Internationaler Datentransfer: Anforderungen und Entwicklungen
Mit dem „Schrems II“-Urteil vom 16.07.2020 hat der Europäische Gerichtshof die ohnehin schon in stetiger Bewegung befindliche Rechtslage für internationale Datentransfers noch einmal grundlegend verändert. Wir stellen Ihnen in diesem Beitrag vor, worauf es nun bald ein Jahr nach der aufsehenerregenden Entscheidung ankommt: Welche Rechtsgrundlagen kommen für die internationalen Datenübermittlungen infrage, welche Anforderungen müssen umgesetzt werden? Schließlich geben wir einen kurzen Überblick über die von der Europäischen Kommission angekündigten neuen Standardvertragsklauseln und zeigen, was Unternehmen dazu jetzt beachten sollten.
Die rechtlichen Grundlagen im Überblick
Wie auch bei jeder anderen Verarbeitung personenbezogener Daten muss für internationale Datentransfers eine gültige Rechtsgrundlage vorliegen. Allerdings müssen Verantwortliche dafür zusätzliche Bedingungen für die Drittlandübermittlung beachten. Es empfiehlt sich, dafür in mehreren Schritten vorzugehen.
Angemessenheitsbeschluss
Zunächst sollte überprüft werden, ob für das Land, in welches personenbezogene Daten übermittelt werden sollen, ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt. Mit einem solchen Beschluss stellt die EU-Kommission für einen bestimmten Drittstaat fest, dass die dortige Rechtslage ein Datenschutzniveau aufweist, das mit dem der Europäischen Union vergleichbar ist. Dann können Datenübermittlungen ganz unproblematisch vorgenommen werden. Zu den Staaten mit Angemessenheitsbeschluss, die die Europäische Kommission in einer Liste veröffentlicht, gehören aktuell unter anderem Kanada (nur für private Unternehmen), Argentinien, Neuseeland, Israel, Japan, die Schweiz, bald auch Südkorea und aller Voraussicht nach das Vereinigte Königreich.
Standardvertragsklauseln und verbindliche interne Vorschriften
Wenn für das jeweilige Drittland kein Angemessenheitsbeschluss vorliegt, kommt in einem zweiten Schritt der Rückgriff auf andere geeignete Garantien (Art. 46 DSGVO) in Betracht. In der Praxis sind die relevantesten dieser geeigneten Garantien die sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO).
Zunächst zu den Standardvertragsklauseln (Standard Contractual Clauses, SCC): Diese Regelungsvorgaben werden ebenfalls von der Europäischen Kommission ausgearbeitet und können als vertragliche Vorlagen verwendet werden, um das Unternehmen im Drittstaat zur Einhaltung eines angemessenen Datenschutzniveaus zu verpflichten, an das die Daten exportiert werden. Das Instrument der Standardvertragsklauseln erklärte der EuGH in seinem Schrems II-Urteil ausdrücklich für weiterhin anwendbar. Zugleich machte er ihre Wirksamkeit allerdings davon abhängig, dass die Mechanismen der jeweiligen Standardvertragsklauseln wirklich dazu in der Lage sind, ein angemessenes Datenschutzniveau sicherzustellen. Dazu sollte etwa die Aussetzung von Datenübermittlungen möglich sein, wenn Vereinbarungen der SCC in der Praxis nicht umgesetzt werden können. Für Unternehmen besonders wichtig: Der Datenexporteur darf nicht einfach ungeprüft auf die SCC zurückgreifen, sondern ist für das Datenschutzniveau direkt verantwortlich. Das bedeutet, dass er die Rechtslage im Empfängerland und die vertraglichen Vereinbarungen vorab überprüfen und unter Umständen die SCC mit eigenen Regelungen ergänzen muss. Was die Rechtslage anbetrifft, sind vor allem Zugriffsrechte durch Behörden und Geheimdienste relevant, in den USA beispielsweise aufgrund der Sicherheitsgesetze FISA 702, E.O. 13222 oder des CLOUD ACT. Zudem trifft den Exporteur eine umfassende Dokumentationspflicht.
Die verbindlichen internen Datenschutzvorschriften bzw. Binding Corporate Rules (BCR) legt nicht die Europäische Kommission, sondern das Unternehmen in der EU in Form von Regeln für den Umgang mit personenbezogenen Daten in einem Drittland fest. Die BCR haben ebenfalls das Ziel, für die Datenübermittlungen ein angemessenes Datenschutzniveau zu erreichen. Nach der Genehmigung durch die Aufsichtsbehörde können sie als Rechtsgrundlage für Datentransfers herangezogen werden. Allerdings gelten sie nur intern zwischen den Parteien der BCR, weshalb sie nur in speziellen Fällen genutzt werden können. Beispielsweise eignen sie sich für Übermittlungen innerhalb einer Unternehmensgruppe, etwa an Tochterunternehmen mit Sitz in einem Drittstaat.
Ausnahmeregelungen: Einwilligung und Vertragserfüllung
Grundsätzlich möglich ist es des Weiteren, Datentransfers auf die Ausnahmen des Art. 49 DSGVO zu stützen, insb. die Einwilligung der betroffenen Personen (Art. 49 Abs. 1 S. 1 lit. a DSGVO). Hier müssen die allgemeinen Vorgaben der DSGVO an die Einwilligung beachtet werden. Die Einwilligungen müssen ausdrücklich, freiwillig und informiert erklärt werden sowie jederzeit widerruflich sein. Zudem müssen die Einwilligenden über mögliche mit der Übermittlung verbundenen Risiken aufgeklärt werden. Einwilligungen sind bei internationalen Datentransfers nur in Ausnahmefällen praktikabel, bieten sich jedoch zum Beispiel für den Betrieb von Webseiten oder Apps an. Die Einwilligungen können über Cookie-Banner eingeholt werden.
