Update Datenschutz Nr. 100
Neue Empfehlungen des EDSA zu internationalen Datentransfers
Hintergrund
Der Europäische Datenschutzausschuss (EDSA) ist das gemeinsame Gremium der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten. Er veröffentlich regelmäßig Leitlinien und Empfehlungen zur Anwendung der DSGVO. Sie stellen eine wertvolle Orientierung für die Praxis dar, da die nationalen Aufsichtsbehörden ihre Tätigkeit ebenfalls daran ausrichten.
Am 18. Juni 2021 hat der EDSA seine Empfehlungen zur Absicherung von internationalen Datentransfers verabschiedet, nachdem er im November 2020 bereits einen ersten Entwurf dieser Empfehlungen veröffentlich hatte. Hintergrund der neuen Empfehlungen ist das „Schrems II“-Urteil der EuGH (siehe dazu und den anschließenden Entwicklungen unser letztes Update Nr. 99). Der Gerichtshof hat in seinem Urteil – unter anderem – entschieden, dass ein Verantwortlicher, der personenbezogene Daten in Nicht-EU-Länder übermittelt, gegebenenfalls zusätzliche Maßnahmen zur Absicherung des Datentransfers treffen muss. Das gilt auch dann, wenn der Verantwortliche die Datenübermittlung beispielsweise auf die Standardvertragsklauseln (SCC) der EU-Kommission stützt. Die Frage wann und ggf. welche Maßnahmen getroffen werden müssen, versucht der EDSA durch seine Empfehlungen mit Leben zu füllen.
Empfehlungen des EDSA im Einzelnen
Der EDSA empfiehlt sechs Schritte, um die DSGVO-Konformität internationaler Datentransfers sicherzustellen:
1. „Know your transfers“
Datenübermittlungen können nur rechtskonform ausgestaltet werden, wenn der Verantwortliche überhaupt weiß, ob und welche Daten er wie übermittelt. Daher muss sorgfältig geprüft werden, welche Daten auf welche Weise in Drittländer übermittelt werden.
2. Überprüfung der verwendeten Rechtsgrundlage
Die DSGVO sieht im V. Kapitel einen abschließenden Katalog an Rechtsgrundlagen für internationale Datentransfers vor. Der einfachste Fall für einen Verantwortlichen ist das Vorliegen eines Angemessenheitsbeschlusses des EU-Kommission für das Zielland (Art. 45 DSGVO). In diesem Fall muss der Verantwortliche lediglich fortlaufend überprüfen, dass der Beschluss weiterhin gültig ist. Wie bereits berichtet, ist der „Privacy-Shield“-Beschluss bezüglich Übermittlungen in die USA nicht mehr gültig. Darüber hinaus finden sich im V. Kapitel weitere Rechtsgrundlagen. Die relevantesten sind Standardvertragsklauseln (Standard Contractual Clauses, Art. 46 DSGVO) und interne Datenschutzvorschriften (Binding Corporate Rules, Art. 47 DSGVO).
3. Identifizierung problematischer Gesetze und Praktiken im Zielland
Dies ist das Herzstück der Prüfung. Der Verantwortliche für den konkreten Datentransfer, d. h. derjenige, der die Daten exportiert, muss überprüfen, ob die Gesetzgebung und/oder Verwaltungspraxis im Zielland dazu führt, dass die übermittelten Daten nicht mehr entsprechend der Anforderungen der Rechtsgrundlage geschützt sind. Ein Beispiel hierfür sind unverhältnismäßige behördliche Zugriffsrechte. Allerdings stehen diese einem angemessenen Schutz nur entgegen, wenn der Vertragspartner im Zielland unter diese Zugriffsrechte fällt. Mit anderen Worten führt die bloße Existenz eines unverhältnismäßigen Gesetzes noch nicht zur Unzulässigkeit der Datenübermittlung.
Wurden keine einschlägigen problematischen Gesetze oder Verwaltungspraktiken gefunden, kann die Übermittlung ohne weiter Maßnahmen erfolgen.
