Die Deutlichkeit des Schrems-II-Urteils des Europäischen Gerichtshofes (EuGH) hat Datenschutzexperten und auch Aufsichtsbehörden überrascht. Das Urteil hat eingeschlagen wie die sprichwörtliche Bombe und in allen beteiligten Kreisen größere Ratlosigkeit hinterlassen. Als einer der ersten wagt sich nun der Europäische Datenschutzausschuss (EDSA) aus der Deckung und gibt Empfehlungen, die wir in gebotener Kürze erläutern.
Update: Am 18. Juni 2021 wurde die in diesem Artikel besprochene Empfehlung in Version 2.0 vom EDSA angenommen. An der hier bereits beschriebenen Vorgehensweise ergeben sich keine Änderungen und auch hinsichtlich der vorgeschlagenen zusätzlichen Maßnahmen ergeben sich leider keine weiteren Offenbarungen. Soweit die betroffenen Daten dem Empfänger nicht vorenthalten werden können, bleiben starke Verschlüsselung und eventuell die Pseudonymisierung von Daten die zentralen Ansätze. Neue einfache Lösungen finden sich in dem Papier erwartungsgemäß nicht. Daten sind vor der Neugier staatlicher Stellen eben nur dann zuverlässig geschützt, wenn die Stellen sie nicht auslesen können.
Empfehlungen des EDSA beim Einsatz von SCC, BCR etc.
Zur Wiederholung: Neben dem eigentlichen Tenor, dass das EU-U.S. Privacy Shield unwirksam ist, enthält das EuGH-Urteil die allgemeine Aussage, dass die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwar weiterhin ein taugliches Mittel sind, um für ein grundsätzlich angemessenes Datenschutzniveau zu sorgen. Aber eben leider nicht alleine – Papier ist geduldig –, denn es muss im Zweifel gegebenenfalls durch zusätzliche Maßnahmen dafür gesorgt werden, dass das Datenschutzniveau tatsächlich angemessen ist.
Das Papier des EDSA zählt die hierfür notwendigen Schritte auf:
- Die relevanten internationalen Datenübertragungen müssen festgestellt werden. Wobei es hier auf die tatsächlichen Übertragungen ankommt, nicht lediglich auf die, die sich nach Vertrag aufdrängen. Es wird notwendig sein, die Datenflüsse insbesondere in Kooperationen und Auftragsverarbeitungs-Verhältnissen gegebenenfalls bis zu eingeschalteten Subdienstleistern nachzuverfolgen. In der Praxis wird man hier teilweise bereits an der mangelnden Transparenz insbesondere einiger großer Anbieter scheitern.
- Es muss untersucht werden, wie die identifizierten internationalen Datenübertragungen bislang geregelt und gegebenenfalls gerechtfertigt werden.
Hinweis: Diese beiden Schritte waren früher schon notwendig. Ab jetzt kommen zusätzliche Anforderungen hinzu und nun wird das Ganze kompliziert:
- Nunmehr muss festgestellt werden, inwieweit das vermeintlich angemessene Datenschutzniveau beim Empfänger in rechtlicher oder tatsächlicher Hinsicht beeinträchtigt werden kann. Hier wird in der Tat von Ihnen verlangt, sich im Detail mit den örtlichen Gesetzen und Gegebenheiten für Ihren Kooperationspartner oder Dienstleister in einem Drittland auseinanderzusetzen. Sie haben festzustellen, welche Beeinträchtigungen des Datenschutzniveaus möglich sind und ob diese für die betroffene Verarbeitung unter Berücksichtigung aller Umstände relevant sind.
- In einem folgenden Schritt muss nun überlegt werden, inwieweit diesen Beeinträchtigungen des Datenschutzniveaus durch geeignete Maßnahmen technischer, tatsächlicher oder vertraglicher Art begegnet werden kann. Diese Maßnahmen sind zu ergreifen.
- Soweit hierfür die Mitwirkung des Datenimporteurs im Drittland notwendig ist, sind die notwendigen Vereinbarungen zu schließen sowie andere formale Voraussetzungen zu erfüllen. Bitte denken Sie daran, dass Änderungen der EU-Standardvertragsklauseln nicht einfach so vorgenommen werden dürfen. Vielmehr müssen Änderungen von den Aufsichtsbehörden genehmigt werden. Derzeit werden die EU-Standardvertragsklauseln von der Kommission überarbeitet. Wir informieren Sie, sobald diese vorliegen.
- Zuletzt ist die Einhaltung der eigenen sowie vereinbarten Maßnahmen zu kontrollieren, und zwar – wie üblich – nicht nur einmalig, sondern regelmäßig während der gesamten Laufzeit. Das Gleiche gilt für die rechtlichen und tatsächlichen Umstände im Drittland, denen mit den zusätzlichen Maßnahmen begegnet wird. Ändern sich diese Umstände, muss reagiert werden.
