Wie geht es nach „Schrems II“ weiter mit internationalen Datentransfers? Mit dem „Schrems-II“-Urteil vom 16. Juli 2020 (Az. C-311/18) erklärte der Europäische Gerichtshof (EuGH) die Übermittlung personenbezogener Daten in die USA auf der Grundlage des „Privacy Shield“-Abkommens für rechtswidrig. Dieses Urteil hatte weit reichende Folgen für internationale Datentransfers, die weit über die zu entscheidenden Fragen in Bezug auf das „Privacy Shield“ hinausgehen.
In der Folge des Urteils herrschte zunächst große Rechtsunsicherheit in Bezug auf die Nutzung von Online-Diensten aller Art. Denn das Urteil warf auch die Frage auf, inwiefern Datentransfers, nicht nur in die USA, sondern in jeden Drittstaat, für den kein Angemessenheitsbeschluss vorliegt, auf die so genannten Standardvertragsklauseln gestützt werden können. Erfasst sind davon auch Staaten wie die Türkei, China oder ab dem 1. Januar 2021 auch Großbritannien.
Der EuGH stellte klar, dass für Datentransfers in Drittländer die Garantien aus den Standardvertragsklauseln nicht mehr genügen, um ein ausreichendes Schutzniveau für personenbezogene Daten sicherzustellen. Es seien zusätzliche technische und vertragliche Schutzmaßnahmen sowie eine Abschätzung des Risikos für die Betroffenen erforderlich, um eine Datenübertragung rechtfertigen zu können. Wie diese zusätzlichen Schutzmaßnahmen genau auszusehen haben, blieb jedoch lange offen. Klar war nur, dass die erforderlichen zusätzlichen Schutzmaßnahmen im Einzelnen von den Umständen der konkreten Datenübertragung abhängig sind.
Als Erster äußerte sich der LfDI Baden-Württemberg mit einer Orientierungshilfe und schlug eine Reihe von möglichen zusätzlichen Schutzmaßnahmen vor.
Im November hat jetzt auch der Europäische Datenschutzausschuss (EDPB) einen Entwurf von Umsetzungsempfehlungen veröffentlicht. Als mögliche zusätzliche Schutzmaßnahmen wurden dabei genannt:
- Verschlüsselung der Daten und Aufbewahrung des Schlüssels in einem EU-Staat oder in einem Drittland, für welches ein Angemessenheitsbeschluss vorliegt;
- Verpflichtung des Datenimporteurs, Aufforderungen zur Herausgabe von Daten an ausländische Behörden dem Datenexporteur und/oder Betroffenen anzuzeigen;
- Verpflichtung des Datenimporteurs, die Rechtmäßigkeit jeder Anordnung zur Offenlegung von Daten zu überprüfen und gegebenenfalls anzufechten.
Doch auch nach der Veröffentlichung des Entwurfs der Empfehlungen des EDPB sind noch eine Vielzahl von Fragen ungeklärt, die sich aus dem „Schrems II“-Urteil ergeben. So ist etwa offen, wie mit Onlinediensten zu verfahren ist, welche von europäischen Tochtergesellschaften US-amerikanischer Konzerne wie Google oder Microsoft angeboten werden. Ist bei diesen auf den tatsächlichen Verbleib der Daten (EU) oder auf den Sitz der Muttergesellschaft (Drittland) aufgrund der Möglichkeit, dass diese von ausländischen Behörden auf Datenoffenlegung in Anspruch genommen werden könnten, abzustellen? In jedem Fall müssen Unternehmen, die Daten an ausländische Dienstleister und Partner übertragen, mit der Veröffentlichung des Entwurfs der Empfehlungen des EDPB allerspätestens jetzt handeln.
Was ist dabei konkret zu tun?
1. internationale Datentransfers identifizieren
Zunächst ist zu prüfen, in welchen Fällen Daten an Dienstleister und Partner mit Sitz außerhalb der EU übertragen werden. Hierbei sind auch Weiterübermittlungen zu berücksichtigen, wenn beispielsweise ein Auftragsverarbeiter in der EU personenbezogene Daten an einen Unter- Auftragsverarbeiter in einem Drittstaat weitergibt. Auch der Fernzugriff aus einem Drittland (z.B. beim Support) und die Speicherung in einer außerhalb des EWR gelegenen Cloud gilt als Übertragung im Sinne der DSGVO.
2. Einführung und Vereinbarung zusätzlicher Schutzmaßnahmen („SCC Plus“)
Darüber hinaus sind zusätzliche Schutzmaßnahmen zu treffen, deren Inhalt und Umfang vom konkreten Einzelfall abhängig ist. Sie können vertraglicher, technischer oder organisatorischer Art sein. Vertragliche und organisatorische Maßnahmen allein werden in der Regel jedoch nicht ausreichen, um den Zugriff auf die personenbezogenen Daten durch die Behörden des Drittlandes zu verhindern oder in ausreichender Weise einzuschränken.
3. interne Risikoabwägung, ob die Schutzmaßnahmen genügen, um ein vergleichbares Schutzniveau sicherzustellen
Schließlich ist eine umfassende Abwägung der Risiken vorzunehmen, welche mit der konkreten Datenverarbeitung für die betroffenen Nutzer oder Kunden einhergehen. Ein besonderes Augenmerk ist dabei auf die folgenden Punkte zu legen:
- die konkreten Risiken, welche sich aus dem Übertragungsweg ergeben
- die konkreten Risiken im Zusammenhang mit der Verarbeitung der Daten durch den jeweiligen Datenimporteur
- die Zumutbarkeit der Nutzung alternativer, in der EU ansässiger Anbieter der fraglichen Dienstleistungern
Gerne unterstützen wir Sie bei dieser Prüfung und der Erstellung der erforderlichen Dokumente.