlichen Eingriffsbefugnisse ohne adäquate Rechtsschutzmöglichkeiten für Betroffene wie auch beim Sturz des Angemessenheitsbeschlusses. Letztlich waren Verantwortliche wieder dazu gezwungen, weitere Maßnahmen, technische wie vertragliche, zu prüfen und umzusetzen.

Umsetzung der neuen Standarddatenschutzklauseln:

In dieser misslichen Lage hat die Europäische Kommission neue Standarddatenschutzklauseln erarbeitet und verabschiedet. Diese treten am 27.06.20201 in Kraft.

Durchführungsbeschluss mit Standardvertragsklauseln im Anhang:

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.DEU&toc=OJ%3AL%3A2021%3A199%3ATOC

(Die deutsche und englische Version sind für unsere Kunden auch im myGindat-Portal hinterlegt.)

Die bisherigen Standardvertragsklauseln werden mit Wirkung zum 27.09.2021 aufgehoben und dürfen ab diesem Zeitpunkt nicht mehr für Neuverträge oder neue Tätigkeiten verwendet werden. Bereits abgeschlossene Standardvertragsklauseln können bis zum 27.12.2022 weiter genutzt werden, sofern dadurch gewährleistet ist, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. In aller Regel wird dies bedeuten, dass Sie nach wie vor verpflichtet sein werden, zusätzliche technische oder vertragliche Maßnahmen zu ergreifen. Falls Sie nach dem Urteil bereits Maßnahmen ergriffen haben, die den Datenschutz sicherstellen, können Sie diese Verträge bis dahin weiter nutzen. Sollten Sie nach dem EuGH-Urteil zum Sturz des Privacy Shields noch nicht weiter tätig geworden sein, sollten Sie die neuen Standardvertragsklauseln unverzüglich abschließen, da die Maßgaben des EuGH-Urteils in den neuen Vertragsklauseln bereits berücksichtigt wurden.

Neuerungen in den Standardvertragsklauseln:

Neu ist an den verabschiedeten Standardvertragsklauseln am augenscheinlichsten, dass es nunmehr nur noch ein Vertragswerk gibt, das modular auf alle denkbaren Sachverhaltskonstellationen angewendet werden kann. Folgende Konstellationen können dargestellt werden:

Datenübermittlungen

  • von einem Verantwortlichen an einen anderen eigenständig Verantwortlichen,
  • von einem Verantwortlichen an einen Auftragsverarbeiter (Dienstleister),
  • von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter, oder
  • von einem Auftragsverarbeiter an einen Verantwortlichen im Drittland.

Möglich ist auch der Eintritt in einen bestehenden Vertrag durch eine dritte Partei, z.B. bei Konzernstrukturen.

Inhaltlich sind einige Vorgaben des EuGH Urteils zusätzlich aufgenommen worden.

Verbindlich zu dokumentieren von beiden Parteien ist die Vorab-Prüfung der Rechtmäßigkeit der Rahmenbedingungen der Datenübermittlungen unter Berücksichtigung der folgenden Aspekte:

  • die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
  • die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
  • alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Darüber hinaus wurde eine vertragliche Verpflichtung für den Datenimporteur (also das empfangende Unternehmen im Drittland) aufgenommen, sich quasi stellvertretend für Betroffene gegen hoheitliche Eingriffsmaßnahmen gerichtlich zur Wehr zu setzen, soweit die Maßnahmen nach sorgfältiger Beurteilung durch den Datenimporteur nicht mit völkerrechtlichen Verpflichtungen vereinbar sind. Die bisher bereits üblichen Benachrichtigungspflichten durch den Datenimporteur sind beibehalten worden.

Ausgeweitet hat sich auch die Zuständigkeit europäischer Stellen für die juristische Aufarbeitung. Der Datenimporteur verpflichtet sich stärker als bisher, sich der Europäischen Datenschutzaufsicht und der Europäischen Judikatur zu unterwerfen.

Insbesondere die letzten Punkte dürften schwer zu schlucken sein für amerikanische Dienstleister, bringen diese doch erhebliche praktische Auswirkungen mit sich. Es bleibt abzuwarten, wie sich der Markt weiter entwickeln wird.

Überprüfung durch die Aufsichtsbehörden:

Um diesen Vorgaben zu einer effektiven Durchsetzung zu verhelfen, haben sich mehrere Landesdatenschutz-Behörden zusammengetan und zum 01.06.2021 eine länderübergreifende koordinierte Prüfung internationaler Datentransfers gestartet. Die dafür genutzten Fragebögen können beispielsweise hier nachgelesen werden:

https://datenschutz-hamburg.de/pages/fragebogenaktion/

Die Datenschutzbehörden haben umfassende Ermittlungs- und Abhilfebefugnisse, insbesondere in Art. 58 DSGVO. Stellt die Behörde Verstöße gegen die Datenschutzgrundverordnung fest, kann sie verschiedene Verfügungen aussprechen:

  • Unterlassung der Datenübermittlung
  • Nachbesserung innerhalb einer Frist
  • Bußgelder

Inwiefern die Aufsichtsbehörden von diesen Befugnissen Gebrauch machen werden, ist derzeit nicht bekannt und bleibt abzuwarten. Klar ist allerdings, dass es nicht angeraten ist, die Hände in den Schoß zu legen.

ToDos:

Wir empfehlen zumindest folgende aktuellen ToDos:

  • Prüfen Sie Ihre Verarbeitungsprozesse im Hinblick auf Datenübermittlungen in Drittländer (auch Unterauftragsverarbeiter), insbesondere USA
  • Prüfen Sie mögliche Alternativen und dokumentieren Sie dies, wenn und warum die Alternativen nicht in Betracht kommen.
  • Prüfen Sie mögliche technische Maßnahmen zum Datenschutz und dokumentieren Sie dies. Holen Sie hierzu ggf. die Stellungnahme des Dienstleisters ein.
  • Treten Sie mit Ihrem Geschäftspartner in Kontakt, um die neuen Standardvertragsklauseln abzuschließen
  • Sprechen Sie den Dienstleister konkret auf die aufgeworfenen Fragen des EuGH Urteils an (Cloud Act und FISA) und bitten um Stellungnahme. Ein Musteranschreiben finden unsere Kunden im myGindat-Portal unter dem Punkt „Auftragsverarbeitung“.

Zur Unterstützung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Fazit:

Wir hoffen, dass eine politische Annäherung die derzeit angespannte Lage wieder beruhigen wird. Bis dahin bleiben Rechtsunsicherheiten bestehen. Eines jedenfalls hat die Situation bewirkt: Stärker denn je zeigt die derzeitige Lage, wie stark die europäische Wirtschaft und Politik von amerikanischen Diensten abhängig ist. Wenn diese Situation zu ein wenig mehr Europäischer Datensouveränität führt, hätte das EuGH-Urteil auf jeden Fall etwas bewirkt.

Nicole Krause

als juristische Mitarbeiterin für die GINDAT GmbH