Mit der Entscheidung C-311/18 (Schrems II) hat der EuGH – wie wir berichtet haben – den Angemessenheitsbeschluss der EU Kommission zum Privacy Shield für ungültig erklärt und auch die Überlassung von Daten in die USA auf Basis von Standarddatenschutzklauseln (SCC) angegriffen. Damit wurde für Datenübermittlungen in die USA große Rechtsunsicherheit geschaffen. Nun hat der Europäische Datenschutzausschuss (EDSA) einen ersten Entwurf mit Empfehlungen mit welchen Maßnahmen Drittstaatentransfers, unter anderem auf Basis SCC, abgesichert werden können, vorgestellt. Zusätzlich wurde heute von der EU Kommission der schon überfällige Vorschlag für die an die DSGVO angepassten Standarddatenschutzklauseln nach Art 46 DSGVO veröffentlicht. Die DORDA Datenschutzexperten haben die wichtigsten Erkenntnisse für Sie zusammengefasst:
Historie und Ausgangslage
Mit der Entscheidung C-311/18 (Schrems II) hat der EuGH am 16.7.2020 den Angemessenheitsbeschluss der EU Kommission zum Privacy Shield (2016/1250) für ungültig erklärt. Für die Praxis hat diese Entscheidung große Unsicherheit geschaffen: Die Datenexporteure standen vor der Herausforderung, ihre Datenübermittlungen in die USA entweder zu stoppen oder andere geeignete Garantien zur Absicherung zu implementieren. Ersteres würde bedingen, die Zusammenarbeit mit US-Anbietern einzustellen. Das ist in der Praxis aber in vielen Fällen schlicht unmöglich. Daher war es notwendig, auf alternative Absicherungen für den Datentransfer zurück zu greifen. Dafür haben sich in der Praxis schon Ansätze entwickelt. Eine Restunsicherheit blieb allerdings bestehen. Nun beginnt sich der Nebel allerdings langsam zu lichten: Die zwei soeben veröffentlichten Entwürfe des EDSA und der EU Kommission zeigen grob den weiteren Weg vor:
Empfehlungen 01/2020 zu Maßnahmen bei Drittstaatentransfers
Der EDSA hat am 10.11.2020 "Empfehlungen 01/2020 zu Maßnahmen als Ergänzung für Übertragungsinstrumente, um die Einhaltung des EU Schutzniveaus für personenbezogene Daten zu gewährleisten" (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) veröffentlicht. Bei dem Dokument handelt es sich aktuell lediglich um einen Entwurf, der nun in einer öffentlichen Konsultationsphase bis zum 30.11.2020 steht. Die Empfehlungen beinhalten einerseits eine schrittweise Anleitung für die Evaluierung von Datenexporten und andererseits einen beispielhaften Katalog mit möglichen Maßnahmen, um das Schutzniveau eines Drittstaats dem der EU anzupassen. Das reicht etwa von technischen Maßnahmen, wie Anonymisierung oder (starker) Verschlüsselung der Daten vor der Übermittlung über die Vereinbarung von gesonderten Informations- und Mitwirkungspflichten bis hin zu Vertragsstrafen und außerordentlichen Kündigungsrechten. So enthält die Empfehlung wertvolle Tipps zur Evaluierung, wie zB die Erstellung eines Datenexportmappings oder Kriterien für die Auswahl richtiger Schutzmechanismen. Befolgt man diese, hat man im Ernstfall bei einer etwaigen Überprüfung durch die Behörde eine nachvollziehbare Dokumentation, die die Nachprüfung und Argumentation erleichtert.
Die Evaluierung, ob und welche Maßnahmen erforderlich sind, muss jedoch jeweils einzelfallbezogen durch den Verantwortlichen durchgeführt werden. Es liegt daher weiterhin am Datenexporteur, die für den konkreten Sachverhalt – den Service, den Anbieter – richtigen Maßnahmen zu wählen, umzusetzen und deren Einhaltung zu kontrollieren. Die Empfehlungen stellen somit zwar einen Leitfaden dar, gewährleisten jedoch mangels genauer Anleitung bzw Vorgabe weiterhin keine absolute Rechtssicherheit: So dient der Katalog von möglichen Maßnahmen lediglich als Anhaltspunkt und ist ausdrücklich keinesfalls abschließend. Aus dem gesamten Dokument lässt sich dabei die Tendenz erkennen, dass der EDSA größeren Wert auf technische Maßnahmen, wie zB Pseudonymisierung oder Verschlüsselung der Daten vor dem Export ins Drittland, setzt. Nach Ansicht des EDSA hängen die möglichen vertraglichen Vereinbarungen nämlich sehr stark von der jeweiligen Rechtslage im konkreten Drittland ab.
