Update Datenschutz Nr. 143
Aktuelle Entwicklungen zum internationalen Datentransfer – Neue Orientierungshilfe der Aufsichtsbehörden & Rekord-Bußgeld gegen META
In der vergangenen Woche gab es neue Entwicklungen zum internationalen Datentransfer. Nachdem zuletzt vor wenigen Monaten die Datenschutzkonferenz in einem Arbeitsbericht feststellte, dass eine datenschutzkonforme Nutzung von Microsoft 365 derzeit nicht möglich sei und die EU-Kommission Mitte Dezember 2022 einen ersten Entwurf für das neue EU-US-Privacy-Shield 2.0 vorlegte, der den zukünftigen US-Datentransfer auf eine neue Rechtsgrundlage stellen soll, gibt es nun seit wenigen Tagen neben dem Rekordbußgeld gegen META insbesondere eine aktuelle Orientierungshilfe der Bayerischen Datenschutzaufsicht.
Neue Orientierungshilfe zum Drittlandstransfer
Unternehmen in der Europäischen Union, insbesondere auch in Deutschland, befinden sich seit dem Wegfall des Privacy Shield im Juli 2020 in Ungewissheit darüber, ob (insbesondere Cloud-) Software von US-Anbietern wie Microsoft, Amazon, Google, Facebook oder Salesforce derzeit rechtskonform eingesetzt werden kann, denn selbst bei Inanspruchnahme von EU-Servern droht (spätestens seit dem US-Cloud-Act als Rechtsgrundlage für US-Behörden) immer auch ein Datentransfer auf US-Server. Dieser Drittlandtransfer unterliegt nach Art. 44 ff. DSGVO besonderen Anforderungen, die im obigen EuGH-Urteil (Az. C-311/18) noch einmal verschärft wurden.
Bereits im September 2021 hatte die Datenschutzaufsicht in Baden-Württemberg die komplizierten Anforderungen für Unternehmen zum Einsatz von US-Software in einer Orientierungshilfe zusammengefasst. In der Zwischenzeit gab es jedoch eine neue Executive Order des US-Präsidenten zur Überwachung von EU-Daten durch US-Behörden (siehe Beitrag), das Urteil des OLG Karlsruhe, welches die Inanspruchnahme von EU-Servern der US-Provider als nicht per se datenschutzwidrig qualifizierte (siehe Beitrag) und – neben dem obigen Microsoft-Bericht der DSK – den Entwurf eines neuen Angemessenheitsbeschlusses (Privacy Shield 2.0) der EU-Kommission (siehe Beitrag).
In der letzten Woche erschien nun eine Orientierungshilfe der Bayerischen Datenschutzaufsicht mit dem Stand zum 01.05.2023, damit also die derzeit aktuellste Stellungnahme der Verwaltung und für Unternehmen eine wertvolle Umsetzungshilfe bei der Herstellung von DSGVO-Compliance. Die Orientierungshilfe ist mit 60 Seiten sehr umfangreich und geht detailliert ein auf die geforderten technischen und organisatorischen Maßnahmen, die ergänzend zu den EU-Standardvertragsklauseln und der Risikobewertung Verwendung finden müssen. Interessant ist die Aussage in Randnummer 27, wo es zur Inanspruchnahme von EU-Servern der US-Provider nun erstmals recht eindeutig heißt:
„Solange sich allerdings nicht mit Sicherheit ausschließen lässt, dass der Auftragsverarbeiter auf die auf dem Server oder an anderen relevanten IT-Systemen … gespeicherten Daten zugreift …, ist wegen des Sitzes des Auftragsverarbeiters im Drittland ein Drittlandstransfer gegeben.“
Übersetzt bedeutet dies: Wenn der Cloud-Vertrag mit dem US-Mutterkonzern und nicht mit der EU-Tochtergesellschaft geschlossen wird, dann ist es gleichgültig, ob die festgelegten Server innerhalb der EU stehen. Allein der Sitz des Vertragspartners führt zu einem Drittlandstransfer, soweit von Seiten des Kunden im Einzelfall nichts anderes bewiesen werden kann. Es sollte daher darauf geachtet werden, dass der Vertrag mit der EU-Tochter geschlossen wird.
Im Hinblick auf die einzelnen Prüfungsschritten verweist die Orientierungshilfe auf die Empfehlungen 01/2020 der Europäischen Datenschutzaufsicht (EDSA) zum Drittlandstransfer. Hiernach sind folgende 6 Schritte notwendig:
- Ermitteln des Drittlandtransfers
- Wahl eines Übermittlungsinstruments
- Überprüfung der Effektivität des Übermittlungsinstruments
- Auswahl zusätzlicher Maßnahmen
- Einleitung etwaiger förmlicher Verfahrensschritte
- Überprüfung und ggf. Neubewertung des Schutzniveaus
Im Rahmen des Schritts (3) ist auch das Transfer Impact Assessment, also eine umfassende, dokumentierte Risikobewertung durchzuführen.