4. Sofern erforderlich: Identifizierung und Implementierung geeigneter Maßnahmen
Wenn in Schritt 3 festgestellt wurde, dass problematischen Gesetze oder Verwaltungspraktiken bestehen, kann allein die gewählte Rechtsgrundlage keinen ausreichenden Schutz bieten. Das gilt auch für die jüngst verabschiedeten neuen Standardvertragsklauseln. Damit ist die Übermittlung aber nicht zwangsläufig unzulässig. Es kommt dann darauf an, ob das bestehende Risiko durch zusätzliche Maßnahmen beseitigt werden kann. Der EDSA nennt in seinen Leitlinien einige mögliche Maßnahmen, entscheidend ist aber stets die konkrete Situation. Es gibt keine Maßnahme, die in jedem Fall ein ausreichendes Schutzniveau herstellt.
Die Maßnahmen lassen sich in technische, vertragliche und organisatorische Maßnahmen aufteilen. Beispiele für technische Maßnahmen sind eine starke Verschlüsselung oder die Übermittlung pseudonymisierter Daten. Auf vertraglicher Ebene kann als zusätzliche Maßnahme vereinbart werden, dass der Datenimporteur behördliche Zugriffsanfragen offenlegt. Darüber hinaus kann auch vereinbart werden, behördliche Anfragen zur Offenlegung zunächst auf ihre Rechtmäßigkeit zu überprüfen und ggf. dagegen vorzugehen. Organisatorische Maßnahmen können interne Datentransfer-Richtlinien oder Schulungen für den Umgang mit behördlichen Anfragen sein.
Wenn keine geeigneten Maßnahmen getroffen werden können, muss die Übermittlung unterbleiben bzw. umgehend beendet werden, da kein ausreichendes Schutzniveau besteht.
Dabei ist eine weitereichende Feststellung des EDSA von hoher Bedeutung: Sofern ein Verantwortlicher Daten beispielsweise an einen Cloud-Anbieter in einem Drittland übermittelt, dieser Zugriff auf die unverschlüsselten Daten benötigt, um seine Aufgabe zu erfüllen (etwa zur Erbringung von Supportleistungen), gleichzeitig im Zielland aber unverhältnismäßige Zugriffsrechte von Behörden bestehen, dann bestehen nach Auffassung des EDSA keine ausreichenden zusätzlichen Maßnahmen, welche ein angemessenes Schutzniveau herstellen. Dementsprechend sind Klardatenübermittlungen im Falle eines unzureichenden Schutzniveaus nach Auffassung des EDSA de facto nicht möglich.
5. Gegebenenfalls ergänzende Verfahrensschritte
Abhängig von der Rechtsgrundlage im konkreten Fall können weitere Verfahrensschritte erforderlich sein, wie z. B. die Benachrichtigung der Aufsichtsbehörde (beispielsweise nach Art. 46 Abs. 3 lit. a DSGVO).
6. Regelmäßige Evaluation
Die getroffenen Maßnahmen müssen regelmäßig evaluiert werden. Das ergibt sich bereits daraus, dass sich die Rechtslage und Rechtspraxis im Zielland ändern kann.
Fazit und Empfehlung
Übermittlungen von Daten in Nicht-EU-Länder sind für den Verantwortlichen mit einigem Aufwand verbunden. Die Evaluation der Rechtslage im Zielland ist ein weiterer Eintrag im ohnehin umfassenden Pflichtenkatalog des Verantwortlichen. Wird der Weg der Übermittlung in Nicht-EU-Länder beschritten, sollten die vom EDSA vorgeschlagenen Prüfschritte befolgt werden. Sie bringen etwas mehr Orientierung in ein bisher noch sehr offenes Feld. Die Prüfung sollte unbedingt dokumentiert werden, um im Ernstfall gegenüber einer Aufsichtsbehörde Nachweise vorlegen zu können.
Je nach Anwendungsfall sollten Unternehmen prüfen, ob die Standardvertragsklauseln das geeignete Mittel sind. Insbesondere sollte ein genauerer Blick auf die mögliche Nutzung der Anwendungsfälle von Art. 49 DSGVO geworfen werden, auch wenn die Norm nach Auffassung des EDSA nur in Ausnahmefällen verwertet werden darf. Diese kann aber Transfers vereinfachen.
Bei Dienstleistungen sollte eine intensive Prüfung erfolgen, ob es innereuropäische Alternativen gibt oder zumindest solche in Ländern, in denen die Befugnisse der nationalen Sicherheitsbehörden klar und verhältnismäßig geregelt sind.