Die Aufsichtsbehörden prüfen nach dem Schrems II Urteil vom Sommer 2020 in einer koordinierten Aktion Unternehmen hinsichtlich ihrer Datentransfers in Drittländer. Die Datenübermittlung in unsichere Drittländer wird für Unternehmen zunehmend zum Minenfeld.
Der Inhalt im Überblick
Koordinierte Aktion der Aufsichtsbehörden
Am 16. Juli 2020 erklärte der EuGH in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss der EU-Kommission für ungültig. Die Wirksamkeit der Standardvertragsklauseln bleibt von dem Urteil grundsätzlich unberührt. Jedoch müsse der Exporteur unter Umständen zusätzliche Schutzmaßnahmen zu den in den Standardvertragsklauseln enthaltenen Maßnahmen in Betracht ziehen, um ein angemessenes Schutzniveau zu gewährleisten.
Die Nutzung von Standardvertragsklauseln für eine Datenverarbeitung in den USA ohne zusätzliche Schutzmaßnahmen wurde vom EuGH hierbei ausdrücklich verneint. Auch hat der EuGH bei der Beantwortung der 8. Vorlagefrage festgestellt, dass die Aufsichtsbehörden in der Pflicht stehen,
„mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen.“
Gesagt getan, am 01. Juni 2021, damit knapp 11 Monate nach dem Schrems II Urteil, haben mehrere Aufsichtsbehörden (Berlin, Brandenburg, Bayern, Niedersachsen, Baden-Württemberg, Bremen, Hamburg, Rheinland-Pfalz, Saarland) eine länderübergreifende koordinierte Prüfung internationaler Datentransfers initiiert. Ausgewählten Unternehmen erhielten von ihren Aufsichtsbehörden gemeinsam ausgearbeiteten Fragebögen zu verschiedenen Themenkomplexen. Mit diesen will man Informationen zum internationalen Datentransfer einholen. Leider ist nicht bekannt, wie viele Unternehmen insgesamt kontrolliert werden. Hier freuen wir uns über Hinweise unserer Leserschaft. Die Fragebögen sind hier abrufbar:
Hefte raus, Klassenarbeit
Nach 58 Abs.1 lit. a) und b) DSGVO können Aufsichtsbehörden den Verantwortlichen anweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Darüber hinaus sind sie befugt Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen.
Die Fragebögen selbst sind sehr umfangreich und fragen engmaschig Informationen zu den jeweiligen Themenkomplexen ab. Auch bleibt es für die kontaktierten Unternehmen nicht nur bei der Beantwortung der gestellten Fragen. So werden Unternehmen etwa aktiv aufgefordert, Kopien der abgeschlossenen und unterzeichneten Standardvertragsklauseln im Zusammenhang mit den aufgezählten Drittlandtransfers bereitzustellen. Eine erste, kurze Einschätzung zu den Fragen und wie es bei deren Beantwortung um die Selbstbelastungsfreiheit steht, finden Sie in diesem lesenswerten Blogbeitrag des Kollegen Carlo Piltz.
Vom konzerninternen Datenverkehr abgesehen, dürften die meisten Themenkomplexe der Fragebögen in irgendeiner Form bei einem typischen Unternehmen eine Rolle spielen. Zählt man alle Fragebögen zusammen, kommt man auf einen Fragenkatalog von insgesamt 34 Seiten. Da wird der eine oder andere Datenschutzbeauftragte sicherlich ins Schwitzen kommen. Und wo hat man die ganzen Unterlagen nochmal genau abgelegt? In solchen Momenten ist man froh, wenn man eine übersichtliche Datenschutzmanagement-Software zur Hand hat.
Man kann gespannt sein, ob die Aufsichtsbehörden im Nachgang Statistiken oder andere Informationen zu der Überprüfung veröffentlichen. Insbesondere inwieweit die Vorgaben, wie sie sich aus dem Schrems II Urteil ergeben, durch Unternehmen umgesetzt werden.
Datentransfers in unsichere Drittländer werden zum Minenfeld
Die koordinierte Untersuchung der Aufsichtsbehörden macht zumindest eines klar: Datentransfers in Drittländer ohne einen Angemessenheitsbeschluss der EU-Kommission werden für Unternehmen zunehmend zum Minenfeld. Und ob die Kontrollen effektivem Datenschutz wirklich förderlich sind, mag jedoch dahinstehen.
Sicherlich ist es gut, wenn Unternehmen durch Kontrollen daran erinnert werden, dass nicht aus Bequemlichkeit ohne Not personenbezogene Daten in Drittländer transferiert werden sollten, die ein unzureichendes Datenschutzniveau und keine effektiven Rechtsschutzmöglichkeiten für Betroffene bieten.
