Sind Standardvertragsklauseln die Lösung für Datentransfers in die USA nach der "Schrems II"-Entscheidung des EuGH? Dr. Stefanie Hellmich und Laura Hoffmann ordnen neue Empfehlungen aus Brüssel ein.
Nach der "Schrems II"-Entscheidung des Europäischen Gerichtshofs (EuGH) aus dem Juli 2020 stellt sich für europäische Unternehmen die Frage, welche Maßnahmen getroffen werden müssen, um weiterhin Daten in Länder wie die USA zu übermitteln. Doch es formieren sich Orientierungshilfen. Nach zunächst nur vereinzelten Stellungnahmen von nationalen Datenschutz-Aufsichtsbehörden liegen seit 10. November auch Empfehlungen des Europäischen Datenschutzausschusses (EDSA) vor. In dem Ausschuss kommen die Vertreter der nationalen Datenschutzbehörden zusammen. Zwei Tage später veröffentlichte die EU-Kommission einen Entwurf für die bereits seit langem erwartete Neuauflage der Standardvertragsklauseln (auch SCCs genannt).
Getrübte Freude nach "Schrems II"-Entscheidung
Im Juli hatte der EuGH in der Entscheidung "Schrems II" (Urt. v. 16.07.2020, Az. C-311/18) das sogenannte Privacy Shield als Grundlage für Übermittlungen personenbezogener Daten in die USA gekippt. Nach Ansicht des EuGH sind Standardvertragsklauseln hingegen weiterhin ein wirksames Mittel zur Datenübertragung. Die Klauseln werden von der EU-Kommission verabschiedet. Unternehmen verwenden dieses Set an vertraglichen Regelungen, um ihre Vertragspartner bei Datentransfers zur Einhaltung eines angemessenen Datenschutzstandards zu verpflichten.
Die Freude hierüber trübt sich allerdings bei genauerem Hinsehen. Um sich auf SCCs verlassen zu können, muss das exportierende Unternehmen selbstständig prüfen, ob die Klauseln die übermittelten Daten effektiv schützen können. Dieser Schutz könne durch Gesetze oder eine sonstige Praxis im Zielland beeinträchtigt sein, so die EuGH-Richter. In diesem Fall, seien "hinreichende zusätzliche Maßnahmen" zu ergreifen. Können solche Maßnahmen nicht getroffen werden, so ist eine Übermittlung sofort auszusetzen oder zu beenden. Eine Schonfrist zur Umsetzung des Urteils wurde Unternehmen nicht eingeräumt.
Datentransfers in die USA und andere Länder, deren Datenschutzschutzniveau als unzureichend angesehen wird, sind Alltag in den meisten Unternehmen. Eine Vielzahl von Websites nutzt Google Analytics und auch Business-Produkte wie Microsoft Office 365 übermitteln grundsätzlich Daten in die USA. Deshalb wurde die Auslegungshilfe des Europäischen Datenschutzausschusses EDSA mit Spannung erwartet, um Klarheit zu schaffen, welche zusätzlichen Maßnahmen als angemessen erachtet werden.
Das Aus für Übermittlungen unverschlüsselter Daten?
Der EDSA stellt in den Empfehlungen eine Art Fahrplan vor, nach dem Unternehmen ihre Datenübermittlungen prüfen sollen. Das wichtige Motto des EDSA ist "Know your transfers", Unternehmen müssen in Zukunft einen genauen Überblick haben, welche internationalen Datenströme vorhanden sind und welches Datenschutzniveau die einzelnen betroffenen Staaten bieten. Dies bürdet Unternehmen in der EU einige zusätzliche Arbeit auf.
Im Anhang der Empfehlungen beschreibt der EDSA beispielhaft, welche zusätzlichen technischen oder vertraglichen Maßnahmen vereinbart werden können.
Als technische Lösung kommt eine starke Verschlüsselung der Daten in Betracht. Laut EDSA kann eine starke Verschlüsselung und Pseudonymisierung als ausreichende Maßnahme aber nur funktionieren, solange die Daten auf ihrem Weg und auf dem Server durchgehend verschlüsselt und pseudonymisiert bleiben. Eine Entschlüsselung durch einen Dienstleister z.B. zum Zwecke des Supports wäre dann grundsätzlich nicht möglich. Damit ist die technische Maßnahme für eine Vielzahl von Dienstleistungen nicht anwendbar.
Die Empfehlungen beschreiben auch häufige Anwendungsfälle für Unternehmen, zum Beispiel folgenden: Ein EU-Unternehmen speichert Daten in einer Cloud im Drittland. Der Cloud-Anbieter benötigt Zugang zu den Klardaten ohne Verschlüsselung, um seine Leistungen erbringen zu können. Die Datenübermittlung erfolgt dabei oft, ohne dass der Anwender des Tools dies bemerkt, z.B. bei der automatischen Archivierung und Sicherheitsprüfung von E-Mails. In diesem Anwendungsfall sieht der EDSA keine Möglichkeit, die Übermittlung rechtskonform zu ermöglichen, wenn ein vergleichbarer Datenschutzstandard im Drittland nicht gewährleistet werden kann. Dabei ist zu berücksichtigen, dass Übermittlung im rechtlichen Sinne nicht nur die Verarbeitung auf einem im Drittland belegenen Server umfasst, sondern auch den Zugriff zu Supportzwecken beinhaltet. Entsprechendes gilt für eine Unternehmensgruppe, wenn ein Gruppenunternehmen in einem solchen Land Zugriff auf personenbezogene Klardaten erlangen soll.
