Das EU-US Privacy-Shield Abkommen wurde vom EuGH (C-311/18) gekippt und erste Aufsichtsbehörden machen Druck. Unternehmen sollten sich auf Einzelfallprüfungen von Übermittlungen in die USA einstellen, verkündete die Berliner Beauftragte für Datenschutz und Informationssicherheit. Wie kann der Datentransfer in die USA mit Standardvertragsklauseln gestaltet werden und worauf sollten Unternehmen beim Abschluss dieser Klauseln achten?
Der Inhalt im Überblick
Die Probleme beim Drittlandtransfer
Die Diskussionen der vergangenen Wochen haben bereits zutage getragen, dass aus Sicht der Datenschützer ein Transfer von personenbezogenen Daten in die USA wohl nie als vollkommen sicher eingestuft werden kann. Die verbleibende Krux ist, dass US-Behörden zu weitreichende Befugnisse haben und hierzulande das Internet immer noch für viele Neuland ist. Jedenfalls für diejenigen, die vergessen, dass die Gründe für die Abhängigkeit von den US-Diensten in deren Qualität, Kapazität, Sicherheit und Preis liegen, mit denen vergleichbare europäische Dienste in der Regel nicht mithalten können. In diesem Spannungsfeld bewegen sich derzeit Unternehmen, die auf unverzichtbare US-Technologien angewiesen sind oder eigene Tochterunternehmen in den USA haben.
Was Standardvertragsklauseln sind und was sie regeln
Bei der Übermittlung von Daten in ein Drittland, d.h. ein Land außerhalb der EU bzw. des EWR, bedarf es zunächst auf der ersten Stufe der Übermittlung einer tauglichen Rechtsgrundlage, z.B. iSd. Art. 6 DSGVO. Auf der zweiten Stufe muss der Verantwortliche dafür Sorge tragen, dass bei einer solchen Übermittlung geeignete Garantien vorliegen, um die Sicherheit der Daten bzw. ein angemessenes Schutzniveau auch im Drittland zu gewährleisten.
Neben dem Vorliegen einer Rechtsgrundlage ist für die Rechtmäßigkeit der Übermittlung also weiterhin maßgeblich, dass auch nach dem Transfer z.B. die Vertraulichkeit, Integrität und Zweckbindung der personenbezogenen Daten iSd. Art. 46 Abs. 1 DSGVO gewahrt werden. Standardvertragsklauseln (in der DSGVO nun gem. Art. 46 Abs. 2 lit. c DSGVO „Standarddatenschutzklauseln“ genannt) sind derzeit solche, die durch die EU-Kommission nach Art. 26 Abs. 2 der Richtlinie 95/46/EG erlassen worden sind und gem. Art. 46 Abs. 5 DSGVO ihre Gültigkeit beibehalten haben.
Die wichtigsten Datenschutzklauseln im Überblick
Im Folgenden sind die aus Sicht des Datenschutzes und der Datensicherheit relevantesten Klauseln der EU-Standardvertragsklauseln dargestellt.
Klausel 2: Einzelheiten der Übermittlung
Diese Klausel bedient sowohl das Zweckbindungsgebot des Datenschutzes als auch die Transparenz. Hiernach sind die Vertragsbeteiligten verpflichtet, in der Anlage 1 der Standardvertragsklauseln die konkreten Zwecke und Mittel der Verarbeitung im Drittland vor deren Übermittlung festzulegen und hiervon auch die Aufbewahrung der Daten abhängig zu machen.
Im Einzelnen muss in Anlage 1 aufgelistet werden,
- wer ex- und importiert samt einer Erläuterung der Tätigkeiten, für die eine Übermittlung relevant ist,
- Kategorien von Daten und betroffenen Personen,
- der spezifische Zweck, für den die Übermittlung erforderlich ist,
- ggf. Art und Kategorie sensibler Daten,
- ggf. weitere Empfänger.
