Mit Orientierungshilfen versuchen Datenschutzaufsichtsbehörden wie das LfDI Baden-Württemberg, Unternehmen bei den Herausforderungen zu unterstützen, die sich infolge des Schrems-II-Urteils ergeben haben. Wir besprechen die kürzlich aktualisierte Fassung.
Der Inhalt im Überblick
Unsicherheit bei Groß und Klein
Mit dem sog. Schrems-II-Urteil des EuGH ging ein kleines Beben durch die datenschutzrechtliche Welt. Manche nickten wissend, andere fielen aus allen Wolken. Die scheinbare Sicherheit des „Privacy Shield“ ist verpufft und zahllose Verantwortliche in ganz Europa stehen nun vor der Frage: Was nun?
Die Inhalte des Urteils und deren abstrakte Bedeutung haben wir bereits an anderer Stelle diskutiert. Den Berateralltag prägt dieser Tage aber vielmehr die konkrete Frage, welche Schritte von Unternehmen nun unternommen werden sollten. Hier bietet die am 25.08.2020 veröffentlichte Orientierungshilfe der Baden-Württembergischen Aufsichtsbehörde eine wertvolle Ressource. Denn einerseits enthielt sie erstmals konkrete Handlungsempfehlungen und zeigte andererseits auch auf, welche Punkte von der Behörde für besonders relevant erachtet werden. Wir haben die erste Version bereits in einem Artikel erwähnt, gleichwohl wurden einige Empfehlungen – insbesondere der Vorschlag, Regelungen in EU-Standarddatenschutzklauseln zu ändern – durchaus kritisiert.
Nun hat die Behörde nachgeliefert und mit Stand vom 07.09.2020 eine aktualisierte Fassung der Orientierungshilfe veröffentlicht.
Inhalte der Orientierungshilfe
Die Orientierungshilfe schildert die mittlerweile bekannten Kernaussagen des Schrems-II-Urteils und stellt diese in aller Kürze, aber verständlich dar. Sie enthält darüber hinaus auch eine Checkliste für Unternehmen mit Hinweisen, um diesen einen ersten Weg hinaus aus der Unsicherheit zu bieten.
Neuerungen vor allem bei der Checkliste
Die aktualisierte Fassung enthält zunächst einige sprachliche und redaktionelle Änderungen wie etwa die Ergänzung eines Verweises auf die EU-Grundrechtecharta in Bezug auf das Datenschutz-Niveau in den USA oder die beispielhafte Erwähnung Indiens als Drittland i.S.d. Art. 44 ff DSGVO.
Bemerkenswert ist, dass die Behörde die Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann, nicht mehr ausdrücklich als mögliche zusätzliche Garantie für den Transfer in die USA nennt (Ziffer III Nr. 1). Dies war in der Ursprungsversion noch vorhanden, wurde im Zuge der Aktualisierung aus diesem Kontext entfernt. Welchen Grund die Streichung hatte, bleibt wohl offen.
Die umfassendsten Änderungen wurden zweifellos an der Checkliste vorgenommen. Hier wurden viele Anforderungen konkretisiert und gänzlich neue Anforderungen hinzugefügt. Wir setzen uns im Folgenden mit geänderten oder neu hinzugefügten Absätzen auseinander.
„Sie sollten jetzt unverzüglich
Eine Bestandsaufnahme (Inventur) machen, in welchen Fällen Ihr Unternehmen/Ihre Behörde personenbezogene Daten in Drittländer exportiert; darunter können auch bloße Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten fallen (Schnittstellen, Abrufmöglichkeit, Fernwartung), ein „physischer“ Export der Daten ist also nicht erforderlich.
(S. 9)“
Dieser Abschnitt wurde um greifbare Beispiele sowie den klarstellenden Hinweis auf „bloße“ Zugriffsmöglichkeiten ergänzt. Für Unternehmen wird hierdurch möglicherweise einiges greifbarer, neue Maßnahmen ergeben sich allerdings kaum.
