14.09.2023Fachbeitrag

Update Datenschutz Nr. 153

Unterschiedliche Ansichten der deutschen Aufsichtsbehörden zur Wirksamkeit des Data Privacy Framework (Nutzung von US-Cloud-Services)

Seit dem 10. Juli 2023 ist nun das EU-US Data Privacy Framework ("DPF") in Kraft, welches per Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO als Rechtsgrundlage für den Drittlandtransfer personenbezogener Daten − und damit einer Inanspruchnahme von US-Cloud-Services wie Amazon AWS, Microsoft 365 oder Google Cloud − dienen kann. Das DPF ist insoweit Nachfolger des in 2020 für ungültig erklärten "EU-US Privacy Shield". Dieser Artikel gibt einen kurzen Überblick zum Stand der Stellungnahmen deutscher Aufsichtsbehörden zum DPF.

Stellungnahme aus Bayern

Der Bayerische Landesbeauftragte für den Datenschutz hatte bereits am 1. August 2023 eine "Aktuelle Kurz-Information zum Data Privacy Framework" veröffentlicht (wir berichteten). Hierin wurden erstmals von einer deutschen Datenschutzbehörde allgemeine Hintergründe zum Angemessenheitsbeschluss beschrieben, Details zum Anwendungsbereich erläutert sowie Umsetzungsvorgaben festgelegt. Es wurde bei Inanspruchnahme von US-Providern insbesondere empfohlen

  • zu prüfen, ob der betreffende US-Provider bereits in die Liste der zertifizierten Unternehmen eingetragen ist und ggf. auch eine Befugnis zur Verarbeitung von Arbeitnehmerdaten (HR) vorliegt
  • sicherzustellen, dass auch auf erster Stufe eine Rechtsgrundlage nach Art. 6 oder 28 DSGVO vorliegt
  • bei Inanspruchnahme von Subprovidern in weiteren Drittländern eine angemessene Verpflichtung sicherzustellen
  • das Verarbeitungsverzeichnis und die eigenen Datenschutzhinweise zu überarbeiten
  • eine saubere Trennung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO vorzunehmen.

Insgesamt wurde das DPF jedoch als wirksames Instrument für den US-Datentransfer anerkannt.

Stellungnahme der DSK

Am 4. September 2023 hat nun auch die Datenschutzkonferenz (DSK, ein Zusammenschluss der deutschen Landesdatenschutzbehörden) Anwendungshinweise zum DPA veröffentlicht. Auf insgesamt 32 Seiten wird detailliert unter Beschreibung der maßgeblichen US-Rechtsvorschriften erläutert, auf welcher Basis zukünftig ein US-Datentransfer für EU-Unternehmen möglich ist. Zudem werden eine Vielzahl von Hintergrundinformationen geliefert, insbesondere zu den Rechten von betroffenen Privatpersonen zur Geltendmachung von Auskunfts- oder Löschansprüchen. Während das EU-US Privacy Shield noch lediglich einen US-Ombudsmann als Ansprechpartner für EU-Bürger vorsah, können diese sich nun an ganz unterschiedliche Stellen wenden (betreffende US-Provider, US-Handelsministerium, US-Federal-Trade-Commission, EU-Datenschutzbehörden, DPF-Schiedsgericht u. a.). Die einzelnen Rechtsschutzmöglichkeiten werden ausführlich beschrieben.

Insgesamt erkennt auch die DSK das DPF als wirksames Instrument für den US-Datentransfer an. Die Anwendungshinweise dienen allerdings eher als Leitfaden und Hintergrundinformation, während die Kurz-Information aus Bayern konkrete Anforderungen an die Umsetzung vorsieht.

Stellungnahme aus Thüringen

Nur einen Tag nach Veröffentlichung der DSK-Anwendungshinweise veröffentlichte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit − TLfDI − am 5. September 2023 eine Pressemitteilung, in der klargestellt wird, dass sich dieser dem obigen Votum der DSK nicht anschließt, also gegen die Veröffentlichung der Anwendungshinweise gestimmt hatte.

Zur Begründung wird angeführt, dass die Anwendungshinweise wesentliche Kritikpunkte außen vorgelassen hätten. So erweckten die Anwendungshinweise den Eindruck, als ob EU-Unternehmen für den US-Datentransfer lediglich die Zertifizierung des jeweiligen US-Providers nach DPF nachzuweisen hätten. Tatsächlich sei jedoch ergänzend erforderlich, dass jeweils ein eigener Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen wird, u. a. um die notwendigen Weisungsrechte zu dokumentieren. Darüber hinaus enthalte das DPF Widersprüche, die durch die Anwendungshinweise nicht aufgeklärt werden würden, beispielsweise würden bestimmte Rechte von Betroffenen nach Erwägungsgrund 178 des DPF von dem unklaren Nachweis der eigenen "Betroffenheit" abhängen.

Insgesamt enthält die Pressemitteilung des TLfDI eine Auflistung der wesentlichen Kritikpunkte gegen das DPF. Unternehmen wird im Schlusssatz empfohlen abzuwägen, ob sie sensible Daten und auch Kundendaten vielleicht vorsorglich nicht an US-Provider transferieren sollten. Denn die Wahrscheinlichkeit sei hoch, dass der Europäische Gerichtshof das DPF schon in wenigen Jahren für ungültig erklären wird, wie dies auch mit dem Privacy Shield und dem Safe Harbour Abkommen passierte.

Fazit

EU-Unternehmen sind verunsichert, ob das neue DPF nun tatsächlich als wirksame Rechtsgrundlage für die Inanspruchnahme von US-Servern der US-Provider in Frage kommt und daher anstehende, betriebliche Entscheidungen zugunsten des Einsatzes von US-Cloud-Software wie Amazon AWS, Microsoft 365, Google Cloud, Salesforce, Confluence etc. getroffen werden können. Die Datenschutzkonferenz lässt hieran in ihrer Anwendungshilfe nur wenig Zweifel, auch der Bayerische Landesbeauftragte nicht. Lediglich aus Sicht der Datenschutzaufsicht in Thüringen bestehen Zweifel an einer Wirksamkeit des DPF.

Unternehmen sollten die obigen Stellungnahmen der Datenschutzbehörden daher bei ihrer Entscheidung berücksichtigen. Unternehmen in Thüringen müssen bei Einsatz von US-Cloud-Providern zukünftig wohl mit einer kritischen Bewertung (z. B. im Fall einer externen Beschwerde) rechnen und sollten bestenfalls eine entsprechende Risikobewertung je US-Applikation vorhalten. Unternehmen in den anderen Bundesländern sollten sich dagegen an den Anwendungshinweisen der DKS orientieren und ergänzend die konkreten Umsetzungsvorgaben aus der Kurz-Information der Datenschutzaufsicht Bayern beachten.

Auch im Hinblick auf US-Provider, die sich nicht nach dem DPF haben zertifizieren lassen, kommt das neue Abkommen EU-Unternehmen zu Gute. Denn wenn im Rahmen der alternativen Verwendung von EU-Standardvertragsklauseln (Art. 46 DSGVO) die notwendige Risikobewertung (Data Transfer Impact Assessment) durchgeführt wird, kann im Hinblick auf den Datenzugriff durch US-Behörden maßgeblich auf die dort neu eingeführten Schutzmaßnahmen (einschließlich Rechtsbehelfsmechanismen) verwiesen werden (siehe FAQ der EU-Kommission, Ziffer 7), was eine positive Risikoabwägung deutlich erleichtert.

Bei Detailfragen stehen wir ergänzend mit anwaltlicher Beratung zur Verfügung.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.