Der Europäische Datenschutzausschuss (EDSA) hat ein FAQ-Dokument zu den gerade drängenden Fragen in Sachen Datentransfer in Drittländer herausgegeben. In diesem Beitrag finden Sie die wichtigsten Aussagen des EDSA-Papiers zusammengefasst.
Der Inhalt im Überblick
- Überblick über den Status Quo
- Was müssen Unternehmen nun tun?
- Was, wenn festgestellt ist, dass ein angemessener Schutz bei Datentransfers nicht gewährleistet werden kann?
- Gibt es nun eine „Meldepflicht“ für Datentransfers in die USA?
- Gilt dies nur für Datentransfers in die USA?
- Hat das Urteil des EuGH auch Auswirkungen auf andere Übertragungsinstrumente als das Privacy Shield?
- Welche Handlungsmöglichkeiten haben Unternehmen?
- Was bedeutet dies alles für Unternehmen in der Praxis?
Überblick über den Status Quo
Die Entscheidung des EuGH C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, schlägt weiter hohe Wellen. Von der umgehenden Einstellung aller Übermittlungen personenbezogener Daten in die USA bis hin zu „Stützen Sie sich vorerst weiter auf das Privacy Shield“ schwirren gerade die unterschiedlichsten Handlungsempfehlungen durch die Datenschutzwelt.
Den aktuellen Stand beschreibt der EDSA sehr eindeutig:
Gibt es eine Karenzzeit oder Übergangsfrist zur Umsetzung des Urteils?
Nein. Der EuGH ist zu dem Schluss gekommen, dass das US-Recht (insbesondere Section 702 FISA und EO 12333) keinen im Wesentlichen dem Recht der EU gleichwertigen Schutz für Betroffene bietet. Diese Einschätzung müsse umgehend und bei jeder Datenübertragung in die USA beachtet werden. Unternehmen sind dazu aufgefordert, ihre Drittlandübermittlungen vor diesem Hintergrund zu überprüfen.
Sind die Standarddatenschutzklauseln weiterhin gültig und ausreichende Grundlage für den Datentransfer in die USA?
Grundsätzlich sind die Standarddatenschutzklauseln (SCC) weiterhin gültig. Ob sie als Basis für den Transfer personenbezogener Daten in die USA taugen, ist vom Einzelfall abhängig. In die Beurteilung sind die Umstände der Übertragung und ggf. weitere mögliche Schutzmaßnahmen mit einzubeziehen. Die zusätzlichen Schutzmaßnahmen müssen ein den Umständen angemessenes Schutzniveau garantieren und dürfen durch das US-Recht nicht unterminiert werden.
Für die USA dürfte dies in der Praxis schwierig aussehen, da das vom EuGH betrachtete US-Recht (d.h. Abschnitt 702 FISA und EO 12333) nicht durch vertragliche Vereinbarung ausgeschlossen werden kann. Ein rechtmäßiger Datentransfer an diejenigen US-Unternehmen, welche dem Anwendungsbereich des Abschnitt 702 FISA und EO 1233 unterliegen, ist allein aufgrund der SCC daher nur noch in Ausnahmefällen zulässig.
Was gilt bei Nutzung von Binding Corporate Rules?
Auch der Transfer personenbezogener Daten auf Grundlage von Binding Corporate Rules (BCR) in Drittländer ist grundsätzlich möglich. Hier gilt jedoch dasselbe wie bei SCC: Kann ein angemessenes Schutzniveau nicht gewährleistet werden (z.B. weil Schutzmaßnahmen durch im Drittland geltendes Recht unterminiert werden), ist der Transfer einzustellen.
Was müssen Unternehmen nun tun?
Auch hinsichtlich der notwendigen Maßnahmen, sollte ein dem der EU vergleichbares Schutzniveau nicht herstellbar sein, findet der EDSA deutliche Worte:
Was, wenn festgestellt ist, dass ein angemessener Schutz bei Datentransfers nicht gewährleistet werden kann?
Sollten zusätzliche Schutzmaßnahmen nicht möglich sein oder ist trotz dessen ein angemessenes Schutzniveau nicht zu gewährleisten, ist der Transfer einzustellen.
Hier erklärt der EDSA:
„If you come to the conclusion that, taking into account the circumstances of the transfer and possible supplementary measures, appropriate safeguards would not be ensured, you are required to suspend or end the transfer of personal data. However, if you are intending to keep transferring data despite this conclusion, you must notify your competent SA.“
Nach Ansicht des EDSA müssen Unternehmen also die zuständige Aufsichtsbehörde benachrichtigen, sofern sie beabsichtigen Datentransfers in die USA (oder ein anderes unsicheres Drittland) aufrechtzuerhalten, obwohl ein geeigneter Schutz nicht gewährleistet werden kann.
