Update - Handlungsempfehlungen: EuGH EU-US Privacy Shield und EU-Standardvertragsklauseln
Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt
und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten weiterhin rechtskonform in Drittländer übermittelt werden können. Die GDD möchte diesbezüglich Handlungsempfehlungen geben, um Verantwortliche und deren Datenschutzbeauftragte bei der Umsetzung zu unterstützen.
1. EU-US Privacy Shield
Tatsache ist, dass nach dem o.g. EuGH Urteil personenbezogene Daten aus der Europäischen Union nicht mehr auf Basis des EU-US Privacy Shield Abkommens in die Vereinigten Staaten übermittelt werden können. Da der Abschluss einer Nachfolgeregelung zum EU-US Privacy Shield nicht absehbar ist, muss unverzüglich auf einen anderen Mechanismus zur Legitimation personenbezogener Datenübermittlungen an Datenverarbeiter mit Sitz in den USA gem. Kapitel V der DS-GVO umgestellt werden.
2. EU-Standardvertragsklauseln
Laut Aussage der EuGH-Richter können die sog. EU-Standardvertragsklauseln((https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en)) weiterhin unter bestimmten Voraussetzungen für die Übermittlung personenbezogener Daten in ein Drittland verwendet werden. Allerdings besteht eine Prüfpflicht auf Seiten des Verantwortlichen (Datenexporteur) sowie des Datenimporteurs. Diese Prüfpflicht bezieht sich darauf, ob die Standardvertragsklauseln für die Übermittlung bereits hinreichende Garantien bieten oder ob zusätzliche Garantien geschaffen bzw. vereinbart werden müssen. Dies erfordert in der Praxis eine Neubewertung bereits im Einsatz befindlicher internationaler Datenflüsse.
a) Bestandsaufnahme
Anhand der vorhandenen Verfahrensverzeichnisse sind die Datenübermittlungen in Länder außerhalb des Europäischen Wirtschaftsraums zu identifizieren und anhand der verwendeten Garantien zu kategorisieren. Die bestehende Prüfpflicht des Datenexporteurs hinsichtlich der Vereinbarkeit der Gesetze im Land des Datenimporteurs mit den Vorgaben der Standardvertragsklauseln und die Mitwirkungspflichten des Importeurs gelten allgemein bei Datenübermittlungen unter Verwendung der Standardvertragsklauseln der Kommission.
b) Art, Umfang, Zweck, Kontext und Empfänger der Datenübermittlung
Nach der Bestandsaufnahme sollten die Umstände der einzelnen Datenübermittlungen untersucht werden. Dabei ist insbesondere auf den Schutzbedarf der jeweils durch den Datenimporteur zu verarbeitenden Daten abzustellen. Hier bieten sich u.a. folgende Aspekte für eine differenzierende Analyse an:
- Art der Daten (z.B. Kundendaten, Beschäftigtendaten, Logdateien)
- Zweck der Übermittlung (z.B. im Rahmen einer Vertragserfüllung oder zur Wahrung organisatorischer Interessen)
- Umfang der Verarbeitung (z.B. die Verarbeitung sämtlicher Kundendaten im Drittland oder lediglich Nutzerkennungen im Bereich des IT-Supports durch einen Unterauftragsverarbeiter)
- Kontext der Verarbeitung (z.B. Hosting, technischer Support, Backup, Travel Management)
- Empfänger (z.B. externe Dienstleister oder interne Konzerngesellschaften)
Besagte Einordnung kann zum einen die Grundlage für die Prüfung der Angemessenheit des Datenexports in das Rechtssystem im Empfängerland bilden. Zum anderen kann der Verantwortliche prüfen, inwieweit die übermittelten Daten überhaupt dem landesspezifischen Risiko bspw. eines Zugriffs durch Sicherheitsbehörden ohne adäquate Rechtsschutzmöglichkeit ausgesetzt werden sollen.