„Ihre Datenschutzerklärungen prüfen und anpassen, insbesondere im Hinblick auf Ihre Informationspflicht nach Art. 13 Abs. 1 f DS-GVO: Danach sind die betroffenen Personen nicht nur über Ihre Absicht, die personenbezogenen Daten an ein Drittland zu übermitteln, zu unterrichten, sondern auch über den Transfermechanismus – aktualisieren Sie Ihre Angaben (wird dort z.B. noch das Privacy Shield als Transfermechanismus benannt, ist dies zu streichen und die Erklärung entsprechend anzupassen).
(S. 9)“
Ein wichtiger Hinweis. Vielerorts bemerkt man noch Hinweise auf den Privacy Shield in Datenschutzerklärungen. Dies muss einerseits dringender Hinweis an Verantwortliche sein, die entsprechenden Verfahren neu zu bewerten. Andererseits wird durch die Erwähnung des Privacy Shield auch sehr deutlich, dass offenbar Transfers vorliegen oder vorgelegen haben, die nach aktueller Rechtslage schlicht nicht mehr haltbar sein dürften.
Wie man es dreht und wendet, der fortgesetzte Verweis auf den Datentransfer unter dem Privacy Shield stellt ein nicht zu vernachlässigendes Risiko dar. Unternehmen sollten hier nachbessern, die Hinweise aktualisieren und die dahinterliegenden Prozesse neu bewerten.
„Alle Auftragsverarbeiter, die personenbezogene Daten unter dem Privacy Shield in die USA übermitteln oder dort verarbeiten, umgehend schriftlich/per E-Mail (wie im entsprechenden Vertrag gefordert) anweisen, die Übermittlung personenbezogener Daten in die USA mit sofortiger Wirkung auszusetzen, bis ihr Auftragsverarbeiter bzw. dessen Unterauftragnehmer dort im Einzelfall ein der DS-GVO entsprechendes Datenschutzniveau, etwa durch Einsatz alternativer Verarbeitungs- und Transfermechanismen, sichergestellt hat.
(S. 9)“
Diese Aufgabe betrifft vor allem die eingesetzten Auftragsverarbeiter. Diese weisungsgebundenen Dienstleister sollen laut dem LfDI BW dazu angewiesen werden, die Datenübermittlung in die USA so lange auszusetzen, bis sichere Transfermechanismen hergestellt wurden. Ob diese Anweisung von vielen Auftragsverarbeitern, die überwiegend auf Amazon- oder Microsoft-Dienste setzen, erfüllt werden kann, bleibt offen. Vielerorts dürfte in einer sauber dokumentierten Weisung aber zumindest der Wille zu rechtskonformem Handeln gesehen werden können.
„Sich über die Rechtslage im Drittland informieren (Datenschutzgesetze des Drittlandes; Zugriffsmöglichkeiten staatlicher Stellen einschließlich der Geheimdienste auf Ihre Daten; Ihnen, dem Datenimporteur und dem Betroffenen zustehende Rechte und Rechtsschutzmöglichkeiten; Rechtsprechung und Behördenpraxis im Drittland mit Bezug zum Datenschutzniveau); öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europäische Datenschutz-Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu jeweils Hilfestellungen geben können.
(S. 10)“
Es wurden zahlreiche Beispiele ergänzt, die eine Einschätzung geben können, welche nationalen Gesetze besonders relevant sein dürften.
„Überlegen, ob Sie einen Transfer von Daten in Drittländer nicht dadurch vermeiden können, dass Sie
– nur Dienste nutzen, die keine Daten in ein Drittland übertragen oder
– die vertragliche Vereinbarung treffen, dass keine Datenübertragung in ein Drittland vorgenommen wird
– die Daten verschlüsseln und allein Zugriff auf den Schlüssel haben,Dabei ist wiederum die gesamte Rechtslage des Drittlands in den Blick zu nehmen (etwa innerstaatliche Regelungen zum Zugriff auf Datenbestände außerhalb des eigenen Hoheitsgebietes, vgl. US-Cloud Act, dazu https://edps.europa.eu/sites/edp/files/publication/19-07-10_edpb_edps_cloudact_annex_en.pdf).