Gibt es nun eine „Meldepflicht“ für Datentransfers in die USA?
Unternehmen, die festgestellt haben, dass trotz Standarddatenschutzklauseln oder Binding Corporate Rules und ggf. weiterer Schutzmaßnahmen ein angemessenes Datenschutzniveau nicht garantiert werden kann, aber dennoch personenbezogene Daten in die USA übermitteln wollen, sind verpflichtet, die zuständige Aufsichtsbehörde hierüber zu informieren.
Der EDSA bezieht sich bei seiner Aussage auf Rn. 145 des EuGH-Urteils. Dort heißt es:
„Lastly, under Clause 4(g) in that annex, the controller established in the European Union is required, when the recipient of personal data notifies him or her, pursuant to Clause 5(b), in the event of a change in the relevant legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the standard data protection clauses, to forward any notification to the competent supervisory authority if the controller established in the European Union decides, notwithstanding that notification, to continue the transfer or to lift the suspension. The forwarding of such a notification to that supervisory authority and its right to conduct an audit of the recipient of personal data pursuant to Clause 8(2) in that annex enable that supervisory authority to ascertain whether the proposed transfer should be suspended or prohibited in order to ensure an adequate level of protection.“
Was die Pflicht zur Information der zuständigen Aufsichtsbehörde konkret bedeutet, ist nicht abschließend geklärt.
Gilt dies nur für Datentransfers in die USA?
Nein. Das vom EuGH beschriebene Mindestmaß an Schutz muss in jedem Drittland gewährleistet sein, in das sie personenbezogene Daten transferieren wollen.
Hat das Urteil des EuGH auch Auswirkungen auf andere Übertragungsinstrumente als das Privacy Shield?
Die Ausführungen des EuGH bezüglich der Sicherstellung eines angemessenen Datenschutzniveaus in Drittländern gilt für alle geeigneten Schutzmaßnahmen nach Artikel 46 DSGVO, die für die Übertragung von Daten aus dem EWR in ein Drittland verwendet werden. Der EDSA weist ausdrücklich darauf hin, dass das vom EuGH betrachtete US-Recht (d.h. Abschnitt 702 FISA und EO 12333) für jede Übertragung in die USA auf elektronischem Wege im Geltungsbereich dieser Gesetze gilt, unabhängig von dem für die Übertragung verwendeten Übertragungsinstrument.
Welche Handlungsmöglichkeiten haben Unternehmen?
Was konkrete Handlungsempfehlungen angeht, hält sich der EDSA mit Aussagen eher zurück und verweist auf derzeit stattfindende Prüfungen.
Was ist mit den Ausnahmetatbeständen des Art. 49 DSGVO? Sind sie eine Alternative?
Es ist möglich, personenbezogene Daten auf Grundlage der Ausnahmetatbestände des Art. 49 DSGVO in die USA zu übermitteln, sofern die Voraussetzungen des jeweiligen Tatbestandes vorliegen. Auch hier ist eine Einzelfallbetrachtung erforderlich.
Was ist mit zusätzlichen Schutzmaßnahmen gemeint und helfen sie immer?
Konkrete Empfehlungen zu zusätzlichen Schutzmaßnahmen gibt der EDSA vorerst nicht. Deutlich wird jedoch: Für Datenübertragungen in die USA helfen auch zusätzliche Schutzmaßnahmen eher nicht. Bei Übertragungen in andere Drittländer kommt es darauf an, ob das dortige Recht ein mit dem Schutzniveau der EU vergleichbaren Schutz zulässt oder – wie im Fall der USA – eben nicht.
Theoretisch sind sowohl rechtliche als auch technische oder organisatorische Maßnahmen möglich. Denkbar sind Vertragsänderungen oder -ergänzungen, zusätzliche Verschlüsselungen, ggf. Änderungen im Schlüsselmanagement.
Was ist mit Auftragsverarbeitern in Drittländern?
Der EDSA rät dazu, die Auftragsverarbeitungsverträge darauf zu überprüfen, ob ihr Vertragspartner selbst oder seine Subunternehmer Daten in den USA (oder anderen Drittländern) verarbeiten dürfen oder Dienstleistern aus den USA (oder anderen Drittländern) Zugriff auf personenbezogene Daten in der EU gewährt wird.