Aus dem Blickwinkel der Praxis wirken die Maßnahmen aber aktuell nur schwer umsetzbar und nicht für jeden Verarbeitungszweck angemessen: So ist zB eine vollständige Anonymisierung oder Verschlüsselung von Daten in vielen Fällen nicht für Services geeignet, in denen eine sinnvolle Weiterverarbeitung durch einen Auftragsverarbeiter erforderlich ist (zB Wartung und Support). Folgt man dem Ansatz des EDSA soll jedoch die Übermittlung von Daten in gewisse Drittländer – wie wohl insbesondere die USA – trotz vereinbarter, strengerer vertraglicher Garantien bei fehlenden technischen Maßnahmen nicht möglich sein. Deswegen ist aus unserer Sicht ein praxisnäherer Ansatz wünschenswert. So muss auch für solche Services, in denen eine Anonymisierung, Pseudonymisierung oder Verschlüsselung praktisch nicht sinnvoll umgesetzt werden kann, ein pragmatischer Lösungsansatz unter Wahrung der Grundsätze der DSGVO möglich sein. Genau diese Fälle haben bisher und sollen auch zukünftig über SCC abbildbar sein. Dies umso mehr, als es nun einen neuen Entwurf der EU Kommission dazu gibt:
Neuer Entwurf der Standarddatenschutzklauseln
Zusätzlich wurde heute auch der langersehnte Entwurf für neue Standarddatenschutzklauseln veröffentlicht. Auch dabei handelt es sich vorerst lediglich um einen Vorschlag, zu dem in den nächsten vier Wochen ebenfalls Feedback eingereicht werden kann.
Die angepassten SCC folgen der Linie des EDSA in Bezug auf die vertraglichen Maßnahmen und beinhalten bereits die vom Ausschuss vorgeschlagenen – aktuell nur als Zusatzvereinbarung zu bestehenden SCC umsetzbaren – Klauseln. Insbesondere wurden im Vergleich zur Vorversion zusätzliche Informationspflichten implementiert und ein besonderer Fokus auf potentielle Zugriffe durch ausländische Behörden gelegt. Begrüßenswert ist zudem der vorgeschlagene modulare Aufbau der neuen Version, der sowohl, wie bisher, Datenübermittlungen zwischen zwei Verantwortlichen sowie zwischen Verantwortlichem und Auftragsverarbeiter abdeckt, aber auch die bisher fehlenden Übermittlungsstränge vom Auftragsverarbeiter an einen weiteren Sub-Auftragsverarbeiter sowie an einen im Drittland ansässigen Verantwortlichen berücksichtigt.
Der Ansatz der EU Kommission und die detaillierte Auseinandersetzung mit den Bedenken des EuGH aus der Schrems II Entscheidung ist zu begrüßen: So wird nicht nur das längst überfällige Mapping auf die DSGVO abgebildet (statt abstellen auf die ehemalige Datenschutz-Richtlinie), sondern erweitern die neuen Standarddatenschutzklauseln die Verpflichtungen beider Parteien und bieten somit ein höheres Schutzniveau als das bisher im Einsatz befindliche Muster. In Zusammenschau mit dem derzeitigen Entwurf des EDSA bleibt jedoch offen, ob die neuen SCC bereits als ausreichende geeignete Garantien in Bezug auf die USA einzuordnen sind oder weitere (technische) Maßnahmen erforderlich bleiben. Das hängt wohl davon ab, ob die Empfehlungen des EDSA im Zuge des Konsultationsprozesses noch etwas zurückgeschraubt und praxistauglicher ausgestaltet werden, um die Rechtssicherheit wiederherzustellen. Wenn nicht, werden in der Praxis zur Schaffung eines angemessenen Schutzniveaus im Sinne der EDSA Empfehlung zusätzlich auch technische Maßnahmen zu implementieren sein – je nach Prüfungsergebnis des einzelnen Verantwortlichen in Bezug auf das konkrete Drittland.
Fazit und Ausblick
Beide Entwürfe decken in Bezug auf die vorgeschlagenen vertraglichen Verpflichtungen die Grundlinien unserer Beratungsstrategie, die wir nicht nur im Zusammenhang mit datenschutzrechtlichen Maßnahmen, sondern auch in Bezug auf den Cloud Act im regulierten Bereich ausgearbeitet haben. Freilich ist die EDSA Empfehlung in den Details dann aber doch überschießend und nicht sehr realitätsnahe. Hier wird es noch einer deutlichen Nachjustierung bedürfen, wenn nicht der (unrealistische) Stopp des Datenaustausches mit den USA das erklärte Ziel ist. Positiv ist aber die Implementierung einer stärkeren Zusammenarbeit zwischen dem Datenexporteur und -importeur. Ebenso sind die erweiterten Informationspflichten, die eine schnellere Reaktion auf Datenzugriffe ermöglichen sollen, zu begrüßen.
Bei beiden Dokumenten handelt es sich jedoch aktuell um Entwürfe bzw Vorschläge. Ob und inwiefern noch Änderungen vorgenommen werden hängt aus unserer Sicht insbesondere vom Feedback aus der Praxis ab. Wir werden uns in diesem Sinne in der Konsultationsphase einbringen und insbesondere Vorschläge für eine praxisnähere Gestaltung unterbreiten.