News

Internationaler Datentransfer

20.11.2020

Europäischer Datenschutzausschuss veröffentlicht Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers

Hintergrund: „Schrems II“-Entscheidung des EuGH

 

In einer aufsehenerregenden Entscheidung hatte der Europäische Gerichtshof (EuGH) am 16.07.2020 in der Sache Schrems II den Durchführungsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ – ohne Übergangsfrist –  für ungültig erklärt und damit dem transatlantischen Datentransfer einen herben Schlag versetzt.

Auch die in der Praxis bislang häufig als Transferwerkzeug für den internationalen Datentransfer verwendeten EU Standarddatenschutzklauseln (oder bisher auch „Standardvertragsklauseln“) hatte der EuGH in seiner Entscheidung in den Fokus genommen. Zwar stellte der EuGH klar, dass die Standarddatenschutzklauseln an sich nicht zu beanstanden sind. Gleichzeitig seien die zuständigen Aufsichtsbehörden aber verpflichtet, eine auf Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Behörden im Licht aller Umstände dieser Übermittlung der Auffassung sind, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können. Gegebenenfalls müssten der Datenexporteur und Datenimporteur zusätzlich zu den Standardvertragsklauseln ergänzende Maßnahmen treffen, um ein angemessenes Datenschutzniveau zu gewährleisten.

Insbesondere vor dem Hintergrund der kritischen Ausführungen des EuGH zur Rechtslage in den USA drängt sich seit der Entscheidung des obersten europäischen Gerichts die Frage auf, ob die Aufsichtsbehörden Datentransfers in die USA nicht auch dann unterbinden müssen, wenn diese Datentransfers ohne ergänzende Maßnahmen allein auf Basis der Standardvertragsklauseln erfolgen und gleichzeitig auf der Hand liegt, dass die jeweiligen konkreten Datenimporteure US-Gesetzen unterliegen, die ihnen die Einhaltung der Standardvertragsklauseln im Ergebnis unmöglich machen.

Empfehlungen des Europäischen Datenschutzausschusses

 

Bereits am 24.07.2020 hatte der Europäische Datenschutzausschuss (EDSA) kurze FAQ zum Urteil des EuGH in Sachen „Schrems II“ veröffentlicht. Nun gab der EDSA am 11.11.2020 ausführliche Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers sowie Empfehlungen zu Essentiellen Europäischen Garantien für Überwachungsmaßnahmen zur öffentlichen Konsultation frei.

In seinen kürzlich veröffentlichten Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers bekräftigt der EDSA nun insbesondere seine Auffassung, dass Übermittlungen an Empfänger, die dem vom EuGH in seiner „Schrems II“-Entscheidung scharf kritisierten Abschnitt 702 des US Foreign Intelligence Surveillance Act („FISA“) unterworfen sind, auf Grundlage von Standardvertragsklauseln oder anderen Transferwerkzeuge nur mit zusätzlichen technischen Maßnahmen zulässig sind, die einen Zugriff auf die übermittelten Daten unmöglich machen. In anderen Worten: Zusätzliche vertragliche und/oder organisatorische Maßnahmen reichen als ergänzende Maßnahmen nach Auffassung der Behörden nicht aus.

Die Empfehlungen des EDSA enthalten eine Reihe von Beispielen für ergänzende Maßnahmen, insbesondere auch technische Maßnahmen. Die Empfehlungen beschreiben auch spezifische Szenarien (Anwendungsfälle), für die nach Auffassung des EDSA wirksame technische Maßnahmen gefunden werden konnten oder nicht.

Kurz gesagt, für typische cloud-basierte Dienste, bei denen personenbezogene Daten verarbeitet werden, soll es nach Auffassung des EDSA vor allem auf eine angemessen starke Verschlüsselung ankommen, bei der ausschließlich der Datenexporteur und nicht der Datenimporteur über den Schlüssel verfügt.

Darüber hinaus skizziert der EDSA in seinen Empfehlungen die wesentlichen Schritte, die Datenexporteure vor dem Hintergrund Ihrer datenschutzrechtlichen Rechenschaftspflicht unternehmen sollten:

  1. Analyse der Datentransfers in Drittländer („Know Your Transfers“)
  2. Identifikation der verwendeten Transferwerkzeuge
  3. Beurteilung der Wirksamkeit der Transferwerkzeuge
  4. Identifizierung angemessener ergänzender Maßnahmen
  5. Implementierung ergänzender Maßnahmen
  6. Regelmäßige Evaluierung

Der EDSA holt zu seinen Empfehlungen noch bis zum 21.12.2020 Feedback im öffentlichen Konsultationsverfahren ein. Es ist nicht auszuschließen, dass der EDSA auf Grundlage des Feedbacks noch Änderungen an seinen Empfehlungen vornehmen wird. Wir empfehlen dennoch, die vom EDSA formulierten Anforderungen schon jetzt bei der Umsetzung der gesetzlichen Anforderungen an den internationalen Datentransfer mit zu berücksichtigen.

Europäische Kommission veröffentlicht Entwürfe für neue Standarddatenschutzklauseln für internationalen Datentransfer und Standardvertragsklauseln für Auftragsverarbeitungsverträge

Kurz darauf veröffentlichte die Europäische Kommission am 12.11.2020 überraschenderweise nicht nur den Entwurf neuer „Standarddatenschutzklauseln“ für Übermittlungen personenbezogener Daten in Drittländer, sondern auch den Entwurf für „Standardvertragsklauseln“ für Auftragsverarbeitungsverträge für Verarbeitungen in der EU:

Noch bis zum 10.12.2020 holt die Kommission Feedback zu den Entwürfen ein. Auch der EDSA erhält Gelegenheit zur Stellungnahme. Die Entwürfe sehen eine Verabschiedung der Implementierungsentscheidungen noch in 2020 vor.

Die von der Kommission vorgeschlagenen neuen „Standarddatenschutzklauseln“ sehen eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vor. Insbesondere sollen die neuen „Standarddatenschutzklauseln“ im Sinne eines modularen Ansatzes sowohl auf Transfers an Auftragsverarbeiter als auch für Übermittlungen zwischen Verantwortlichen Anwendung finden. Zudem sollen die neuen Klauseln auch für einen Weitertransfer von einem Auftragsverarbeiter an weitere Unterauftragsverarbeiter Verwendung finden können. Ob der Entwurf der neuen Klauseln dem anvisierten Ziel einer universell für verschiedene Szenarien anwendbaren Vertragsvorlage auch in der Praxis tatsächlich gerecht werden kann, bleibt abzuwarten.

Anknüpfend an die Entscheidung des EuGH in der Sache „Schrems II“ stellt die Kommission im Entwurf der neuen Standarddatenschutzklauseln jedenfalls klar, dass auch bei Verwendung der neuen Klauseln abhängig von der Rechtslage im jeweiligen Drittland möglicherweise ergänzende Maßnahmen erforderlich sein können.

Datenexportierende Unternehmen werden also voraussichtlich auch auf Grundlage der von der Europäischen Kommission vorgeschlagenen neuen „Standarddatenschutzklauseln“ nicht umhin kommen, für sämtliche auf Standarddatenschutzklauseln gestützte Übermittlungen in Drittländer (also nicht nur in die USA) im Einzelnen zu prüfen, welchen Gesetzen der jeweilige Datenimporteur im Drittland, an den sie die Daten übermitteln möchten, und etwaige weitere Empfänger unterliegen und ob diese Gesetze die von ihnen mit Unterzeichnung der Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren und festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden.

Weiterführende Links: