Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Rechtslage im transatlantischen Datenverkehr, Teil 2 von 5 – Lösungen der Aufsichtsbehörden aus dem Elfenbeinturm

Mitautoren: Tobias Hinderks*, Nina Diercks**

Liebe Leserinnen und Leser,

willkommen zum zweiten Teil der Blogreihe rund um den transatlantischen Datenverkehr. Ziel dieser Blog-Reihe ist es, sich mit dem Themenkomplex der EuGH-Rechtsprechung C-311/18 (Schrems II) zu beschäftigen. Dabei wollen wir uns die Reaktionen der Aufsichtsbehörden ansehen, einen Blick auf die Sichtweise jenseits des Atlantiks werfen und einfach mal aufräumen bei den vielen unterschiedlichen Fragen, die durch den digitalen Raum geistern.

Im letzten Teil haben wir uns schon damit beschäftigt, was der EuGH überhaupt zum Datenschutz bei der Übermittlung in die USA gesagt hat und warum das nun so viele Fragen für Unternehmen aufwirft. Des Weiteren haben wir uns angeschaut, was die US-Regierung über das Urteil denkt und wieso aus Sicht der USA alles halbwegs in Butter ist ist. Das haben wir damit verbunden, uns einmal zu erschließen, welche US-Gesetze eigentlich den Datenzugriff regeln und was diese Gesetze aussagen.

In diesem Zusammenhang haben wir uns dann auch mit Art. 49 DSGVO beschäftigt und gefragt, ob diese Norm eine Übermittlung in die USA ermöglichen könnte. Das war leider nicht der Fall.

Wenn Sie nun denken: „Da klingelt nichts bei mir – ich bräuchte eine Auffrischung.“ – kein Problem, hier ist der erste Teil der Serie.

In diesem Beitrag befassen wir uns nun mit den staatlichen Datenschützern: Was sagen die Aufsichtsbehörden zu Schrems II? Ein Blick in die Orientierungshilfen, Handlungsempfehlungen und Stellungnahmen der Behörden sowie eine kritische Einordnung dieser Leitlinien und der EuGH-Rechtsprechung. Die Datenschutzbehörden waren in den Monaten nach der EuGH-Entscheidung nicht untätig, sie haben Leitlinien und Hilfestellungen veröffentlicht. Diese Dokumente sind so umfassend, dass wir die Blogreihe an dieser Stelle zweiteilen müssen.

In diesem Blogbeitrag 2 wird es vor allem um die Darstellung und Erschließung der Veröffentlichung der Aufsichtsbehörden gehen, in Teil 4 (noch nicht veröffentlicht) werden wir uns gezwungen sehen, die Veröffentlichungen der Aufsichtsbehörden grundlegend und massiv zu kritisieren. Denn den Stellungnahmen, soviel können wir vorwegnehmen, liegt ein elementarer und massiver dogmatischer Fehler zugrunde.

Ich will Sie gar nicht länger auf die Folter spannen, stürzen wir uns direkt in Teil 2 der Blogreihe. Viel Spaß beim Lesen.

Reumütig wollen wir uns also von dem Gedanken verabschieden, dass man über Art. 49 DSGVO oder ohne großen Aufwand diesen Gordischen Knoten transatlantischer Datenübermittlung lösen könnte. Es ist doch erheblich komplizierter, als das US-Handelsministerium behauptet (was nicht heißt, dass Art. 49 DSGVO nicht auch als Rechtsgrundlage in Betracht kommen kann, siehe erster Teil).

Jetzt ist Kreativität gefragt. Immerhin sitzen wir alle im gleichen Boot. Denn sehr viele Verantwortliche nutzt Dienste, die regelmäßig Daten in die USA übermitteln. Da ist zunächst der Großteil der in der EU ansässigen Unternehmen, aber eben auch die EU-Einrichtungen und nationale Behörden selbst. Sie alle stehen nun vor derselben Frage: „(Wie) Ist die Nutzung der vertrauten Dienste noch möglich?“

Wir wollen uns deshalb zwei Dokumente ansehen, die Anhaltspunkte hierfür bieten könnten. Das erste Dokument ist die Vorabversion der Empfehlung 01/20 des Europäischen Datenschutzausschusses (EDSA) für die Privatwirtschaft. Sie gibt einen 6-Stufen-Plan an die Hand, wie nach der Schrems II-Rechtsprechung vorzugehen ist. Das zweite Dokument stammt vom Europäischen Datenschutzbeauftragten und befasst sich mit einer Empfehlung an EU-Behörden, wie diese mit dem Schrems II-Urteil umgehen sollen.