(S. 10)“
Dieser Abschnitt ist insofern interessant, als dass Dienstleister mit Drittlandbezug nicht pauschal ausgeschlossen werden. Vielmehr wird auf mögliche vertragliche Vereinbarungen oder Verschlüsselung vor Übertragung verwiesen. Diese Möglichkeiten erscheinen wohl noch am praxistauglichsten.
Zu beachten ist allerdings stets, dass etwa bestimmte US-Gesetze einen Datenzugriff auch ermöglichen, wenn die Daten überhaupt nicht ins Drittland übermittelt wurden. Außerdem stellt sich oft das Problem, dass große US-Dienstleister trotz Serverstandort in der EU bestimmte Daten zu Zwecken der Produktverbesserung, der Analyse und der Systemstabilität oft auch an die Zentrale im Drittland übermitteln könnten.
Anpassung der Empfehlungen zu Standarddatenschutzklauseln
„Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA […] nur mithilfe zusätzlicher Garantien (z.B. Verschlüsselung und Anonymisierung, s.o.) möglich. Dies hilft aus Sicht des LfDI derzeit jedoch nur in einer eng begrenzten Zahl von Fallkonstellationen und stellt daher keine Lösung für die Mehrzahl der Datentransfers in die USA dar. Fehlt es an wirksamen zusätzlichen Garantien sollten Sie, um wenigstens Ihren Willen zu rechtskonformem Handeln zu demonstrieren und zu dokumentieren, Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über folgende Ergänzungen der Bestimmungen der Standardvertragsklauseln verständigen, die Sie am besten in einer gesonderten Vereinbarung oder im Hauptvertrag festhalten sollten:
(S. 11)“
Dieser etwas länger gefasste Absatz macht deutlich, dass das LfDI von einer sehr grundsätzlichen Problematik der Datenübermittlung ins Drittland ausgeht. Nur in eine „eng begrenzten Zahl von Fallkonstellationen“ sollen Standardvertragsklauseln mit zusätzlichen Garantien eine valide Möglichkeit darstellen.
Änderungen der Standarddatenschutzklauseln
Für die Mehrzahl der Fälle wird empfohlen, zumindest den „Willen zu rechtskonformem Handeln“ zu demonstrieren und dies zu dokumentieren, indem man den jeweiligen Datenimporteuren Änderungen an den Standarddatenschutzklauseln mit weitergehenden Pflichten vorschlägt. Diese Änderungsvorschläge sind im Vergleich zu der ersten Version etwas ausführlicher und klarer formuliert. Geändert haben sich insbesondere (um den Rahmen nicht zu sprengen aber nicht abschließend) folgende Punkte der Empfehlung:
- Information des Datenimporteurs und der betroffenen Personen (soweit bekannt) über bindende Aufforderungen der Vollstreckungsbehörden.
- Pflicht, bei Verbot der Informationsweitergabe durch Strafverfolgungsbehörden zumindest allgemeine Informationen über erhaltene Anfragen zur Verfügung zu stellen.
- Pflicht, den Betroffenen (soweit bekannt), über die Auftragsvergabe an Unterauftragnehmer zu informieren.
- Möglichkeit für die betroffene Person, sowohl vom Datenexporteur als auch vom Datenimporteur Schadensersatz wegen Pflichtverletzung zu verlangen.
Die Empfehlung, die Möglichkeit der Anrufung einer Schlichtungsstelle nach Klausel 7 der Standardvertragsklauseln zu streichen, findet sich im aktuellen Dokument nicht mehr. Dieser Punkt wurde zuvor – zu Recht – ausführlich von den Kollegen Hansen-Oest und Voigt im sehr hörenswerten Podcast zu diesem Thema kritisiert. Nach wie vor muss aber erwähnt sein, dass Standarddatenschutzklauseln grundsätzlich nicht geändert werden dürfen, damit sie noch als geeignete Garantie i.S.d. Art 46 DSGVO herangezogen werden können. Somit sind diese Vorschläge der Behörde zumindest mit Vorsicht zu genießen.
Zuletzt finden sich erstmals Anmerkungen zu der Möglichkeit, sich auf sog. Binding Corporate Rules gemäß Art. 47 DSGVO zu stützen. Auch hier wird jedoch recht schnell klar, dass zusätzliche Garantien erforderlich sein könnten.
