Zum Inhalt springen Zur Navigation springen
Drittlandtransfer – auf dem Weg zu mehr Rechtssicherheit

Drittlandtransfer – auf dem Weg zu mehr Rechtssicherheit

Ein aktuelles Urteil des belgischen Staatsrats erkennt die vom EDSA aufgestellten Vorgaben für den Drittlandtransfer an. Die europäischen Datenschutzaufsichtsbehörden prüfen mit stichprobenartigen Anfragen den Status quo der Drittlandtransfers. Und die Industrie entwickelt eigene Lösungen zur Vermeidung von Zugriffen durch US-Sicherheitsbehörden. Seit Schrems II ist in puncto Datentransfer in (unsichere) Drittstaaten einiges in Bewegung geraten. Wir zeigen aktuelle Tendenzen auf.

Schrems II und die „zusätzlichen Maßnahmen“

Die Ausgangslage stellt sich dabei wie folgt dar: Nach dem Schrems II-Urteil des EuGH vom 16. Juli 2020 stand die Nutzung von US-Dienstleistern gefühlt vor dem Aus. Der Privacy Shield war als Rechtsgrundlage für einen Datentransfer in die USA entfallen. Und nach den Ausführungen des EuGH konnte auch der Abschluss von Standardvertragsklauseln (oder kurz: SCC´s) allein kein hinreichendes Datenschutzniveau gewährleisten. Vielmehr forderte der EuGH eine Prüfung im Einzelfall, ob die nationale Gesetzgebung eine angemessene Sicherheit auch im Hinblick auf die abgeschlossenen Standarddatenschutzklauseln bietet. Falls dies nicht der Fall sein sollte, wären „zusätzliche Maßnahmen“ zu ergreifen, um die Rechtsschutzlücken zu schließen.

EDSA entwickelt eigene Maßnahmen

Die genaue Ausgestaltung der geforderten „zusätzlichen Maßnahmen“ blieb jedoch unklar. Hier sprang der Europäische Datenschutzausschuss (EDSA) in die Bresche. Das Gremium der nationalen Datenschutzaufsichtsbehörden der EU veröffentlichte „Empfehlungen zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“.

In diesen ausführlichen Empfehlungen stellte der EDSA selbst entsprechende „zusätzliche Maßnahmen“ vor, um ein angemessenes Schutzniveau beim Drittstaatentransfer sicherzustellen. So soll insbesondere ein Zugriff von US-Geheimdiensten auf die Daten verhindert werden. Dies kann realistischerweise nur durch entsprechende Verschlüsselung von Daten garantiert werden. Rein vertragliche Verpflichtungen dürften regelmäßig nicht ausreichen.

Vorgaben des EDSA nicht verbindlich

Zum Verständnis ist wichtig, sich klarzumachen, dass der EDSA nicht mehr ist als ein Zusammenschluss der nationalen europäischen Datenschutz-Behörden. In einer Gewaltenteilung bestimmt aber nun einmal nicht die Exekutive darüber, was Recht und was Unrecht ist, sondern – im Zweifelsfall – die Gerichte. Und hier kommt das Urteil des belgischen Staatsrats (in etwa dem deutschen Bundesverwaltungsgericht entsprechend) ins Spiel.

Belgischer Staatsrat akzeptiert Vorgaben des EDSA

Der Belgische Staatsrat nahm in seinem Urteil vom 19.08.2021 nun ausdrücklich Bezug auf die Empfehlungen des EDSA. Diese sähen eine Verschlüsselung als grundsätzlich geeignete zusätzliche Maßnahme zur Gewährleistung eines hinreichenden Datenschutzniveaus an. Da eine solche wohl (im vorliegenden Fall) eingerichtet worden sei, könne die Vergabeentscheidung zugunsten eines Dienstes, der Server des US-Anbieters AWS nutze, aufrecht erhalten bleiben. Ein Verstoß gegen die DSGVO sei nicht nachgewiesen worden.

