Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann.
Standardvertragsklauseln haben weiter Gültigkeit
Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO.
Der EuGH hat sich in seiner Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben. Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können.
Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt und ob Datenimporteur und -exporteur etwas dagegen tun können.
In den USA keine Einhaltung möglich
Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsge-setze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Auf-sichtsbehörden, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.
Unsere Handlungsempfehlungen für das weitere Vorgehen
Verantwortliche müssen nun mit der Entscheidung des EuGH arbeiten und einen Weg finden, wie sie eine rechtssichere Datenverarbeitung sicherstellen. Nachfolgend zeigen wir den Weg auf, der unserer Ansicht nach gegangen werden muss, um internationalen Datentransfer im Unternehmen zu identifizieren, zu bewerten und rechtlich wie tatsächlich auf eine sichere Ba-sis zu bringen.
1. Bestandsaufnahme
Sie müssen für Ihr Unternehmen feststellen, ob eine Datenübertragungen in die USA (oder andere unsichere Drittstaaten) stattfindet.
2. Klärung ob Datentransfer ins Ausland wirklich unumgänglich ist
Als nächstes sollte geklärt werden, ob der Datentransfer ins Ausland wirklich zwingend not-wendig ist, oder sich ggf. organisatorisch umgehen lässt. Hier sind mehrere Lösungen denk-bar:
- Besteht die Möglichkeit, einen rein europäischen Dienstleister zu wählen?
- Besteht die Möglichkeit, die Daten auf europäischen Servern zu belassen?
Wichtig ist dabei, dass vertraglich festgehalten sein muss, dass ein Datentransfer ins außer-europäische Ausland nicht stattfindet. Weder ein aktiver Transfer von Daten (bspw. das Abspeichern von Daten auf einem Server) noch das Eröffnen einer Zugriffsmöglichkeit (bspw. Programmierer)
3. Klärung ob die Sicherheitsgesetze der USA auf den Importeur Anwendung finden
Beim Datentransfer in die USA ist generell zu klären, ob die dortigen Sicherheitsgesetze, auf-grund derer der EuGH das Privacy Shield für unwirksam erklärt hat, überhaupt auf den Da-tenimporteur Anwendung finden. Hierzu gibt es unter noyb.eu/en/next-steps-eu-companies-faqs einen Fragebogen, den man an seinen Importeur senden kann [Achtung: Die Vorlage enthält eine Kündigungsandrohung; diese sollten Sie ggf. entfernen, wenn Sie das Formular verwenden wollen].
Dieser Schritt ist für die meisten der eingesetzten Dienste jedoch im Grunde überflüssig, denn
Anbieter von elektronischen Kommunikationen, wie z. B. Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google oder Microsoft, fallen immer in den Anwendungsbereich dieser Gesetze und müssen Geheimdiensten einen Zugriff auf Daten der Nutzer erlauben.
4. Sicherheitsmechanismus festlegen
Kommen wir also zum entscheidenden Schritt. Wenn festgestellt wurde, dass die Daten in die USA übertragen werden müssen, um einen essentiellen Dienst nutzen zu können, dann ist zu klären, mit welchen Mechanismen dieser Datentransfer rechtlich abgesichert wird.
Das Privacy Shield ist hier nun keine Option mehr. Bleiben in der Praxis noch die Standard-vertragsklauseln (bzw. Binding Corporate Rules im Konzern) oder Ausnahmeregelungen nach Art. 49 DSGVO.
Die SCC können recht unkompliziert als Teil eines Vertrages abgeschlossen werden und sind daher schnell und flexibel einsetzbar. Allerdings hat der EuGH mit seiner Entscheidung bereits deutlich gemacht, dass die SCC für einen Datentransfer in die USA alleine nicht ausreichen können, da es sich bei ihnen letztlich nur um Verträge handelt. Da der EuGH aber zu dem Ergebnis gekommen ist, dass die Rechtslage in den USA eine Einhaltung des europäischen Datenschutzniveaus ohne Weiteres nicht möglich macht, helfen Verträge allein nicht weiter. Schließlich werden die amerikanischen Geheimdienste durch solche Verträge nicht an einem Datenzugriff gehindert, der gesetzlich in den USA zulässig ist. Die amerikanischen Gesetze „schlagen“ insofern die Verträge.