6 Schritte zum legalen Datentransfer – wenn es denn so einfach wäre

Zunächst die Vorabversion der Empfehlung 01/20 des Europäischen Datenschutzausschusses. In sechs Stufen zur rechtskonformen Datenübermittlung, möglicherweise sogar in die USA. Was wird von der DSGVO – laut dem EDSA – verlangt, wenn personenbezogene Daten in die USA übermittelt werden sollen? Bitte beachten Sie, dass wir uns hier zunächst nur mit der Ansicht des EDSA befassen wollen. Im Anschluss und vor allem in Blogbeitrag 4 beschäftigen wir uns mit der Frage, ob das überhaupt so stimmt. Aber wir müssen zunächst kennen, was wir kritisieren.

  1. Kennen Sie Ihre Datenübermittlungen!

Als erstes soll im Unternehmen gebrainstormt werden. Welche Datentransfers in Drittländer nehmen Sie vor? Diese schlichte Frage ist in ihrer Beantwortung mit sehr viel Arbeit verbunden. Sämtliche Unternehmensprozesse sowie die Übermittlungen an Auftragsverarbeiter müssen unter die Lupe genommen werden, ob nicht irgendwo ein Datensatz außerhalb des EWR übertragen wird. Auch wenn es „nur“ Ihr Auftragsverarbeiter ist, der seinerseits Daten in die USA übermittelt, muss dies in Ihrer Sammlung mit auftauchen.

Bei dieser Verpflichtung zahlt sich ein gut erarbeitetes und aktuell gehaltenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) aus. Wie wichtig dieses Verzeichnis generell ist, kann nochmal in diesem Blog-Beitrag nachgelesen werden.

In diesem Zuge sollten Sie direkt auch überprüfen, ob bei der jeweiligen Übermittlung dem Prinzip der Datenminimierung Rechnung getragen worden ist. Nach Art. 5 Abs. 1 lit. c) DSGVO muss nämlich jede Übermittlung dem Zweck angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Diese Prüfung muss theoretisch individuell und vor jeder Übermittlung erfolgen. Achten Sie insbesondere bei der Sammlung der Vorgänge darauf, wo die Daten gespeichert werden (lokal, auf dem Unternehmensserver im Keller, oder doch in der Cloud?). Achtung: Auch die Speicherung von Daten in einer Cloud ist eine Übermittlung im datenschutzrechtliche Sinne.

  1. Rechtsgrundlage für die Übermittlung finden

Zweiter Schritt: Identifizierung der Rechtsgrundlage. An dieser Stelle muss die Rechtsgrundlage für den Transfer erarbeitet werden. Für eine Datenübermittlung gibt es grob gesagt drei Möglichkeiten:

Dass Art. 49 DSGVO als Ausnahmeregelung keine alltagstaugliche Rechtsgrundlage für stetige Datenstransfers ist, haben wir uns bereits erschlossen. Und das Privacy Shield, ein Angemessenheitsbeschluss nach Art. 45 DSGVO, ist Geschichte.Wir fokussieren uns also auf das verbleibende Mittel: Art. 46 DSGVO.

Art. 46 DSGVO sieht diverse Möglichkeiten vor, wie der Datentransfer zwischen zwei Unternehmen (auch über den Atlantik) aussehen kann:

  • Standarddatenschutzklauseln (ehemals Standardvertragsklauseln)
  • Binding Corporate Rules (BRC)
  • Codes of Conduct
  • Zertifikationsmechanismen

Standardvertragsklauseln? War da nicht was? Genau, Standardvertragsklauseln (die in Art. 46 DSGVO nun Standarddatenschutzklauseln) hat der EuGH in Schrems II explizit nicht verworfen, sie sind weiterhin anwendbar und können – grundsätzlich – als Rechtsgrundlage einer Datenübermittlung in ein Drittland dienen.