Die Quadratur des Kreises
Doch es gibt Grenzfälle, die dazu führen, dass Unternehmen vor kaum lösbare Probleme gestellt werden. Letztlich wird eine Quadratur des Kreises verlangt. Hierzu folgendes fiktives Beispiel:
Ein deutsches Industrieunternehmen mit verschiedenen Standorten in der ganzen Welt sichert seine lokalen Netzwerke durch eine Vielzahl lokaler Firewalls ab. Während der letzten Cyberattacke stellt sich heraus, dass erforderliche kurzfristige Regeländerungen für jede einzelne Firewall einen enormen Aufwand verursachen und in der benötigten Form zeitnah kaum möglich sind.
Daher soll eine cloudbasierte Firewall-Lösung zum Einsatz kommen, über die der gesamte Netzverkehr geroutet wird. Dadurch ist man nunmehr in der Lage, im Falle eines Angriffs in Echtzeit alle erforderlichen Maßnahmen für alle Standorte gleichzeitig zu treffen (Anbieter A).
Daran anhängend ist eine SIEM-Lösung, die durch clevere Algorithmen aus einer riesigen Summe an Netzwerk-Logs typische Angriffsmuster herausfiltern kann (Anbieter B). Ein solches System erkennt typische Angriffsmuster automatisch und erlaubt effektive und schnelle Maßnahmen. Damit das Ganze auch zuverlässig funktioniert, wird ausschließlich mit etablierten Unternehmen zusammengearbeitet, die im sog. „Magic Quadrant“ des IT-Security-Marktforschungsinstituts Gartner seit Jahren hintereinander als „Leaders“ in der jeweiligen Branche beurteilt werden.
Und damit man nichts übersieht, wird ein spezialisierter Security-Dienstleister engagiert (Anbieter C). Dieser hat permanent einen Blick auf das Dashboard der SIEM-Lösungen, um innerhalb von Minuten auf einen ausgelösten Alarm reagieren zu können und falsch-positive Alarme herauszufiltern. Liegt ein richtiger Cyberangriff vor, wird die IT-Abteilung des Unternehmens durch den Sicherheitsdienstleister umgehend informiert. Man wähnt sich gut aufgestellt für die nächste Cyberattacke.
Pest oder Cholera
Blöd nur, alle involvierten Dienstleister sitzen in den USA. Selbst wenn lediglich der spezialisierte Security-Dienstleister (Anbieter C), der das SIEM-Dashboard bewacht, in den USA säße, müssten die Log-Daten in den USA entschlüsselt werden. Nach dem Schrems II Urteil und den bisherigen Einlassungen der Aufsichtsbehörden, wird sich die dargestellte Lösung in der beschriebenen Form kaum datenschutzkonform abbilden lassen. Insbesondere wenn die amerikanischen Anbieter ein anderes Verständnis von Datenschutz haben als die deutschen Aufsichtsbehörden. Amerikanische IT-Dienstleister werden zumindest nicht schlecht staunen, wenn ihre europäischen Kunden bald fordern werden, dass sie als Datenimporteur Betroffenen verschuldensunabhängig von allen Schäden freistellen sollen, die durch den Zugriff von staatlichen Stellen entstehen, wie etwa in der Orientierungshilfe der Baden-Württembergischen Aufsichtsbehörde gefordert wird.
Ob sich die Geheimdienste tatsächlich um Netzwerk-Logfiles des fiktiven Unternehmens scheren, wird niemand sagen können (außer die verschwiegenen Geheimdienste selbst). Die fehlende Rechtschutzmöglichkeit gegen eine Zugriffsmöglichkeit der Geheimdienste auf die Netzwerk-Logfiles dürfte für die meisten Unternehmen und ihren Mitarbeitern wenig praxisrelevant und damit herzlich egal sein. Ließe man Unternehmen wählen zwischen
- dem Schutz ihrer Logfiles vor einer theoretischen Einsichtnahmemöglichkeit durch Geheimdienste und
- der Sicherheit ihrer Daten gegenüber Cyberkriminellen,
dürften sich die allermeisten wohl für Letzteres entscheiden. Das wird ihnen durch die aktuelle Dynamik jedoch zunehmend abgenommen. Wer personenbezogene Daten in unsicheren Drittländern verarbeiten lässt, riskiert eine kurzfristige Untersagung der Verarbeitung oder ein Bußgeld. Unabhängig davon, welche guten Gründe er hierfür (vermeintlich) haben mag.