Zentrale Frage: Zumutbare Alternativangebote
Das LfDI setzt am Ende des Werkes einen klaren Schwerpunkt. Stets wird die Frage gestellt werden müssen, ob es zumutbare Alternativangebote gibt, die datenschutzrechtlich vertretbar sind. Was nun zumutbar ist oder nicht bleibt zwar offen, jedoch dürften rein monetäre Gesichtspunkte nur am Rande eine Rolle spielen.
Unternehmen sollten demnach die Gründe für den Einsatz eines Dienstleisters mit „Transferproblematik“ detailliert dokumentieren und darauf vorbereitet sein, die Wahl dieses Dienstleisters im Zweifel auch vor einer Behörde begründen zu können.
Dies gilt konkret für Unternehmen aus Baden-Württemberg, jedoch zeichnet sich auch anderorts ab, dass Aufsichtsbehörden sich in dieser Thematik durchaus gesprächsbereit zeigen.
Wie geht es nun weiter?
Vieles ist derzeit unsicher. Viele vertrauen darauf, dass sich alsbald eine politische Lösung finden wird und wir uns bald reinen Gewissens auf „Privacy Harbor“ oder „Safe Shield“ stützen können. Der internationale Datentransfer sei „too big to fail“, heißt es.
Doch selbst wenn sich diese Vermutung als richtig erweisen mag, sollten Unternehmen kurz- und mittelfristig dennoch aktiv werden. Denn obgleich Behörden wie der LfDI BW sich der Problematik auch für Unternehmen durchaus bewusst sind und ankündigen, das Vorgehen am Maßstab der Verhältnismäßigkeit auszurichten, so sind diese Behörden nach wie vor an geltendes Recht gebunden.
Zumindest in Baden-Württemberg wird ausdrücklich auf die Möglichkeit der Untersagung hingewiesen. Ob auch Bußgelder zu erwarten sind, wird die Zeit zeigen.
Mal eine ketzerische Frage: Wäre es bereits jetzt angeraten, Großbritannien als Drittland zu betrachten, wenn pers.bez. Daten (z.B. von AD-Mitarbeitern) dorthin übermittelt werden (z.B. an Geschäftspartner)? Was ergibt sich aus einem ungeregelten Brexit, wenn solche Daten bereits in GB existieren?
Im Hinblick auf das baldige Ende der Übergangsfrist am 31.12.2020 ist in der Tat zu überlegen wie zukünftige Datenübermittlungen nach Großbritannien DSGVO-konform möglich sind. Großbritannien wird aller Voraussicht nach durch die „UK-GDPR“ und den „Data Protection Act 2018“ die Regelungen der DSGVO in den meisten Bereichen weiterführen. Besondere Regelungen finden sich aber insbesondere bei Themen der Einwanderung oder der nationalen Sicherheit.
Ob dies den Anforderungen an einen Angemessenheitsbeschluss der EU-Kommission genügt, bleibt aber offen. Schließlich haben gerade überschießende Sicherheitsgesetze zu „SCHREMS II“ geführt.
Derzeit kann nur geraten werden, das Szenario eines fehlenden Angemessenheitsbeschlusses zumindest als Option zu betrachten.
Somit sollte gerade in diesen Zeiten der Unsicherheit die UK vorsorglich als Drittland betrachtet und entsprechende Handlungsszenarien durchgespielt werden.
Ob auch bereits im Drittland befindliche Daten von diesen Regelungen betroffen sind, ist wohl Auslegungsfrage. In Sachen SCHREMS II forderte beispielsweise die Berliner Aufsichtsbehörde, Daten aus Drittländern „zurückzuholen“. Grundsätzlich muss wohl davon ausgegangen werden, dass unter „Übermittlung“ in Art. 44 DSGVO jede Form der Offenlegung im Drittland zu verstehen ist. Somit dürften auch Weitergabe, Zugänglichmachung, Abrufbarkeit oder schlicht Speicherung ausreichen, um dieses Tatbestandsmerkmal zu erfüllen.