Gerade der dritte Schritt stellt selbst Profis vor sehr hohe Herausforderungen. Ohne vertiefte Kenntnisse des fremden Rechtskreises und der dortigen Gegebenheiten ist eine Beurteilung nicht möglich. Man darf auch nicht aus dem Auge verlieren, dass es im Zweifel ja nicht nur um die „üblichen Verdächtigen“ großen Dienstleister mit ihren bekannten Standorten geht, sondern sehr schnell auch um kleinere Stellen in Ländern, mit deren Recht man bislang wenig oder gar nichts zu tun hatte.
Wie transparent in sämtlichen Fällen das Recht am Empfängerort ist und ob überhaupt eine Möglichkeit besteht, Beeinträchtigungen des Datenschutzes nicht nur erahnen, sondern konkret festzustellen, ist eine weitere Frage.
Zum vierten Schritt bietet das EDSA-Papier im Anhang diverse Beispiele. Ganz zentral wird auf eine starke und wirklich wirksame Verschlüsselung abgestellt. Daneben werden noch einige andere Lösungsansätze vorgestellt. Für die Einzelheiten verweisen wir auf das Papier.
Hinweise zur Verbindlichkeit des EDS-Papiers
Wir wurden aus der Leserschaft freundlicherweise darauf hingewiesen, dass es sich bei der Empfehlung des EDSA um keine verbindliche Vorgabe handelt. Das ist korrekt; die Aufsichtsbehörden und ihre Gremien sind nicht befugt, Gesetze oder Verordnungen zu erlassen. Sie können höchstens im Einzelfall rechtsverbindlich tätig werden, soweit sie dazu gesetzlich ermächtigt sind.
Andererseits: Irgendwie wird die Praxis auf das EuGH-Urteil reagieren und die darin enthaltenen Anforderungen erfüllen müssen. Allzu groß ist der Spielraum hierbei nicht. Es wird immer anfangs darum gehen, die Verhältnisse festzustellen, bei denen potentiell Handlungsbedarf besteht, weil ein Transfer in Drittländer erfolgt. Dann muss jeweils der konkrete Bedarf ermittelt und entsprechend gehandelt werden.
Man darf hierbei auch nicht vergessen, dass die korrekte Umsetzung des Datenschutzes originär den verantwortlichen Stellen obliegt. Es ist weder Aufgabe der Aufsichtsbehörden, hierzu passende Lösungen vorzugeben, noch müssen die Behörden Verantwortliche erst ausdrücklich anweisen, um Handlungsbedarf zu erzeugen. Natürlich kann und sollte soweit möglich abgewartet werden, welche Tendenzen die Aufsichtsbehörden erkennen lassen. Es wäre wirtschaftlich unvernünftig, voreilig in eine Richtung vorzupreschen, bei der sich im Nachhinein herausstellt, dass dieser Weg von den Aufsichtsbehörden nicht gebilligt wird.
Im vorliegenden Fall des Drittlandtransfers sind zumindest die ersten Schritte klar. Es ist Aufgabe der verantwortlichen Stellen, die Angemessenheit des Datenschutzniveaus im Einzelfall zu verifizieren; bestehende Vereinbarungen und erhaltene Versprechen einmal dahingestellt. Stellen sich Defizite heraus, müssen zusätzliche geeignete Maßnahmen ergriffen werden. Ist dies nicht möglich, kann der Drittlandtransfer nicht gerechtfertigt werden. Die oben dargestellten Schritte eins bis drei dürften damit ohne echte Alternative sein. Uns ist aus erster Hand bekannt, dass die Aufsichtsbehörden erwarten, dass sich verantwortliche Stellen jetzt zumindest soweit um die Angelegenheit kümmern. Welche Maßnahmen dann ergriffen werden können und als angemessen akzeptiert werden, kann ggf. etwas abgewartet werden.
Es ist sehr zu begrüßen, dass die zuständigen Behörden und Einrichtungen ausführliche Lösungsvorschläge für die Praxis machen oder aber, wenn man dies kritischer ausdrücken möchte, ihre Erwartungen transparent kommunizieren. Natürlich ist es jedem Verantwortlichen selbst überlassen, abzuwarten oder einen anderen Weg einzuschlagen und diesen im Ernstfall dann gerichtlich gegen die eigene Aufsichtsbehörde zu verteidigen. Wir legen jedem Verantwortlichen nahe, die hieraus entstehenden Risiken im Detail mit dem eigenen Datenschutzbeauftragten abzuklären.
Dienstleister in der EU sind ggfs. die bessere Wahl
Die Sprengkraft des EuGH-Urteils ist tatsächlich erheblich. Der Aufwand, einen zweifelhaften Drittlandtransfer wieder in richtige Bahnen zu lenken, ist schnell sehr hoch. Zudem muss der Kooperationspartner im Ausland regelmäßig dabei mitwirken. Selbst unter dieser Voraussetzung ist nicht sicher, dass sich im Ergebnis weiterhin jede Verarbeitung unter Beteiligung eines Drittstaates rechtfertigen lassen wird.
Unternehmen sollten daher in einem ersten Schritt gut abwägen, ob es sich lohnt und Erfolg verspricht, diesen beschwerlichen Weg einzuschlagen, oder ob nicht eine Trennung vom Dienstleister zugunsten eines Anbieters innerhalb der EU in der Gesamtbetrachtung die einfachere und dauerhaftere Lösung ist.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!