Da die Standarddatenschutzklauseln Vertragsbedingungen zwischen den beteiligten Unternehmen sind, gelten sie natürlich nur zwischen den vertragsschließenden Parteien und binden keine Behörden und können auch absolute Rechte im jeweiligen Land nicht verändern. Daher kommt nun der nächste Prüfungsschritt.

  1. Untersuchung der praktischen Wirksamkeit

Nun wird es schwieriger. Zwar gibt es Standarddatenschutzklauseln, die in der Theorie eine Übermittlung in die USA ermöglichen würden. Dies gilt jedoch nur dann, wenn das vertraglich vereinbarte Schutzniveau der Standardvertragsklauseln auch der Realität im Empfangsstaat entspricht. Daher sieht der EDSA als dritten Schritt die Prüfung vor, ob die Rechtslage und Rechtswirklichkeit im Drittstaat nicht das Datenschutzniveau untergraben, was durch die Standarddatenschutzklauseln vereinbart wird. Denn der Vertragspartner kann viel zusagen, wenn die staatlichen Behörden in seinem Land sich gänzlich anders verhalten (dürfen).

Der EDSA schlägt vor, sich zur Untersuchung dieser Frage Unterstützung vom Datenimporteuer (hier also dem US-Unternehmen) zu holen. Der in den USA ansässige Vertragspartner kann Informationen und Auskünfte bereitstellen, die Ihnen diese Prüfung – möglicherweise – erleichtern könnten. Auch der EDSA selbst bietet eine nichtabschließende Zusammenstellung von Quellen im Annex 3 an, die allerdings SEHR allgemein gehalten sind. Im Prinzip schlägt der EDSA vor, dass Sie Rechtsprechung im Drittland zum Thema Datenschutz auswerten, auf die Entscheidungen des EuGH und EGMR achten und natürlich lesen, was der Europarat, UN-Gremien und andere Organsiationen über das Land und dessen Rechtssystem im Bereich Menschenrechte und Datenschutz zu sagen haben. Insgesamt also ein Klacks, was der EDSA von Ihnen fordert.

Die Prüfung, ob auch tatsächlich ein angemessenes Schutzniveau besteht, hängt also von vielen Faktoren ab. Besonderen Augenmerk legt der EDSA auf den Zugriff auf die übermitteln Daten durch Behörden im Drittland. Die Zugriffsmöglichkeiten sollten auf dem Niveau verbleiben, was in einem demokratischen Staat notwendig und verhältnismäßig ist – was auch immer sich der EDSA darunter vorstellt.

Eine pauschale Feststellung, ob in Land X ein angemessenes Schutzniveau herrscht, wird damit eher selten möglich sein. Denn ob eine Information ausreichend geschützt ist, hängt auch von dem Inhalt der Information ab – Informationen über Krankheiten oder die sexuelle Orientierung sind schutzwürdiger als die öffentliche Mailadresse.

Aus unserer Sicht ist dabei wichtig zu betonen, dass die Anforderungen an eine Übermittlung transferspezifisch für die jeweilige Übermittlung bzw. Art der Übermittlung geprüft werden muss, ob für den konkreten Zweck und den Bereich eine sichere Datenübermittlung in das Drittland möglich ist. Im Bereich der Telekommunikation etwa kann es andere Zugriffsmöglichkeiten von Sicherheitsbehörden geben als im Banken- oder Gesundheitsbereich, weshalb eine pauschale Feststellung wie erwähnt schwierig bis unmöglich ist. Verschlüsselte Daten unterliegen geringeren Gefahren als Daten im Klartext. Dies ist Ausdruck des risikobasierten Ansatzes der DSGVO. Ein Grundpfeiler des Europäischen Datenschutzrechts, der leider im Papier des EDSA kaum Beachtung findet. Aber dazu später in Blogbeitrag 4 mehr.