Empfehlung: Neu-Analyse der in das Drittland übermittelten personenbezogenen Daten hinsichtlich ihrer Art (=Kritikalität der Daten, z.B. ob pbDaten iSv Art. 9 DS-GVO verarbeitet werden), des Umfangs, des Zwecks, des Kontextes der Verarbeitung sowie der vorgesehenen Empfänger.
c) Technisch-organisatorische Maßnahmen
Soweit möglich, sollte ein rechtswidriger Zugriff auf übermittelte personenbezogene Daten durch angemessene technisch-organisatorische Maßnahmen (Art. 32 DS-GVO) ausgeschlossen sein. Daher sollte seitens des Verantwortlichen insbesondere geprüft werden, ob auf technischer Ebene durch Einsatz einer (Ende-zu-Ende-)Verschlüsselung nach dem Stand der Technik((Z.B. https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html)) unter Verwendung eines starken Kryptoalgorithmus ein solcher Schutz möglich ist. Hierbei ist auch zu berücksichtigen, inwieweit die Schlüsselverwaltung durch den Verantwortlichen beherrscht werden kann und ob Daten nur beim Transport (data in transit) verschlüsselt sind oder auch auf datenverarbeitenden Servern (data at rest). Maximale Sicherheit bietet hier allein die Ende-zu-Ende-Verschlüsselung (E2EE).
Auch alternative technisch-organisatorische Maßnahmen können in Erwägung gezogen werden, so z.B. die Anonymisierung von personenbezogenen Daten oder die Pseudonymisierung (z.B: Einsatz eines Pseudonymisierungs-Gateways oder Beauftragung eines Daten-Treuhänders). Eine Reduktion des Datenumfangs iSv einer Datenminimierung gem. Art. 5 Abs. 1 Buchst. c DSGVO kann grundsätzlich das Risiko eines unbefugten Zugriffs ebenfalls reduzieren.
d) Angemessenheit des Schutzniveaus beim Empfänger des Datenexports
Wie der EuGH im Tenor zu 2 des Urteils (s. Nr. 2 unter Randziffer 203) ausführt, hat sich der verantwortliche Datenexporteur mit Hinweisen zu befassen, ob dem Datenimporteur die Einhaltung der Standardvertragsklauseln möglich ist, insbesondere ob unverhältnismäßige Eingriffsmöglichkeiten für Behörden hinsichtlich der übermittelten personenbezogenen Daten bestehen. Die Prüfung der Angemessenheit eines Schutzniveaus kann noch weitere Kriterien beinhalten. Art. 45 Abs. 2 DS-GVO bietet Hinweise, anhand welcher Kriterien sich eine Überprüfung des Datenexporteurs noch vollziehen kann.
Empfehlung: Regelmäßige Überprüfung des Datenimporteurs der EU-Standardvertragsklauseln durch den Datenexporteur auf Hinweise für bestehende, den Standardvertragsklauseln entgegenstehende Gesetze. Hierbei sind insbesondere behördliche Zugriffsmöglichkeiten auf personenbezogene Daten des Datenexporteurs und deren Verhältnismäßigkeit mit Blick auf die gesetzlichen Vorgaben in der EU bzw. im Land des Datenexporteurs zu evaluieren.
In die Prüfung des Schutzniveaus können auch Hinweise und Zusicherungen des Datenimporteurs grundsätzlich einbezogen werden (bspw. dass der Datenimporteur unverhältnismäßige und der DS-GVO widersprechende Anordnungen ggf. anfechten wird). Bezüglich der Ungültigkeit des EU-US Privacy Shields gibt es bereits Hinweise von Dienstleistern, wie auf die aktuelle Rechtslage reagiert wurde und eine Rechtskonformität ermöglicht werden kann.((Die GDD hat bereits mit einer ersten Zusammenstellung begonnen: https://www.gdd.de/eu-us-privacy-shield-schrems-ii-urteil/Ansichten-Softwarehersteller-AV-eu-us-privacy-shield))
... weiter mit Update - Handlungsempfehlungen: EuGH EU-US Privacy Shield und EU-Standardvertragsklauseln
e) Vertragliche Maßnahmen
Die EU-Standardvertragsklauseln enthalten die Möglichkeit, über geschäftsbezogene Klauseln weitere Garantien für Rechte und Freiheiten von Betroffenen zu vereinbaren. Bei bereits abgeschlossenen Standardverträgen bietet sich zunächst das Einholen einer aktualisierten Bestätigung des Datenimporteurs an, dass nach seinem Kenntnisstand keine den Standardvertragsklauseln entgegenstehende Gesetze in seinem Land bestehen.