Ist dies der Fall, sollte der Vertragspartner kontaktiert werden, um eine Änderungs- oder Ergänzungsklausel zu Ihrem Vertrag auszuhandeln.
Was bedeutet dies alles für Unternehmen in der Praxis?
Unternehmen müssen jeden Transfer personenbezogener Daten in ein Drittland, insbesondere in die USA, überprüfen.
- Ermitteln Sie alle Ihre Datentransfers in Drittländer.
- Stellen Sie fest, auf welcher Rechtsgrundlage die Daten übertragen werden.
- Erfolgt der Transfer auf der Grundlage des Privacy Shield, ist zu prüfen, ob der Transfer nunmehr auf Standarddatenschutzklauseln, Binding Corporate Rules oder ein anders Transferinstrument aus Art. 46 DSGVO gestützt werden kann oder ob ein Ausnahmetatbestand des Art. 49 DSGVO greift.
- Erfolgt der Transfer auf Grundlage der Standarddatenschutzklauseln oder von BCR ist zu prüfen, ob hierdurch ein Schutz personenbezogener Daten gewährleistet ist, der im Wesentlichen denen des EU-Rechts entspricht.
- Ist dies nicht der Fall, ist zu prüfen, ob ein angemessenes Schutzniveau evtl. durch zusätzliche Schutzmaßnahmen erreicht werden kann. Die Umstände der Übermittlung sind dabei zu berücksichtigen. Zusätzliche Schutzmaßnahmen können ggf. zusätzliche Verschlüsselung oder eine Vertragsergänzung sein.
- Ist ein angemessenes Schutzniveau nicht zu gewährleisten, weil es dem Datenimporteur aufgrund von Rechtsvorschiften des Drittlands nicht möglich ist, die SCC zu erfüllen und die zusätzlichen Schutzmaßnahmen einzuhalten, ist zu prüfen, ob eine der Ausnahmen des Art. 49 DSGVO greifen. Ist auch dies nicht der Fall, ist der Datentransfer auszusetzen.
- Soll der Datentransfer trotz der Feststellung, dass ein angemessenes Schutzniveau nicht gewährleistet werden kann, fortgesetzt werden, hat das die Daten exportierende Unternehmen die zuständige Aufsichtsbehörde hierüber zu informieren.
Hier finden Sie das vollständige FAQ-Dokument des EDSA.
Der Blog-Eintrag verschweigt ja noch einen ganz wesentlichen Teil der FAQ, der das Ganze noch problematischer macht. Dort heißt es im vorletzten Absatz:
„forbid transfers to the U.S. Data should not only be stored but also administered elsewhere than in the U.S.“
Das heißt, dass es auch nicht ausreicht, bei Cloud-Dienstleistern ein Rechenzentrum in der EU zu wählen, weil der US Cloudanbieter eben auch an die US-Gesetze zur Herausgabe von Daten und Öffnen von Hintertüren gebunden ist, wenn er einen (administrativen) Zugriff auf diese Rechenzentren hat. Damit ist auch diese Lösung, Dienste wie AWS, Office 365, Azure oder Google Cloud zu verwenden, faktisch verbaut.
Was bliebe, sind technische Maßnahmen – also Verschlüsselung (und zwar eine, die die NSA noch nicht knacken kann), sowohl in Transit (weil „Upstream“ ja auch den Datenverkehr der großen Internetknoten überwacht).
Die Verschlüsselung wird hier nicht helfen, denn auch verschlüsselte personenbezogene Daten sind ganz normale personenbezogene Daten. Verschlüsselte personenbezogene Daten werden nicht wie anonyme Daten behandelt. Verschlüsselung ist eine ganz normale TOM i.S.d. Art. 32 Abs. 1 lit.a DSGVO und die DSGVO findet ganz normal Anwendung auf verschlüsselte Daten.
Entsprechend muss auch bei verschlüsselten, personenbezogenen Daten, ein Zugriff der US-Sicherheitsbehörden ausgeschlossen werden.
Die für viele unangenehme Wahrheit ist ganz einfach, dass bis auf weiteres personenbezogene Daten nicht rechtskonform an Unternehmen in den USA übermittelt werden können, die unter FISA und vergleichbare Überwachungsvorschriften fallen. (Mit ganz eng begrenzten Ausnahmen für nicht regelmäßige, rechtlich erforderliche Übermittlungen, die für keine der typischen „Outsourcing“-Anbieter wie Amazon, Google, Microsoft, usw. Anwendung finden.)