Klausel 4: Pflichten des Datenexporteurs
Der Datenexporteur hat zunächst als Verantwortlicher zu garantieren, dass er die betroffenen Daten bis zum Zeitpunkt der Übermittlung bereits rechtmäßig verarbeitet hat. Sofern sensible Daten verarbeitet werden, informiert er auch die betroffenen Personen über die Übermittlung und darüber, dass das Zielland der Übermittlung kein angemessenes Schutzniveau bietet. Der Datenexporteur muss außerdem sicherstellen, dass betroffene Personen auf Anfrage eine Kopie der Standardvertragsklauseln erhalten und dass sowohl Betroffenenanfragen als auch solche von Behörden im Rahmen der gesetzlichen Fristen beantwortet werden können. Hiermit sichert der Datenexporteur bereits eine Reihe von Schutzzielen der DSGVO zu: Zweckbindung, Verhältnismäßigkeit, Transparenz, Sicherheit und Vertraulichkeit.
Klausel 5: Pflichten des Datenimporteurs
Die Pflichten des Datenimporteurs, der Verantwortlicher oder Auftragsverarbeiter sein kann, gehen noch etwas weiter. Hierin liegt bei der Übermittlung in die USA regelmäßig auch der „Knackpunkt“ des sicheren Drittlandstransfers, da von dem Importeur zuzusichern ist, dass er
„seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtung unmöglich machen – und dass er, wenn es doch einmal so kommen sollte, den Exporteur hierüber informiert.“
Aufgrund der weitreichenden gesetzlichen Ermächtigungsgrundlagen der US-Behörden nach dem Foreign Intelligence Surveillance Act können diese jederzeit auf Daten von electronic communication service providers zugreifen, ohne dabei besondere Verhältnismäßigkeitshürden beachten zu müssen. Übersetzt geht es um Anbieter elektronischer Kommunikationsdienste. Hierunter lassen sich eine Vielzahl der in der EU genutzten und populären Dienste, wie Cloud-Diensteanbieter und Software-Dienstleister, fassen.
Die Unterzeichnung einer solchen vertraglichen Garantie ins Blaue hinein ist natürlich haftungsrechtlich zunächst für den Importeur problematisch. Für den Verantwortlichen (Exporteur) der Daten dürfte das jedoch nachrangig sein, wenn sich die Sanktionen gegen ihn als Verantwortlichen richten. Die Aussicht auf einen möglichen Regress gegen den Importeur verhindert jedenfalls nicht den Image-Schaden des Exporteurs und auch keine langwierigen Verfahren mit Behörden.
Daneben muss der Importeur auch eine Garantie für die Verarbeitung der Daten im Einklang mit den datenschutzrechtlichen Gewährleistungzielen iSd. Anlage 2 der Standardvertragsklauseln abgeben und sich verpflichten, die weitreichenden Grundsätze des Datenschutzes zu gewährleisten:
- Zweckbindung,
- Richtigkeit der Daten und Datensparsamkeit,
- Transparenz und Gewährleistung der Betroffenenrechte,
- Sicherheit und Vertraulichkeit,
- Beschränkung der weiteren Übermittlung,
- Besondere Behandlung von sensiblen Datenkategorien,
- Gewährleistung der Konformität des Direktmarketings.
Schließlich muss der Importeur auch die Ausübung von Prüfrechten dulden und auf Anfrage von Betroffenen ebenfalls eine Kopie der Standardvertragsklauseln herausgeben.
Bei dem Abschluss von Standardvertragsklauseln müssen Verantwortliche immer bedenken, dass die Unterzeichnung schriftlicher Garantien das eine ist. Die Rechtmäßigkeit der Übermittlung hängt jedoch maßgeblich von den tatsächlichen Begebenheiten des Einzelfalls ab. Schließlich wird es also immer darauf ankommen, ob die US-Behörden nun zugreifen können bzw. welche technischen Maßnahmen der Importeur ergriffen hat, um solche Zugriffe effektiv zu verhindern.