Empfehlung: Bei bereits bestehenden Verträgen: Einholen der Bestätigung des Datenimporteurs, dass im Empfängerland nach seinem Kenntnisstand keine Gesetze bestehen, die einer vertragsgemäßen Verarbeitung personenbezogenen Daten entgegenstehen. Je nach Einflussmöglichkeit auf die Vertragsgestaltung mit dem Datenimporteur kann eine Konkretisierung der Zulässigkeit behördlicher Datenzugriffe über eine geschäftsbezogene Klausel aufgenommen werden.
Empfehlung (optional): Aufnahme einer Vertragsklauseln, die die Übermittlung der auftragsbezogenen personenbezogenen Daten an eine Behörde im Drittland hinsichtlich ihrer Vereinbarkeit mit der DS-GVO zur Bedingung macht. Um als Datenexporteur die Datenübermittlung an Behörden im Einzelfall beurteilen zu können, kann alternativ über eine Vertragsklausel eine Genehmigungspflicht des Datenexporteurs für behördliche Datenzugriffe vereinbart werden. Dadurch erlangt der Datenexport Kenntnis von der behördlichen Anfrage und kann diese auf Zulässigkeit prüfen.
Empfehlung (optional): Aufnahme einer Vertragsklausel, die einen behördlichen Datenzugriff beim Datenimporteur von einer vorherigen transparenten Information und nachfolgender Genehmigung des Datenexporteurs abhängig macht.
Der LfDI Baden-Württemberg hat in seiner Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ weitere zu vereinbarende Ergänzungen für die EU-Standardvertragsklauseln veröffentlicht.((https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf)) Diese sollen u.a. für mehr Transparenz bei Betroffenen hinsichtlich der Zugriffe von Behörden auf personenbezogene Daten sorgen und sollten im Einzelfall auf ihre Umsetzbarkeit mit dem Dienstleister überprüft werden. Während der Sitzung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europaparlaments am 03.09.2020 wurde indes geäußert, dass neue Standardvertragsklauseln zum Ende des Jahres verabschiedet werden sollen. Ein erster Entwurf soll bereits in kürze veröffentlicht werden.((https://multimedia.europarl.europa.eu/en/committee-on-civil-liberties-justice-and-home-affairs_20200903-1345-COMMITTEE-LIBE_vd?s=09))
f) Wechsel zu europäischen Anbietern
Es ist zu erwarten, dass die Aufsichtsbehörden im Rahmen ihrer Kontrollaktivitäten beurteilen werden, inwieweit ein Wechsel eines Vertragspartners oder Dienstleisters und eine Verlagerung der Datenverarbeitung in die EU für den Datenexporteur zumutbar ist, insbesondere wenn keine zusätzlichen Garantien für Betroffene geschaffen oder vereinbart werden können. Im Sinne der bestehenden Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO werden hier Erwägungen seitens der Datenexporteure erbracht werden müssen. Unternehmen sind gehalten, entsprechende Szenarien vorab zu evaluieren. Hierbei sollten auch Szenarien einbezogen werden, die ein Hosting der Daten in Der EU bedeuten, auch wenn der Dienstleister seinen Hauptsitz in einem Drittland hat.
g) Stimmungsbild der Aufsichtsbehörden
Die Möglichkeit des Exports personenbezogener Daten auf Basis der EU-Standardvertragsklauseln wird unter den deutschen Aufsichtsbehörden insbesondere bezüglich der Vereinigten Staaten momentan unterschiedlich beurteilt.
Empfehlung: In Abhängigkeit der Zuständigkeit der jeweiligen Aufsichtsbehörde sollten Stellungnahmen der Behörden zur Zulässigkeit der Datenübermittlung in ein Drittland regelmäßig durch den Datenexporteur geprüft werden.((Die GDD aktualisiert regelmäßig Stellungnahmen der Aufsichtsbehörden in Reaktion auf das Urteil des EuGH in Sachen Schrems: https://www.gdd.de/eu-us-privacy-shield-schrems-ii-urteil/ansichten-der-aufsichtsbehoerden-eu-us-privacy-shield.))