Damit kommt der Prüfung, ob für die übermittelten Daten im jeweiligen Land ein vergleichbares Datenschutzniveau besteht, eine hohe Bedeutung zu. Als wichtiges Element gilt es zu evaluieren, ob ein Schutz vor dem Zugriff von Regierungsbehörden gewährleistet werden kann. Dazu sollte hinterfragt werden, ob und inwieweit die Aktivitäten des Vertragspartners der als kritisch eingeordneten Sicherheitsgesetzgebung (für die USA: FISA 702, E.O. 12333) unterfallen und ob insoweit nachprüfbare Verfahren beim Vertragspartner eingerichtet sind. Dies zu ermitteln gestaltet sich in der Praxis durchaus schwierig und sollte in Zusammenarbeit mit dem jeweiligen Vertragspartner im Drittland erfolgen.
Anwendung neuer Standardvertragsklauseln
Auch schon vor der "Schrems II"-Entscheidung war eine Überarbeitung der SCCs dringend geboten. Die letzte Version stammt aus dem Jahre 2010 und somit noch weit vor dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO). Der jetzige Entwurf kann bis 10. Dezember 2020 von der Öffentlichkeit kommentiert werden. Es ist zu erwarten, dass die neuen Klauseln zum Beginn des nächsten Jahres in Kraft treten. Die EU-Kommission ist zum Erlass von SCCs im sogenannten Prüfverfahren ermächtigt. Dabei muss der Entwurf von einer qualifizierten Mehrheit eines Ausschusses mit Vertretern der einzelnen EU-Ländern unterstützt werden.
Der aktuelle SCC-Entwurf ist modular aufgebaut, sodass alle denkbaren Konstellationen von Übermittlungen abgedeckt werden. Neuerdings umfasst dies auch Übermittlungen zwischen zwei Auftragsverarbeitern. Das Modul zur Übermittlung vom datenschutzrechtlich Verantwortlichen zum Auftragsverarbeiter erfüllt die Anforderungen des Artikel 28 DSGVO. Dies bedeutet, ein separater sogenannte Auftragsverarbeitungsvertrag ist zukünftig nicht mehr nötig. Auch können im Nachhinein noch weitere Parteien den SCCs beitreten. Damit bieten die neuen SCCs Anwendern eine große Flexibilität.
Teilweise greifen die neuen SCCs die Empfehlungen des EDSA auf. Die Kommission hat die vom EDSA vorgeschlagenen vertraglichen Sicherungsmaßnahmen größtenteils umgesetzt. Damit berücksichtigen die neuen SCCs die Vorgaben des EuGH aus der "Schrems II"-Entscheidung. Die Kommission nutzt dabei allerdings meist anwendungsfreundlichere Formulierungen als der EDSA, wie "soweit möglich" oder "best effort". Diese vertraglichen Zusagen sind aber gegebenenfalls auch nach den Vorgaben der Kommission durch technische Sicherungen zu unterstützen. Nur dann können die SCCs ihre Wirkung in der Praxis entfalten und den Drittstaatentransfer legitimieren. Anderenfalls droht eine Anwendung des Sanktionsregimes der DSGVO durch die Aufsichtsbehörden.
Der SCC-Entwurf sieht eine Übergangsfrist von einem Jahr ab Inkrafttreten vor. In dieser Frist sind alle bisherigen Verträge auf die neuen Regelungen umzustellen. Neu abzuschließende Verträge müssen laut des Entwurfs direkt auf Grundlage der neuen SCCs abgeschlossen werden. Unternehmen, die bereits frühzeitig auf die "Schrems II"-Entscheidung reagiert und ihre Vertragsbeziehungen angepasst haben, sind nun abermals gehalten, ihre Verträge auf neue Grundlagen zu stellen. Gerade für international tätige Konzerne eine weitere Herkulesaufgabe.
Was Unternehmen jetzt tun müssen
Das wohl wichtigste Element der Datenschutz-Compliance von Unternehmen ist derzeit, einen Überblick über die internationalen Datenströme zu gewinnen. Dies stellt den ersten Schritt zur Umsetzung der "Schrems II"-Entscheidung dar und dient der Vorbereitung zur Umstellung auf die neuen SCCs im nächsten Jahr. Dabei sind sowohl externe Verträge mit Dienstleistern, wie sie bei der Verwendung von digitalen Tools, Clouds und Cookies geschlossen werden, als auch Übermittlungen innerhalb eines Unternehmens zu beleuchten. Der EDSA verlangt nun insbesondere zu überprüfen, ob die Wirksamkeit der SCCs im Zielland beeinträchtigt wird. Ist das Ergebnis der Prüfung, dass die übermittelten Daten gefährdet sind, sieht der EDSA nur einen engen Rahmen an Möglichkeiten. Es sollten zunächst technische Sicherungsmaßnahmen angedacht werden. Erst wenn diese grundsätzlich geeignet sind, kann über zusätzliche vertragliche Maßnahmen nachgedacht werden.
SCCs allein, das macht der EDSA deutlich, genügen nicht, da sie vor dem Zugriff von Regierungsinstitutionen nicht schützen. Damit stellen die derzeitigen und auch die neuen SCCs nicht die alleinige Rettung für unsichere Datentransfers dar. Vielmehr sind sie im Zusammenspiel mit technischen Maßnahmen zu betrachten.
Die Autorinnen Dr. Stefanie Hellmich, LL.M. und Laura Hoffmann, LL.M. sind Rechtsanwältinnen bei der Wirtschaftskanzlei Luther und beraten Unternehmen im IT- und Datenschutzrecht sowie dem gewerblichen Rechtsschutz. Sie begleiten Projekte zur Umsetzung der Schrems II-Entscheidung in Unternehmen.
EU-Empfehlungen nach 'Schrems II': . In: Legal Tribune Online, 07.12.2020 , https://www.lto.de/persistent/a_id/43658 (abgerufen am: 22.11.2024 )
Infos zum Zitiervorschlag