Problematisch ist das Fazit der Orientierungshilfe in Randnummer 69: Hier heißt es:
„Nur auf Ausnahmefälle wird die in Nr. 43.3 der EDSA-Empfehlungen geschilderte Konstellation zutreffen: Danach kann der Datenexporteur bei seiner Beurteilung zu dem Schluss kommen, die Übermittlung vorzunehmen, ohne zusätzliche Maßnahmen zu ergreifen, obwohl einschlägige Rechtsvorschriften möglicherweise problematisch sind und auf die konkrete Übermittlung anwendbar sein könnten. Voraussetzung ist, dass der Datenexporteur keinen Grund zur Annahme hat, dass diese auf seine übermittelten Daten und/oder auf den Datenimporteur angewandt werden. Diese Annahme muss er durch einen ausführlichen Bericht bezüglich der rechtlichen Würdigung der Rechtsvorschriften und der entsprechenden Praxis, wobei auch die am Bericht mitwirkenden Akteure, wie zum Beispiel Anwaltskanzleien, Berater oder interne Dienststellen, zu nennen sind, begründen und dokumentieren.“
Wiederum übersetzt bedeutet dies:
Nutzen Unternehmen US-Cloud-Software nur und allein auf Grundlage der EU-Standardvertragsklauseln, ohne ergänzende technische und organisatorische Maßnahmen zu treffen (etwa eine vorherige Verschlüsselung der Daten), so muss dies ausführlich in der schriftlichen Risikobewertung begründet werden. Nur im Ausnahmefall führt dies zur Einhaltung der DSGVO-Compliance.
Die Orientierungshilfe enthält eine Vielzahl weiterer Erläuterungen und behördlicher Auslegungen zur aktuellen Rechtslage. Sie sollte aus unserer Sicht von jedem Datenschutzverantwortlichen durchgearbeitet und mit den eigenen Umsetzungsmaßnahmen abgeglichen werden. Gern stehen wir – insbesondere bei Erstellung des Transfer Impact Assessments – unterstützend zu Verfügung.
Neues Bußgeld gegen META
Eine weitere Neuerung der vergangenen Woche zum Drittlandstransfer war das Bußgeld gegen META. Die Datenschutzaufsicht in Irland hatte ein solches in Höhe von EUR 1,2 Milliarden festgesetzt. Diese Summe entspricht nur 1% des weltweiten Jahresumsatzes (aus 2022), so dass die Irische Datenschutzaufsicht unterhalb ihrer Möglichkeiten (bis zu 4%) geblieben war. Grund für das Bußgeld war insbesondere die Weigerung von META, auch werbefreie Versionen ihrer Software-Applikationen anzubieten. META hatte in den vergangenen Jahren die Einwilligung in die Nutzung personenbezogener Daten für Werbezwecke schlicht in die AGB eingebunden und behauptet, die Nutzung ihrer Software seit nur unter Erlaubnis personalisierter Werbung möglich. Die Datenschutzbehörden (außer die Irische) sahen diese Vorgehensweise jedoch als unzulässig an, denn die Nutzung zu Werbezwecken bedürfe einer gesonderten Einwilligung. META müsse daher auch eine werbefreie Version ihrer Software anbieten. Die Irische Datenschutzbehörde wurde in einer Abstimmung der EU-Behörden überstimmt und musste nun das Verletzungsverfahren einleiten (obwohl sie hierfür keine Notwendigkeit sah).
Insoweit ist das Bußgeld durchaus kontrovers zu sehen. Die aussprechende Behörde hätte gern auf das Bußgeld verzichtet. Insoweit ist auch nicht auszuschließen, dass die Irischen Gerichte (META hat Rechtsmittel angekündigt) zu dem Ergebnis kommen könnten, dass das Bußgeld überhöht ist und deutlich heruntergesetzt werden muss. Eine solche Entscheidung dürfte jedoch ohnehin erst in einigen Jahren zu erwarten sein.
Fazit
Es tut sich etwas zum Recht des internationalen Datentransfers. Unternehmen sind gut beraten, die neue Orientierungshilfe der Bayerischen Datenschutzaufsicht zu beachten und die eigenen Umsetzungsmaßnahmen entsprechend anzupassen. Das Bußgeld gegen META sollte allerdings keine Besorgnis bei EU-Unternehmen auslösen, denn an der grundsätzlichen Situation zur DSGVO-Compliance bei Inanspruchnahme von US-Cloud-Software hat sich nichts geändert, insoweit rechnen wir nicht mit einer neuen Bußgeldpraxis der deutschen Behörden. Vielmehr ist zu erwarten, dass zum Ende des Jahres das neue Privacy Shield 2.0 kommt und dann (bis zum nächsten EuGH-Urteil in einigen Jahren) wieder ein US-Datentransfer rechtskonform möglich wird, was für Beruhigung bei Inanspruchnahme von Microsoft 365, Amazon AWS, Google Cloud oder Salesforce sorgen dürfte. Soweit Unternehmen allerdings noch keine Risikobewertung zur Inanspruchnahme von US-Cloud-Software vorliegen haben, so wird empfohlen, diesen Schritt zeitnah zu gehen.