Die USA müssen ihre Gesetze ändern, wenn sie zukünftig personenbezogene Daten aus der EU verarbeiten möchten. Bis dahin müssen Verantwortliche in der EU auf DSGVO-Konforme Anbieter aus anderen Ländern (z.B. innerhalb der EU) wechseln oder Prozesse „insourcen“.
(So die tatsächliche Rechtslage. Dass die EU-Kommission vielleicht in ein paar Monaten erneut ein offensichtlich Europarechtswidriges Abkommen aus dem Hut zaubert, welches dann erneut über Jahre aufwendig weggeklagt werden muss, kann selbstverständlich nicht ausgeschlossen werden.)
Nachtrag: Ganz davon abgesehen, dass die meisten Cloud-Dienstleistungen gar nicht oder nur noch äußerst begrenzt verwendet werden können, wenn der Anbieter keinen Zugriff auf die Klartextinhalte hat. Wenn z.B. ein Marketing Automation Tool kein E-Mail-Adressen lesen kann, weil ich diese verschlüsselt einspeicher, kann das Tool auch keine Newsletter an die Empfänger senden.
Die gesamte Funktionalität und Intelligenz von modernen Cloud-Anwendungen müsste auf den Client verlagert werden, was oft nicht möglich (Performance) und noch öfter vom Anbieter nicht gewollt ist, da sich damit of die Anbindung an eine Cloud erübrigt und da man Angst um seine Trade Secrets hat.
Also selbst wenn ich Unrecht hätte hinsichtlich der rechtlichen Behandlung von verschlüsselten Daten, wäre eine sinnvolle Umsetzung jenseits von reinen Dateiablagen (Cloud-Speicher), ohnehin nicht möglich.
Der Blog verschweigt nichts. Dass auch die reinen Zugriffsmöglichkeiten von US-Firmen auf deren europäische Server ein Problem sind, ist lediglich kein neuer Aspekt. Der Artikel führt es nicht explizit auf. Ihre Ausführungen hinsichtlich der Cloud-Dienstleister und der möglichen technischen Maßnahmen sind korrekt.
Die Ausführungen hier bzgl. der nunmehr angeblichen Unmöglichkeit pbD in den USA zu verarbeiten sind schlicht und ergreifend Unsinn. Auch wenn Datenschutzbehörden gerne den Avenger geben und die USA als den Beelzebub darstellen, ist es formaljuristisch nach wie vor möglich und zulässig eine Verarbeitung von pbD in den USA vorzunehmen. Die SCCs müssten ggf. um weitere TOMs erweitert werden (insofern wartet man sicherlich gespannt auf die Äußerungen der Behörden). Ansonsten ist die bloße Möglichkeit, dass US-Sicherheitsbehörden auf die pbD zugreifen könnten absolut kein Ausschlussgrund dafür, die USA auszuschließen.
Instruktiv hierzu lese man die guten DSFAs der niederländischen Behörde zu Office365, die dieses Risiko im Gesamtkontext als „gering“ einstufen.
Es liest sich auf Datenschutzseiten natürlich immer gut, wenn man behauptet „Verarbeitung in/aus den USA unzulässig“. Faktisch ist das einfach falsch…
Der Artikel ist keine Meinungsdarstellung der intersoft consulting services AG, sondern fasst die wichtigsten Aussagen der FAQ des Europäischen Datenschutzausschusses EDSA zusammen. Das Dokument ist am Ende des Artikel verlinkt.
Danke für den Hinweis auf die DSFAs der niederländischen Behörden, diese sind uns bekannt. Bitte beachten Sie aber, dass sie vor dem Urteil des EuGH vom 16. Juli 2020 erstellt wurden.
Ihre Aussage, dass die bloße Möglichkeit des Zugriffs der US-amerikanischen Sicherheitsbehörden kein Ausschlussgrund seien, ist aber interessant, schließlich ist dies ja der eigentliche Stein des Anstoßes in der aktuellen EuGH-Entscheidung. Wie begründen Sie dies?
Wie ist das denn jetzt eigentlich mit der Nutzung von LinkedIn und Twitter, wenn man das nicht rein privat nutzt? Ist das somit auch unzulässig, da Nutzer dort Profile auch ohne explizite Einwilligung sehen können?
Sie schneiden hier verschiedene Problemfelder an: Zum einen ein Joint Controllership von Unternehmen mit LinkedIn/Twitter, zum anderen die Tatsache, dass LinkedIn und Twitter personenbezogene Daten von Nutzern in unsicheren Drittländern verarbeiten. Worauf zielen Sie mit der Frage konkret?