Orientierung für eine Abwägung zum Schutzniveau bietet zudem Art. 45 Abs. 2 DSGVO. Diese Vorschrift enthält Kriterien, wann die EU-Kommission einen Angemessenheitsbeschluss erlassen kann, also einem Drittstaat zertifizieren darf, dass der Datenschutz ausreichend gewährleistet ist. Indizien für eine solche Gewährleistung sind zumindest ein eigenständiges Datenschutzrecht inklusive einer unabhängigen Datenschutzaufsicht und internationale Schutzinstrumente.

Mit seiner Empfehlung 02/20 teilt uns der EDSA detaillierte Kriterien mit, die bei der Ermittlung, ob ein angemessenes Schutzniveau besteht, berücksichtigt werden können – und nach Ansicht des EDSA auch müssen.

Wo eine unklare Rechtslage besteht, also das Datenschutzrecht im Drittstaat entweder zu unbestimmt oder nicht transparent ausgestaltet ist, ist die Praxis des Drittstaats entscheidend, wobei es laut EDSA explizit nicht auf die Wahrscheinlichkeit ankommt, mit der Behörden im Drittland auf die Daten zugreifen wollen (Rn. 42).  Dass die DSGVO einen risikobasierten Ansatz vorsieht, scheint der EDSA zu ignorieren. Hier müssen wir zu ernüchtender Kritik ansetzen. Denn dadurch, dass der EDSA die Anforderungen an den Datenschutz von der Frage entkoppelt, welches tatsächliche Zugriffsrisiko der Behörden besteht, ist eine Außerachtlassen datenschutzrechtlicher Prinzipien. Zwar unterscheidet der EDSA zwischen verschiedenen Konstellationen, bei der entscheidenden Frage des Zugriffs von Sicherheitsbehörden schert er dann aber alle Daten über einen Kamm. Damit errichtet der EDSA eine Hürde, die unabhängig vom bestehenden Risiko in beinahe unerreichbarer Höhe schwebt und datenschutzrechtlich schwerlich nachvollziehbar ist. Sie sehen, wir haben noch viel zu besprechen, was es an diesem Papier auszusetzen gilt.

Wenn die Bewertung des Datentransfers nach den Kriterien des EDSA ergibt, dass ein angemessener Schutz allein durch die Standarddatenschutzklauseln nicht gewährt wird, muss der Verantwortliche (also Sie) weitere Schutzmaßnahmen ergreifen – oder von der Übermittlung absehen.

  1. Angemessene Schutzmaßnahmen ergreifen

Ein wenig Arbeit hat Ihnen der EuGH bereits abgenommen – auch wenn Sie sich nicht darüber freuen werden. Denn er hat bereits festgestellt, dass die USA mit FISA 702 über ein Instrument verfügen, dass einer Angemessenheitsprüfung nach Schritt 3 nicht standhält.

Sprich, wenn Sie Daten in die USA übermitteln wollen und der Empfänger unter FISA fällt, werden Sie bei Schritt 3 nicht feststellen können, dass für die Übermittlung in die USA die vertraglichen Standardvertragsklauseln ausreichen. Die Klauseln allein können also keine Übermittlung in die USA erlauben.

Es müssen über die Standardvertragsklauseln hinaus angemessene weitere Schutzmaßnahmen ergriffen werden. Diese Schutzmaßnahmen müssen Sie ergänzend zu den Standardvertragsklauseln implementieren.

Ergänzende Schutzmaßnahmen können grundsätzlich vertraglicher, organisatorischer oder technischer Natur sein. Welche Maßnahmen genau erforderlich sind und in welchem Umfang ein ergänzender Schutz erfolgen muss, hängt wiederum vom Einzelfall ab. Allerdings, so der EDSA, reichen vertragliche oder organisatorische Schutzmechanismen nicht aus, um das Risiko eines unberechtigten Zugriffs Dritter (lies: Behörden) auf die Daten zu beseitigen. Dazu bedarf es technischer Maßnahmen.

Für eine Datenübermittlung in die USA bedeutet dies, dass auf jeden Fall ein ergänzender technischer Schutz für die übermittelten Daten ergriffen werden muss. Das wäre zum Beispiel eine unknackbare (ha ha) Verschlüsselung.