Michael Will, der Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), zeigte sich erfreut. Gegenüber golem.de beurteilte er die Anerkennung der EDSA-Kriterien als geeigneten Beurteilungsmaßstab durch den belgischen Staatsrat als einen

„wichtigen Beitrag zur einheitlichen Anwendung des europäischen Datenschutzrechts und zur Verbesserung der Rechtssicherheit.“

Wie tiefgreifend das Gericht allerdings die Wirksamkeit der Verschlüsselung tatsächlich geprüft hat, lässt sich dem Urteil nicht ohne Weiteres entnehmen. Es kann daher auch nicht als Fingerzeig für eine generelle Unbedenklichkeit von US-Cloud-Diensten, die eine Verschlüsselung anbieten, verstanden werden.

Konzertiertes Vorgehen der Aufsichtsbehörden

Wo deutsche Unternehmen hinsichtlich des Drittlandtransfers stehen, versuchen derzeit einige der Landesdatenschutzaufsichtsbehörden zu ergründen. Diese hatten am 01. Juni in einer konzertierten Aktion Fragebögen zu einigen standardmäßig mit einem Drittlandtransfer verbundenen Verarbeitungssituationen versandt. Die „glücklichen“ Adressaten dürfen nun Auskunft erteilen über ihren Datenübermittlungen in Bereichen wie Webhosting, Tracking oder konzerninterner Datenverarbeitung.

Man darf gespannt sein, welche Schlüsse die Aufsichtsbehörden aus den Antworten ziehen (so sie denn kommen), und was für Maßnahmen sie möglicherweise ergreifen werden.

Abgesicherte Microsoft-Cloud à la Telekom

Die Telekom-Tochter T-Systems International GmbH versucht derweil die Unsicherheiten bezüglich des Drittstaatentransfers bei Nutzung von Microsoft 365 zum Geschäftsmodell zu machen: Sie hat einen eigenen Cloud Privacy Service entwickelt, der eine DSGVO-konforme Nutzung von MS 365 ermöglichen soll.

Dieser Dienst soll ermöglichen, dass die Cloud-Anwendungen nahezu so betrieben werden können wie bei originärer Nutzung von Microsoft 365, aber ohne dass personenbezogene Daten auf Servern von Microsoft landen, wo sie potentiell von US-Geheimdiensten abgegriffen werden könnten. Basis dafür ist das nach einer Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Gateway des Herstellers Eperi.

In der Praxis melden sich die Anwender ganz klassisch mit ihrem Namen bei Microsoft 365 an, allerdings an einem Login-Server von T-Systems. Durch Ersetzen des Anwendernamens durch ein Pseudonym und die Verwendung weiterer Verschlüsselungstechniken sollen letztlich keine personenbezogenen Anwenderdaten auf Servern von Microsoft selbst landen. Trotzdem bleiben die Daten durch den Anwender (bzw. sein Unternehmen) weiter in der Cloud durchsuchbar und bearbeitbar.

Verschiedene Player, verschiedene Ansätze

Die aufgezeigten Beispiele verdeutlichen, dass es verschiedene Player gibt, die auch in Zukunft ganz eigene Anstöße zur Lösung der Drittlandtransfer-Problematik geben werden.

Baldige Klarheit ist trotz dieser parallelen Entwicklungen in der Praxis der Aufsichtsbehörden, der Rechtsprechung und der Industrie nicht zu erwarten. Hierfür bedürfte es wohl noch des ein oder anderen EuGH-Urteils.

Unternehmen tun jedenfalls gut daran, ihren Auslandsdatentransfer gründlich zu durchleuchten und zu dokumentieren und sich weitestgehend abzusichern. Denn es reicht eine einzelne Beschwerde Dritter und schon kann die Aufsichtsbehörde auf der Schwelle stehen. Hierzu können die neuen Standardvertragsklauseln (SCC´s) der EU mit ihrem integrierten Transfer Impact Assessment (TIA) einen wesentlichen Beitrag leisten. Um die gewissenhafte Durchführung dieses TIA´s wird man, will man DSGVO-konform sein, nicht mehr herumkommen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.