Klausel 6: Haftung
Entsprechend dem Art. 82 DSGVO haften Exporteur und Importeur nach außen gegenüber den Betroffenen gesamtschuldnerisch. Das heißt, dass Betroffene sich mit ihren Forderungen sowohl an den Exporteur als auch den Importeur wenden können. Damit soll die Wahrnehmung von individuellen Schadensersatzrechten gestärkt und die Durchsetzung von Betroffenenrechten gewahrt werden. Im Innenverhältnis gilt allerdings, dass die Haftung nach den überwiegenden Verursachungsbeiträgen verteilt wird.
Schwerpunkt der Prüfung von Standardvertragsklauseln
Schwerpunkt der vertraglichen Garantien ist die Zusicherung von Vertraulichkeit und Sicherheit der Daten, also insbesondere der Schutz vor willkürlichen Zugriffen der US-Behörden. Das zentrale Problem des Datentransfers in die USA liegt oftmals nicht in der Hand der hiesigen Verantwortlichen, da diese selbst kaum weitere geeignete Garantien ergreifen können, um das Datenschutzniveau nach der Übermittlung in die USA zu gewährleisten. Was Unternehmen heute schon tun sollten: bei US-Dienstleistern, mit denen sie bereits Standardvertragsklauseln geschlossen haben, nachhaken, wie sie ihre vertraglichen Garantien einhalten und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden – oder in Zukunft unterbinden wollen.
Kurzer Hinweis zu der Formulierung:
„Standardvertragsklauseln (in der DSGVO nun „Standarddatenschutzklauseln“ genannt)“
Das ist nicht ganz richtig. Die Standardvertragsklauseln heißen weiterhin so und ergeben sich aus Art. 46 (5) DSGVO und nicht Absatz 2 c).
Danke für den Hinweis und eine Ergänzung zur Klarstellung: Die nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG erlassen Standardvertragsklauseln bleiben nach Art. 46 Abs. 5 DSGVO in Kraft. Nach der DSGVO können nun Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c erlassen werden und würden Standardvertragsklauseln dann ablösen.
Ein toller Artikel, der die Situation sehr gut zusammenfasst.
In der Tat ist die Umsetzung der Vorgaben bei reinen Cloud-Infrastruktur-Anbietern wie AWS oder Azure im Moment zumindest grundsätzlich möglich, weil diese Dienste ihren Anwendern die Instrumentarien zur technischen Absicherung (also Verschlüsselung at Rest und im Transport) zur Verfügung stellen (sie Anwender müssen diese natürlich nutzen und ggf. ihre Applikationen entsprechend anpassen.
Gar keinen Einfluss hingegen hat der europäische Nutzer bei SaaS-Angeboten oder fertig geschnürten Cloud-Angeboten (von OS-Hersteller-Clouds wie Office 365, iCloud, Google bis zu SaaS-Anwendungen wie Salesforce).
Was noch unerwähnt bleibt (und für mich in der Diskussion ein offener Punkt ist): wie ist mit US-Diensten umzugehen, deren Rechenzentrumsstandort in der EU liegt (die aber als US-Firma zumindest dem Cloud Act und damit auch dem Zugriff der US-Behörden unterliegen). Dazu sehe ich auch noch keine klare Stellungnahme von Aufsichtsbehörden.
Hinweis zum Inhalt der TextBox bei Klausel 5:
„seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtung unmöglich machen – und dass er, wenn es doch einmal so kommen sollte, den Importeur hierüber informiert“
Zu informieren ist da doch wohl der Exporteur und nicht der Importeur.
Vielen Dank für den Hinweis. Das haben wir im Beitrag entsprechend angepasst.
Bei mir kam letztens die interessante Frage auf, was eigentlich mit SSL-Zertifikatsanbietern ist. Die meisten davon sitzen in den USA. Beim Besuch der Website tauscht der Browser des Nutzers zwangsläufig Daten mit dem Zertifikatsanbieter aus, so dass dieser mindestens die IP-Adresse und natürlich Metadaten der Verbindung hat.
Ausgelöst wird die Anfrage vom Browser des Nutzers, aber als Websitebetreiber „zwinge“ ich ihn ja ein stückweit dazu, wenn ich einen US Anbieter nutze.