Vielen Dank für Ihre Nachfrage. – Es ging mir primär darum, wie es ist, wenn man Twitter beruflich nutzt, d. h. z. B. Links zu eigenen Blogposts postet und von seiner Website aus auf Twitter verlinkt. Oder selbst wenn man nur ersteres tut. Man kann natürlich ein Link zu seiner eigenen Datenschutzerklärung setzen. Allein… man befindet sich auf einer Plattform, deren Datenschutzpraktiken man nicht beeinflussen kann. Da werden sicherlich – sei es von Twitter selber, sei es in darauf gezeigten Anzeigen etc. – Cookies oder andere Trackingmethoden eingesetzt. Und wenn man dann „mitverantwortlich“ ist… Genauso bei LinkedIn, genauso bei Xing. Was bleibt, außer die Profile unsichtbar zu machen bzw. zu löschen? (Letzteres wäre ärgerlich einfach auch wegen der Kontakte.) Und zusätzlich werden die durch Cookies und Tracking gewonnen Daten eben dann (außer vielleicht bei Xing, das weiß ich nicht) auch in den USA verarbeitet. So scheint sich doch die Nutzung als Selbständiger einfach komplett zu verbieten, aus all diesen Gründen?
In der Tat kann man die Wertung aus dem Urteil zu Facebook-Fanpages (gemeinsame Verantwortung mit dem Plattformbetreiber) auf alle geschäftlich genutzten Social Network-Seiten übertragen. Zu anderen „Verhältnissen“ als dem zu Facebook gibt es nur noch keine ausdrückliche Entscheidung. Allerdings hat der EuGH selbst einen Twitter-Account und hat auch das aktuelle Urteil und Bilder aus der Verkündung darüber veröffentlicht…
Aus juristischer Sicht sicher kein gutes Argument. Aber man sieht, dass Anspruch und Realität derzeit häufiger auseinanderfallen. Und es gibt sehr unterschiedlich Auslegungen dessen, mit welcher Konsequenz nun der Urteilsspruch umgesetzt werden muss (siehe im Vergleich die Aussagen der ICO und der Berliner Aufsichtsbehörde). Die Situation ist derzeit insgesamt äußerst unbefriedigend. Bevor ich im Moment einen für mein Unternehmen wichtigen Kommunikationskanal verlasse/lösche, würde ich mich derzeit direkt an die Datenschutz-Aufsichtsbehörde meines Bundeslandes wenden und entsprechend Rat verlangen.
Meiner Meinung nach stehen sowohl die Unternehmen wie auch sehr viele Menschen vor einem unlösbaren Problem! Es ist zwar in der reinen Sache bestimmt sehr dienlich und nützlich, dass man das Thema Datenschutz und Zugriffe auf personenbezogene Daten durch Geheimdienste jetzt wieder höchstrichterlich als nicht haltbar bestätigt hat. Die Datenschutzbehörden und Gesetzgeber müssen aber auch die Kirche im Dorf lassen und ggf. für praktikable Lösungen oder Anregungen bei Bürgern und Unternehmen sorgen.
Ich stelle mir zunehmend die Frage, ob dies nicht auch eine echte Chance für europäische Unternehmen ist, sich endlich mal dem Dämon der US-amerikanischen Internetgiganten oder den fernöstlichen Internetdrachen zu stellen? Vielleicht sollten die werten Politiker nicht nur auf wirtschaftstrategische Industrien schauen, sondern auch die zig IT-StartUps sehr konsequent fördern und Rückendeckung geben! Zumindest würde ich mir dies als Europäer und Einzelunternehmer sehr wünschen. Wirkliche Raketenwissenschaften sind das nicht mehr, aber es fehlt irgendwie das Wollen.
Und in der Zwischenzeit würde ich es begrüßen, wenn man jetzt wegen der DSGVO/GPDR und in Kombination mit COVID-19 nicht auch noch die letzten Freiberufler, Mittelständler und Einzelunternehmer zusätzlich in den Ruin treibt. Es ist immer noch ein Unterschied, ob ich bewusst Fehler mache oder dies aus echtem Treu & Glauben entstanden ist. Wenn ich mir anschaue, was jetzt gerade deutsche Geheimdienste wegen Terrorgefahren und Neuer Rechten alles tracken und sehen wollen, sind die USA auch nicht mehr wirklich weit weg mit ihrer NSA!