Etwas Augenmaß
Ein Hoffnungsschimmer ist, dass die baden-württembergische Aufsichtsbehörde in ihrer vorgenannten Orientierungshilfe Augenmaß erkennen lässt. Forderung nach technischen Schutzmaßnahmen sind zwar schnell in den Raum gestellt, für Unternehmen häufig jedoch kaum umsetzbar. Das Beispiel des Anbieters C mit der Einsichtsmöglichkeit auf Netzwerk-Logs ist eines von vielen Beispielen, in denen technische Verschlüsselungslösungen, wie sie von den Ausführungen des europäischen Datenschutzausschusses vorschlagen werden, häufig gar nicht möglich sein werden. Immerhin gesteht die baden-württembergische Aufsichtsbehörde zu, dass zur „Demonstration und Dokumentation des ausdrücklichen Willens zum rechtskonformen Handeln“ auch zusätzliche vertragliche Vereinbarungen abgeschlossen werden können.
Abhilfe durch die neuen Standardvertragsklauseln?
Lassen Dienstleister hinsichtlich zusätzlicher vertraglicher Regelungen überhaupt nicht mit sich reden und glaubt man keine gleichwertige Alternative ohne Transferproblematik finden zu können, bleibt nur ein Notnagel: Eine Dokumentation, weshalb der Transfer zumindest kurz- und mittelfristig unverzichtbar ist. Wird man von der Aufsichtsbehörde geprüft, kann man hier nur noch auf Milde hoffen oder den Rechtsweg gegen die verhängten Maßnahmen beschreiten. Es wird spannend zu sehen, ob die für den 04.06.2021 (also morgen) angekündigten neuen Standardvertragsklauseln möglicherweise hier Abhilfe schaffen können.
Immerhin ist auf Druck der Wirtschaft die Problematik auch in den USA angekommen. Nach Berichterstattung von politico soll Joe Biden während des EU-U.S. Gipfel Mitte Juni auf eine Einigung beim Abschluss eines neuen Datenaustauschabkommen drängen. Ein finales Abkommen wird aber frühestens Ende des Jahres erwartet, wenn man sich bei der Geheimdienstüberwachung überhaupt einig werden kann.
Arbeitswut bei den einen, Arbeitsverweigerung bei den anderen
Tritt man einen Schritt zurück, wundert man sich: Ursprünglich sollte die DSGVO zumindest auch die großen amerikanischen Tech-Riesen einzäunen. Stattdessen ist eigentlich nur die heimische Wirtschaft Adressatin der DSGVO geworden, während die für die Tech-Riesen zuständige irische Aufsichtsbehörde zunehmend ungeniert die Arbeit verweigert.
Die Auswüchse gehen schon so weit, dass einige EU-Politiker aufgrund des Gebarens der irischen Aufsichtsbehörde mittlerweile ein EU-Vertragsverletzungsverfahren gegen Irland fordern. Die Arbeitswut der deutschen Aufsichtsbehörden bekommt vor diesem Hintergrund eine zynische Note: Während die DSGVO für Google & Co. praktisch kaum Relevanz zu haben scheint, dürfen heimische Unternehmen 34-seitige Fragebögen mit der Aussicht auf Bußgelder ausfüllen. Klar, damit wird nur geltendes Recht durchgesetzt. Doch wenn systematisch die Kleinen gehängt und die Großen laufen gelassen werden, weil der politische Wille und die Ressourcen zu deren aufwändigeren Verfolgung fehlen, leidet darunter die gesellschaftliche Akzeptanz des Datenschutzrechts.
Vielen Dank für den interessanten Artikel. Unser Unternehmen hat die Anfrage der Aufsichtsbehörden zum Glück bislang nicht erreicht.
Sicherlich ist es für die Akzeptanz des Datenschutzes kontraproduktiv, wenn die „Big-Player“ von den Aufsichtsbehörden kaum belangt werden, im Gegensatz dazu sich aber die Unternehmen in der EU mit den Kontrollen befassen müssen. Möglicherweise kann diese Kontrolltätigkeit aber auch Auswirkungen auf die großen Anbieter haben. Denn wenn die Nutzer in der EU immer mehr befürchten müssen in das Visier ihrer Datenschutz-Aufsichtsbehörde zu gelangen, müssen sich die „Big-Player“ möglicherweise auch hier anpassen und ihre Angebote datenschutzfreundlicher gestalten. Oder aber es ergeben sich Chancen für – derzeit noch kleinere – Anbieter aus der EU, welche die Problematik mit dem Drittlandtransfer nicht haben.