Wie sehen Sie das? Ist diese eine Auftragsverarbeitung? Ist dies eine Übertragung ins Ausland? Oder ruhe ich mich darauf aus, dass die Anfrage aktiv vom Browser des Nutzers gestartet wird.
„Zertifikatsanbieter (…) mindestens die IP-Adresse und natürlich Metadaten der Verbindung hat“
Könnten Sie uns bitte die Quelle nennen?
https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Bedenken_hinsichtlich_der_Wahrung_der_Privatsph%C3%A4re
Und nach meinem Verständnis ist das selbst bei Verwendung der Offline Variante nicht ausgeschlossen, dass diese Abfragen vom Client an den Dritten passieren.
Vielen Dank für die weiteren Informationen! Ein sehr spannendes Thema und Stoff für interessante Diskussionen. Wir müssen uns an dieser Stelle leider ausklinken, da wir im Rahmen dieses Blogs keine Einzelfallbeurteilungen vornehmen dürfen.
Der EuGH hat doch entschieden, Unternehmen dürften sich nicht auf die Standardvertragsklauseln verlassen, sondern müßten stets im Einzelfall prüfen, ob die dort vom Importeur gemachten Zusagen, von diesem eingehalten werden können oder das Recht des Importeurs das unmöglich macht. Angesichts der weitreichenden Kompetenzen von US Behörden wird man kaum behaupten können, es sei dem US-Importeur möglich, die gegebenen Garantien einzuhalten. Meiner Meinung nach ist es daher sehr zweifelhaft, daß auf Basis von Standardvertragsklauseln mit US-Importueren persbezogene Daten in die USA übermittelt werden dürfen. Man wird daher um die Einwilligung des Betroffenen in die Übermittlung in die USA unter Hinweis auf das nicht vergleichbare Datenschutzniveau und die damit verbundenen Risken nicht umhin kommen. Auch wenn das mühsam und die Einwilligung jederzeit widerrufbar ist.
Der EuGH hat entschieden, „Die Prüfung des Beschlusses […] der Kommission […] über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern […] hat nichts ergeben, was seine Gültigkeit berühren könnte (EuGH Urteil C-311/18 Pkt 4. des Tenors).“ Als Auslegungshilfe für die Entscheidung können Sie auch die Pressemitteilung des EuGH einsehen, in der explizit die Übermittlung mit geeigneten Garantien auf Grundlage von Standardvertragsklauseln weiterhin grundsätzlich für rechtmäßig erachtet wird. So auch grundsätzlich die DSK.
Dass die Wirksamkeit von Standardvertragsklauseln schon immer auf einer Einzelfallprüfung beruhte ist unbestritten. Der Blogbeitrag beschäftigt sich ausdrücklich mit den Anforderungen von Standardvertragsklauseln und geht darauf ein, dass ein Vertragswerk an sich nicht ausreichend ist, um einen angemessenen Schutz zu gewährleisten, sondern die zugesicherten Garantien auch in die Praxis umgesetzt werden müssen. Die Einwilligung iSd. Art. 49 Abs. 1 lit. a DSGVO ist nicht Gegenstand dieses Blogbeitrags. Obgleich hervorzuheben ist, dass bei einer Übermittlung aufgrund der Einwilligung und ohne jegliche Garantien, der Schutz personenbezogener Daten vollkommen ins Leere läuft.
Naja. Daß es „grundsätzlich“ weiterhin zulässig ist, persbezogene Daten auf Basis von Standardvertragsklauseln in die USA zu übermitteln, mag schon stimmen. Sie sind eine der in der DSGVO vorgesehenen Garantien. ABER: der EuGH hat schon deutlich gemacht, daß sie allein nicht genügen, sondern die rechtliche Realität im Drittland in den Blick zu nehmen ist. Und wenn der EuGH wegen der rechtlichen Realität im Drittland USA das privacy shield Abkommen kippt, wäre es für mich nicht recht nachvollziehbar, warum dann Standardvertragsklauseln, die derselben rechtlichen Realität (sprich Eingriffsrechten von US Behörden) ausgesetzt sind, unbedenklich sein sollten.