Welche zusätzlichen Maßnahmen können getroffen werden?
Da die Standardvertragsklauseln und Binding Corporate Rules als Vertragswerke allerdings regelmäßig nicht geeignet sind, sich über die (Überwachungs-)Rechtslage im Drittland hinwegzusetzen, sind nach dem „Schrems II“-Urteil in der Praxis häufig zusätzliche Schutzmaßnahmen erforderlich, aufgrund des Wegfalls des Privacy Shields nicht zuletzt auch in besonderem Maße für Datenübermittlungen in die USA. Unternehmen haben die Möglichkeit, technische sowie organisatorische Maßnahmen zu ergreifen.
Technische Maßnahmen
Zu den wichtigsten technischen Maßnahmen gehören Verschlüsselungslösungen wie Transport- und Inhaltsverschlüsselung und die Pseudonymisierung von Daten. Für die Pseudonymisierung sollte die Identifizierung der Personen ohne Zuhilfenahme von Zuordnungsdaten beim Verantwortlichen sicher ausgeschlossen sein. Beispielsweise können US-Clouds datenschutzkonform genutzt werden, indem der Zugriff durch US-Sicherheitsbehörden durch (nur) clientseitige Ver- und Entschlüsselung, die direkt auf den Geräten vorgenommen wird und deren Schlüssel durch den Kunden verwaltet werden, verhindert wird. Dieses Vorgehen ist sehr sicher, häufig allerdings zu umständlich und daher nicht praktikabel. Darüber hinaus sollte der regelmäßige Datenspeicherort innerhalb der EU liegen und Support- und Wartungsleistungen von dort aus erbracht werden. Grundsätzlich empfiehlt es sich, vorab zu prüfen, welche Sicherheitsmaßnahmen der jeweilige Anbieter ermöglicht.
Organisatorische Maßnahmen
Im Rahmen organisatorischer Maßnahmen sollten vor allem Regelungen für den Umgang mit behördlichen Zugriffen getroffen werden, auch als Ergänzung zu den SCC oder BCR. Dazu können Transparenzberichte, die Einhaltung von Informationspflichten und Sonderkündigungsrechten, wenn die vereinbarten Vorgaben nicht umgesetzt werden können, gehören. Zudem sollten aktuelle Risikoprüfungen nach Art der Daten und der Wahrscheinlichkeit von Zugriffen erstellt werden. Es empfehlen sich weiterhin Vereinbarungen, dass personenbezogene Daten nur in der EU verarbeitet werden dürfen. Datenverarbeitungen können auch aufgeteilt werden, indem beispielsweise je nach Datenart unterschiedliche Clouddienste verwendet werden. Eine Risikoanalyse speziell für den internationalen Datentransfer sollte die Prüfung des konkreten Risikos für natürliche Personen, die Berücksichtigung des Umfangs und der Art der Daten sowie eine Einstufung in Risikoklassen beinhalten.
Das könnte Sie auch interessieren:
- Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365
- Anonymisierung und Pseudonymisierung in der Praxis
Alles anders mit den neuen Standardvertragsklauseln der EU-Kommission?
Am 4. Juni 2021 hat die Europäische Kommission neue SCC angenommen, die eine wichtige Neuerung für Unternehmen darstellen. Die Prüfung des Datenschutzniveaus im Drittland ist nun als explizite Pflicht in den SCC enthalten. Darüber hinaus ermöglichen sie durch einen neuen, modularen Aufbau eine flexible Vertragsgestaltung. Sie setzen sich aus allgemeinen, in jedem Fall zu berücksichtigenden Bestimmungen und zusätzlichen Modulen für bestimmte Verarbeitungskonstellationen zwischen Verantwortlichen, Auftrags- und Subauftragsverarbeitern zusammen. Des Weiteren ermöglichen die SCC die Abbildung unterschiedlicher Verarbeitungsketten und den nachträglichen Beitritt weiterer Verantwortlicher/Auftragsverarbeiter. Schließlich sind die Begrifflichkeiten von Datenexporteur und Datenimporteuer jetzt offener gestaltet.
Auch wenn die alten SCC für bereits geschlossene, unveränderte Verträge noch 18 Monate fortgelten, sollten Unternehmen sich auf den Wechsel frühzeitig vorbereiten. Dazu sollten nochmals alle Datenübermittlungen in Drittländer erfasst und überprüft werden. Bereits abgeschlossene Standardvertragsklauseln sollten ebenfalls überprüft und alle auf Schrems II beruhenden Schutzmaßnahmen dokumentiert und zusammengestellt werden. Es empfiehlt sich, die Rollen aller Akteure zu erfassen und am Ende einen Prozess zur Aktualisierung der SCC zu definieren.
Fazit
Für Unternehmen ergeben sich unterschiedliche Handlungsoptionen im Zusammenhang mit Drittstaatentransfers. Wenn es im Einzelfall möglich ist, kann es sinnvoll sein, auf europäische Dienstleister (oder aus einem Land mit Angemessenheitsbeschluss) umzusteigen. Für die vielen Fälle, in denen das praktisch schwierig ist, müssen Unternehmen sorgfältig die passenden geeigneten Garantien bestimmen, die Rechtslage im Drittland prüfen und für die konkrete Verarbeitung eine Risikobewertung vornehmen sowie angemessene technische und organisatorische Maßnahmen ergreifen. Die neuen SCC sorgen hier zwar für mehr Klarheit, auf einen erhöhten Aufwand müssen Unternehmen sich allerdings trotzdem einstellen. Die notwendigen Maßnahmen müssen nicht nur ermittelt und umgesetzt, sondern zudem umfassend dokumentiert werden.