Der Europäische Datenschutzausschuss hat ebenfalls ein FAQ zu den Auswirkungen des EuGH-Urteil zu Schrems II erarbeitet.((https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en))
3. Angemessenheitsbeschlüsse der Kommission
Angemessenheitsbeschlüsse der Kommission beinhalten die rechtsverbindliche Aussage darüber, ob das jeweilige Drittland ein mit Blick auf den Schutz personenbezogener Daten in der Europäischen Union überwiegend gleichwertiges Datenschutzniveau bietet. Da sich die Entscheidung des EuGH lediglich den Angemessenheitsbeschluss der EU-Kommission bezüglich des EU-US Privacy Shield vom 12. Juli 2016 ((EU) 2016/1250) für ungültig erklärt hat (vgl. Tenor zu 5 unter Rn. 203 des Schrems II-Urteils), sind die sonstigen Adäquanzbeschlüsse der EU-Kommission weiterhin gültig:
Sofern - bezogen auf das Zielland, in dem sich der Datenimporteur befindet - ein Angemessenheitsbeschluss der Kommission existiert, der dem Zielland ein der EU angemessenes Datenschutzniveau attestiert, bestehen für Datenexporteure mit Blick auf die Rechtslage im betroffenen Drittland keine besondere Prüfpflichten. Dies ist Sache der Kommission, die ihre Beschlüsse regelmäßig zu evaluieren hat (vgl. Art. 45 Abs. 3 S. 2 DS-GVO). Unbeschadet einer Kommissionsentscheidung ist es den Aufsichtsbehörden jedoch unbenommen, Datenexporte in Drittländer unter Geltung eines Angemessenheitsbeschlusses zu untersagen.
4. Andere Garantien (Art. 46 DS-GVO) oder Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)
Da sich die Feststellungen des EuGH auf das EU-US Privacy Shield und die EU-Standardvertragsklauseln beschränkten, sind die übrigen Garantien des Art. 46 DS-GVO sowie die Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO) grundsätzlich weiter dazu geeignet, personenbezogene Daten in ein Drittland zu exportieren.
Hinsichtlich des Wunsches nach einer kurzfristigen Umstellung der bisher verwendeten Garantien, so insbesondere mit Blick auf das EU-US Privacy Shield Abkommen, sind die praktischen Besonderheiten zu beachten. Die übrigen in der DS-GVO zur Verfügung stehenden Garantien für den Drittlandtransfer sind in ihrer Implementierung entweder zeit- und kostenintensiv (z.B. die Entwicklung und Implementierung von Binding Corporate Rules gem. Art. 46 Abs. 2 lit. b DS-GVO) oder bedürfen der Genehmigung der zuständigen Aufsichtsbehörde (z.B. die Ad-Hoc-Vertragsklauseln gem. Art. 46 Abs. 3 lit. a DS-GVO). Alternative Garantien gem. Art. 46 DS-GVO sind zur kurzfristigen Legitimierung eines Datentransfers, z.B. in die USA, daher grundsätzlich ungeeignet.
Die “Ausnahmen für bestimmte Fälle” gem. Art. 49 DS-GVO sind bereits ihrer gesetzlichen Überschrift nach lediglich für Ausnahmefälle gedacht und teilweise auf „gelegentliche“ Übermittlungen begrenzt, bspw. im Rahmen der Einwilligung des Betroffenen, der Vertragserfüllung oder der Verfolgung oder Verteidigung von Rechtsansprüchen (vgl. ErwG 111 S. 1 DS-GVO). Die Ausnahmen für bestimmte Fälle gem. Art. 49 DS-GVO sind für die Legitimierung ausgelagerter Geschäftsprozesse grundsätzlich ebenso ungeeignet.
Weitere Informationen zur EU-US-Privacy-Shield-Entscheidung und zu EU-Standardvertragsklauseln finden Sie hier.