Nach Schrems II: Europäischer Datenschutzausschuss veröffentlicht Empfehlungen zur Prüfung von Drittlandtransfers

Der EuGH hat mit seinem Schrems II Urteil vom 16. Juli 2020 (C-311/18; siehe MKM Newsletter vom 20. Juli 2020) die Compliance-Anforderungen an Übermittlungen von personenbezogenen Daten in Länder außerhalb der EU und des EWR (Drittländer) angehoben. Zusätzlich zu den nach der DSGVO gegebenen rechtlichen Instrumenten (wie bspw. Standardvertragsklauseln „SCC“) mit Geschäftspartnern in Drittländern muss sichergestellt werden, dass ein der EU gleichwertiges Datenschutzniveau gewährleistet ist. Unternehmen bleiben mit der komplexen Aufgabe zurück, das Rechtssystem in Drittländern zu bewerten und gegebenenfalls geeignete ergänzende Maßnahmen im Einzelfall zu ermitteln.

Der Europäische Datenschutzausschuss („EDSA“) hat am 11. November 2020 Empfehlungen für Maßnahmen zu Datentransfers in Länder außerhalb der EU veröffentlicht.

Das Dokument „Recommendations 01/2020“ enthält Empfehlungen zu Maßnahmen zur Ergänzung von Rechtsinstrumenten um ein der EU entsprechendes Datenschutzniveau zu gewährleisten (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data).

Die „Recommendations 02/2020“ erläutern die wesentlichen Garantien, welche in einem Rechtsstaat gewährleistet sein müssen um von einem angemessenen Schutzniveau ausgehen zu können (Recommendations 02/2020 on the European Essential Guarantees for surveillance measures).

Der EDSA empfiehlt eine 6-Schritt-Prüfung von Drittlandstransfers:

Know your transfers – Der erste Schritt ist die Bestandsaufnahme der Datenverarbeitungen mit Übermittlung in Drittländer. Soweit eine Verpflichtung zur Führung eines Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO besteht sollten diese ohnehin schon dokumentiert sein. Auch wenn keine gesetzliche Pflicht besteht ist das Verzeichnis generell im Hinblick auf die „Rechenschaftspflicht“ nach Art. 5 Abs. 2 DSGVO ratsam. Konkret hingewiesen wird auf Kettenbeauftragungen, bei denen die eigenen Auftragsverarbeiter wiederum Subunternehmen einsetzen und diese ggf. wiederum Unterauftragnehmer beauftragen (usw.).

Bestimmung der Rechtsgrundlage – Im nächsten Schritt ist die Rechtsgrundlage zu bestimmen auf welche die Drittlandsübermittlung gestützt wird. Liegt für das Land ein Angemessenheitsbeschluss vor, können Übermittlungen grds. so stattfinden wie in der EU. Auch wenn eine der Ausnahmen nach Art. 49 DSGVO greift sind grds. keine weiteren Maßnahmen erforderlich. Stützt man die Übermittlung auf die Garantien nach Art. 46 DSGVO, wie beispielsweise die SCC, so werden die nächsten beiden Schritte relevant.

Beurteilung des Schutzniveaus im Drittland – Unternehmen müssen beurteilen, ob es Gesetze oder staatliche Befugnisse im Drittland gibt, welche die Wirksamkeit der gewählten Garantien beeinträchtigen könnten. Faktoren nach denen ein Drittland bewertet werden kann sind:

  • Besteht ein Datenschutzgesetz
  • Sind Aufsichtsbehörden vorhanden und unabhängig
  • Beitritt des Drittstaats zu internationalen Abkommen, welche Datenschutzinstrumente gewährleisten
  • Staatliche/behördliche Zugriffsmöglichkeiten oder Gesetzte die einem im Wesentlichen gleichen Schutzniveau entgegenstehen

Eine Hilfestellung zur Beurteilung liefert der EDSA in den Recommendations 02/2020. Ergibt die Bewertung, dass die Garantien nicht ausreichen um ein im wesentlichen gleiches Schutzniveau im Drittland zu gewährleisten, sind zusätzliche Maßnahmen zu ergreifen.