Die SCC dürfen nur dann für den Datentransfer eingesetzt werden, wenn sich der Verantwortliche und der Empfänger vergewissern, dass das europäische Datenschutzniveau im Drittland auch eingehalten werden kann. Aufgrund der Ausführungen des EuGH ist davon auszugehen, dass das Datenschutzniveau in den USA grundsätzlich nicht eingehalten werden kann. Der EuGH sowie die Aufsichtsbehörden weisen darauf hin, dass neben den bloßen Verträgen ggf. zusätzliche organisatorische oder technische Maßnahmen das Datenschutzniveau sicherstellen können. Welche Maßnahmen das sein sollen, wurde von den Behörden bislang nicht konkretisiert.
Unserer Ansicht nach kann es sich hierbei in erster Linie nur um technische Maßnahmen wie bspw. umfangreiche Verschlüsselungen handeln, denn diese gewährleisten zumindest bis zu einem gewissen Grad, dass amerikanische Behörden selbst bei Serverzugriff mit den dort befindlichen Daten nichts anfangen könnten.
Die Pflicht zur wirksamen Verschlüsselung ist vertraglich zu fixieren und die erfolgte Verschlüsselung ist zu dokumentieren.
Ob diese Maßnahmen allein ausreichen, ist allerdings bislang noch unklar. Rechtssicherheit ist zum jetzigen Zeitpunkt bei dieser Frage noch nicht zu gewinnen.
5. Einwilligungstexte und Datenschutzerklärungen anpassen
Sofern Sie vom Privacy Shield auf die SCC hinüberwechseln, muss sich dieser Wechsel zuvorderst in Ihrer Datenschutzerklärung niederschlagen. Dort sind die entsprechenden Hin-weise auf das Privacy Shield zu entfernen und entsprechend im Hinblick auf die SCC zu än-dern. Darüber hinaus sollten Sie, sofern Sie die übertragenen Daten auf Basis einer Einwilli-gung übertragen, auch in den Informationen zur Einwilligung auf die SCC hinweisen. Generell sollten Sie dabei erwähnen, dass sie die SCC sowie „zusätzliche Sicherheitsmaßnahmen“ implementiert haben.
6. Restrisikobewertung
Als letzten Schritt sollten Sie sich vergegenwärtigen, wie hoch Ihr Restrisiko ist, dass die Datenübertragung ggf. untersagt wird bzw. weitere Maßnahmen von Betroffenen oder Aufsichtsbehörden zu befürchten sind.
Verwenden Sie allein die SCC ohne weitere Maßnahmen, ist Ihre Übertragung mit einem deutlich höheren Risiko behaftet, als wenn Sie weitere Maßnahmen wie zumindest eine effektive Inhaltsverschlüsselung der Daten vorweisen können. Aber auch dann haben Sie keine absolute Sicherheit, dass dies die Behörden zufrieden stellt. Wichtig ist, dass Sie sicherstellen, auf zukünftige Entwicklungen (bspw. Veröffentlichungen der Aufsichtsbehörden zum Thema „zusätzliche Maßnahmen“ (wie vom EDSA angekündigt) vorbereitet zu sein und schnell reagieren zu können.
Fazit:
Sofern eine Verlagerung der Datenverarbeitung zu europäischen Dienstleistern nicht möglich ist, empfehlen wir zunächst den Abschluss von Standardvertragsklauseln. Dies ist so schnell wie möglich umzusetzen. Zusätzlich sollten weitere Maßnahmen ergriffen werden, die die Übertragenen Daten vor dem Zugriff amerikanischer Behörden sichern. In unseren Augen kommt hier in erster Linie eine wirksame Verschlüsselung der Daten in Betracht. Diese kann – je nach genutztem Dienst, vom Datenimporteur oder Datenexporteur vorgenommen wer-den. Weiter sind die Datenschutzerklärung und eventuell vorhandene Einwilligungstexte an-zupassen. Letztlich ist eine Restrisikobewertung vorzunehmen.
Haben Sie weitere Fragen zu diesem Thema? Dann melden Sie sich bei unseren Datesnchutzexperten! Wir helfen Ihnen gerne.