Durch die Firmensitze der großen Cloud-Anbieter und oft auch der Standorte von Rechenzentren, werden die Daten mit der „Speicherung in der Cloud“ regelmäßig in die Vereinigten Staaten von Amerika als sogenanntes „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) übermittelt. Anforderung an eine derartige Drittlands-Übermittlung ist ein geeignetes Übermittlungsinstrument nach Art. 46 DSGVO. Für die USA kommen hier nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18) zur Unwirksamkeit des Angemessenheitsbeschluss EU-US Privacy Shield insbesondere die neuen EU-Standardvertragsklauseln (SCCs) in Betracht.
Europäische Kommission erlässt neue EU-Standardvertragsklauseln im Lichte von Schrems II
Der EuGH hat mit seinem Schrems II-Urteil den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Dabei stellt der EuGH aber klar, dass für einen Datentransfer in die USA durch den Datenexporteur auf EU-Standardvertragsklauseln zurückgegriffen werden kann. Voraussetzung hierfür ist jedoch, dass der Datenexporteur bewertet hat, ob durch etwaige Zugriffsmöglichkeiten durch Behörden in dem Drittstatt zusätzliche Maßnahmen (sogenannte „suplementary measures“) notwendig sind, um das angestrebte Schutzniveau der SCC zu gewährleisten.
Im Falle der USA ermöglicht es etwa Section 702 des Foreign Intelligence Surveillance Act (FISA) dortigen Behörden auf gespeicherte Daten zuzugreifen. Damit ist das angestrebte Datenschutzniveau durch das Recht und die Rechtsordnung in den USA beeinträchtigt und die zusätzliche Umsetzung von (Datenschutz-)Maßnahmen erforderlich.
Um den durch den EuGH definierten und hervorgehobenen Anforderungen an den Einsatz von EU-Standardvertragsklauseln gerecht zu werden, hat die Europäische Kommission am 04. Juni 2021 eine neue Version der Klauseln beschlossen (Durchführungsbeschluss (EU) 2021/914).
Gegenstand der neuen EU-Standardvertragsklauseln
Im datenschutzrechtlichen Tagesgeschäft stellt sich mit den neuen EU-Standardvertragsklauseln bei einer Übermittlung in ein Drittland immer die Frage, ob „der Datenimporteur durch Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland an der Erfüllung seiner Pflichten gemäß den SCCs gehindert [wird]“, wie es auch schon der EuGH in seiner Schrems II-Entscheidung ausgeführt hat.
Zur Beantwortung dieser Frage ist entsprechend der Vorgaben aus den neuen EU-Standardvertragsklauseln ein sogenanntes „Data Transfer Impact Assessment“ durchzuführen, welches eine Analyse und Risikobewertung der rechtlichen Lage und der (sonstigen) Faktoren im Zusammenhang mit der Übermittlung von personenbezogenen Daten in das jeweilige Drittland beinhaltet.
Das Data Transfer Impact Assessment im Detail
Gemäß Klausel 14 der EU-Standardvertragsklauseln sind folgende Anforderungen bei der Durchführung des Data Transfer Impact Assessments zu berücksichtigen:
- ob Anhaltspunkte für den Zugang öffentlicher Behörden zu den Daten vorliegen,
- ob Umstände der Übermittlung, Informationen zu den Akteuren, zum Zweck der Datenübermittlung, den Kategorie der Daten, den rechtliche Bestimmungen im Drittland und ergänzende Garantien etc. vorliegen,
- ob eine Best-Effort-Zusicherung bezüglich Information und Gewährleistung existiert,
- ob Dokumentationen auf behördliche Anfrage zur Verfügung gestellt werden müssen und
- ob bei Bedenken hinsichtlich des Schutzes der Daten der Datenexporteur sowie alle Betroffenen innerhalb der EU vor einem behördlichen Zugriff auf die Daten benachrichtigt wird.
Zu dem letzten Punkt, regelt Klausel 15 der EU-Standardvertragsklauseln, dass der Datenimporteur den Datenexporteur und alle Betroffenen über Anfragen ausländischer Behörden auf die übertragenen Daten zu benachrichtigen hat. Im Fall eines Benachrichtigungsverbots besteht die Pflicht des Datenimporteurs sich um Aufhebung des Verbots zu bemühen. Zudem muss der Datenimporteur die Rechtmäßigkeit von Offenlegungsersuchen überprüfen.
Umsetzungsempfehlungen des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat mit seinen Empfehlungen vom 18.06.2021 aufgezeigt, wie bei der Datenübermittlung in ein Drittland vorzugehen ist. Dabei stellt der EDSA die folgenden sechs Schritte heraus:
- Stellen Sie sich die Frage, ob Sie den Transfer kennen;
- Identifizieren Sie die Übertragungsinstrumente, auf die Sie sich stützen;
- Beurteilen Sie, ob das Übertragungsinstrument, auf das Sie sich nach Artikel 46 DSGVO stützen, unter Berücksichtigung aller Umstände des Transfers wirksam ist,
- Ergreifen Sie zusätzliche technische und organisatorische Maßnahmen,
- Ergreifen Sie alle formellen Verfahrensschritte, wenn Sie wirksame ergänzende Maßnahmen identifiziert haben,
- Bewerten Sie das Schutzniveau regelmäßig neu.
Dabei fällt schon auf, dass auch mit dem Einsatz und Abschluss der neuen EU-Standardvertragsklauseln es allein nicht getan ist. Vielmehr sind je nach Ausgang des sog. Data Transfer Impact Assessments (Schritt 3) zusätzliche Datenschutz-Maßnahmen zur Absicherung der Übermittlung in das Drittland zu definieren und implementieren (Schritt 4).
So sieht dies auch die deutsche Datenschutzkonferenz als Zusammenschluss aller deutschen Aufsichtsbehörden, wie aus ihrer Pressemittelung vom 21. Juni 2021 zu entnehmen ist.
Aber auch zu diesen zusätzlichen Maßnahmen spricht der EDSA in seinem Papier in Anhang 2 Empfehlungen in technischer, vertraglicher und organisatorischer Form aus.
So sind zusätzlich insbesondere bei unzureichendem Schutzniveau technische Maßnahmen empfehlenswert, wie beispielsweise Verschlüsselungsverfahren (wie etwa das Encryption Key Management), bei dem der Schlüssel beim Datenexporteur in der EU verbleibt, Pseudonymisierung oder Data Splitting. Jedoch sind solche technischen Maßnahmen manchmal, bereits aufgrund der Art des in Anspruch genommenen Dienstes, rein faktisch nicht möglich.
Neben der technischen Implementierung sind die rechtlichen Umsetzungsmöglichkeiten in den Blick zu nehmen. Die vertraglichen Maßnahmen, wie der Abschluss von Verträgen zur Auftragsverarbeitung mit Unternehmen in nicht-europäische Staaten, sind zum Teil bereits durch die Klausel 15 abgedeckt. Zudem gilt es in der Praxis die organisatorischen Maßnahmen, wie unternehmensinterne Richtlinien, die Überwachung der Einhaltung der gebotenen Standards sowie die Empfehlungen des Europäischen Datenschutzausschuss (EDSA) und der Datenschutzkommission (DSK) zu beachten.