Zusätzliche Maßnahmen – Durch zusätzliche Maßnahmen kann ein im Wesentlichen gleiches Schutzniveau erreicht werden. Diese Maßnahmen lassen sich in technische, organisatorische und vertragliche Maßnahmen einteilen. Technische Maßnahmen sind dabei effektiver, da diese auch gegenüber Dritten effektiv wirken. Vertragliche Regelungen hingegen sind nur begrenzt wirksam gegen Befugnisse von Behörden im Drittland. Als Maßnahmen kommen in Frage:

  • Technische Maßnahmen
    • Verschlüsselung
    • Pseudonymisierung
  • Vertragliche Maßnahmen
    • Verpflichtung des Datenempfängers bestimmte technische Maßnahmen umzusetzen
    • Informationspflichten bei Behördenzugriffen
    • Pflicht zur Nennung nationaler Gesetze die staatliche Zugriffe regeln
    • Offenlegung von staatlichen Datenzugriffen in der Vergangenheit
    • Zusicherung dass keine „back doors“ bestehen
    • Vertragsstrafen oder außerordentliche Kündigung bei Vertragsverstößen
    • Verstärkte Auditreche
    • Regelmäßige Mitteilung, dass keine staatlichen Zugriffe erfolgt sind („warrant canary“)
    • Pflicht zur Information von nationalen Behörden, dass Daten dem EU Recht unterliegen
    • Betroffene können ihre Rechte direkt geltend machen
    • Verpflichtung des Datenempfängers Betroffene bei der Geltendmachung Ihrer Rechte im Drittland zu unterstützen
    • Auskunft über gesetzliche Verbote hinsichtlich Offenlegung von Zugriffen oder Gesetzen die den vertraglichen Regelungen entgegenstehen
    • Verpflichtung Daten nicht an weitere Dienstleister zu transferieren
    • Haftungsfreistellung durch den Datenempfänger
  • Organisatorische Maßnahmen
    • Bestehen von Richtlinien und Prozessen zur Einhaltung des Datenschutzrechts
    • Compliance Instrumente wie Privacy Teams, Datenschutzbeauftragte oder Teams mit rechtlicher und IT Kompetenz in der EU
    • Veröffentlichung von Transparenzberichten zu staatlichen Maßnahmen
    • Datenminimierungsmaßnahmen
    • Standards und best practices nach Normen (bspw. Zertifizierungen; ISO)

Sollten die Maßnahmen nicht ausreichend sein, so ist die Verarbeitung zu vermeiden oder auszusetzen.

Formale Verfahrensschritte – Abhängig von der gewählten Garantie können weitere formelle Schritte erforderlich sein. Welche das sein sollen lässt der EDSA Großteils noch offen. Bestehen bei Unternehmen genehmigte “Verbindliche interne Datenschutzvorschriften” kann das zur Folge haben, dass Ergänzungen mit den Aufsichtsbehörden abzustimmen sind.

Regelmäßige Überprüfung – Eine regelmäßige Überprüfung sämtlicher Schritte ist zu gewährleisten.

Die Recommendations des EDSA sind ein willkommener Leitfaden für Unternehmen um zu bestimmen anhand welcher Kriterien die Drittlandsübermittlungen zu messen sind und welche zusätzlichen Maßnahmen effektiv umgesetzt werden können. Die Umstände einer konkreten Verarbeitung zu bewerten kann nur durch die Unternehmen selbst erfolgen.

Was hingegen die Bewertung des Schutzniveaus der einzelnen Drittländer angeht, so bleiben Unternehmen weiterhin sich selbst überlassen. Anders also die konkrete Verarbeitung lässt sich das Schutzniveau in einem Drittland unabhängig von den Umständen des Einzelfalls bestimmen. Mit einer Übersicht würde der EDSA der europäischen Wirtschaft einen großen Gefallen tun.

In den Recommendations 01/2020 wird zudem ausdrücklich klargestellt, dass die Privatsphäre kein absolutes Recht ist und in Abwägung zu anderen Grundrechten im Rahmen einer Verhältnismäßigkeitsprüfung abzuwiegen ist. Die Rechtmäßigkeit einer Übermittlung muss daher auch von den Interessen des Unternehmens beeinflusst werden können. Diese Interessenabwägung wird vom EDSA in seinen Empfehlungen vernachlässigt.

Das Thema Drittlandsübermittlungen unter der DSGVO wird unsere Wirtschaft weiterhin beschäftigen. Als nächstes werden die neuen Sets der SCC erwartet (Nach „Schrems II“ – Bringen aktualisierte Standardvertragsklauseln Rechtssicherheit für die Übermittlung von Daten in die USA?). Der EDSA hat gerade erst eine gemeinsame Stellungahme dazu mit dem Europäischen Datenschutzbeauftragten veröffentlicht.

Über unseren Blog und Newsletter halten wir Sie diesbezüglich auf dem Laufenden.

Autor: Sven Sperling – Senior Data Privacy Consultant