Die Risikolage könnte auch erfordern, mehrere Schutzmaßnahmen zu ergreifen oder zu verbinden. Wenn Sie inzwischen von den vielen Konjunktiven, Einzelfällen und Abwägungen genervt sind… Uns geht es hier ähnlich. Was genau an Schutzmechanismen wann und in welchem Umfang erforderlich ist, wie diese kombiniert und ergänzt werden sollen, das lässt sich wohl nicht ohne ausführliche Rechtsberatung prüfen.

Fest steht nur: Wenn Sie Daten in die USA übermitteln wollen, müssen Sie ergänzende technische Schutzmaßnahmen ergreifen, die den Zugriff der US-Sicherheitsbehörden auf diese Daten unterbinden.

Zwar bleibt alles recht vage, der EDSA hat die denkbaren Schutzmechanismen allerdings konkretisiert. In Annex 2 seiner Recommendation führt der Ausschuss für einige Konstellationen beispielhaft auf, was an Schutzmechanismen notwendig wäre.

Aber Achtung: Es gibt keine Garantie, dass jedes personenbezogene Datum übermittelt werden darf, wenn es nur ausreichend zusätzlich geschützt ist! Es ist sehr gut denkbar, dass es Konstellationen gibt, in denen es schlichtweg nicht technisch möglich ist, ausreichende Schutzmaßnahmen zu ergreifen.

Zwar lässt sich nicht aus Annex 2 der Umkehrschluss ziehen, dass dort nicht aufgeführte Konstellationen stets unrechtmäßig wären. Aber Annex 2 gibt auch keine Garantie, dass dort nicht aufgeführte Konstellationen unbedingt zulässig sind.

Denn tatsächlich kann das Ergebnis dieses Schrittes 4 sein, dass es schlicht und einfach keine Schutzmechanismen gibt, die ein angemessenes Schutzniveau im Drittstaat auch tatsächlich sicherstellen.

Zum Beispiel wäre das der Fall, wenn eine grundsätzlich ausreichende Verschlüsselungsmethode im Zielland rechtlich untersagt ist. Der Einsatz der Verschlüsselungsmethode könnte untersagt werden und schon nützt die schönste Standardvertragsklausel nichts mehr.

Falls die Prüfung zu dem Ergebnis führt, dass auch mit dem Ergreifen zusätzlicher technischer Sicherheitsmaßnahmen ein angemessenes Schutzniveau im Zielland nicht sichergestellt werden kann, sollten sämtliche Verarbeitungsvorgänge abgebrochen und die Datensätze im Drittstaat gelöscht werden. Hält man sich stur an die Veröffentlichungen des EDSA und erachtet diese für richtig, dann dürfte für die Datenübermittlung in die USA spätestens hier Schluss sein. Dass technische Maßnahmen ergriffen werden (können), die den Anforderungen des EuGH und des EDSA genügen, ist unwahrscheinlich. Denn ungeachtet des Risikos bei der Übermittlung werden seitens der Aufsichtsbehörden Rechtsmeinungen geäußert, die die notwendigen Maßnahmen in astronomische Höhen rücken.

  1. Implementierung

Sollte es aber tatsächlich möglich sein, Schutzmaßnahmen zu ergreifen, die es ermöglichen, rechtssicher Daten in den Drittstaat zu übermitteln, müssen diese natürlich auch umgesetzt werden.

Das heißt, dass die notwendigen Verträge unter Einbeziehung von Standardvertragsklauseln bzw. Binding Corporate Rules auch wirklich geschlossen werden und die ergänzenden (vertraglichen, organisatorischen, technischen) Sicherheitsmechanismen auch tatsächlich implementiert werden.

Gegebenenfalls müssen hier weitere Punkte beachtet werden, zum Beispiel die Einbeziehung der Aufsichtsbehörden, wenn Sie planen, von der vorgegebenen Standardvertragsklausel abzuweichen.

  1. Überwachung

Und weil diese fünf Schritte so schön waren, müssen sie regelmäßig überprüft werden. Es reicht nicht aus, sich einmal zu vergewissern, ob eine Rechtsgrundlage für den Datentransfer besteht und ob ergänzende Schutzmechanismen ergriffen werde müssen.

In regelmäßigen Abständen müssen die Maßnahmen auf ihre Wirksamkeit hin untersucht werden, insbesondere auch, wenn sich etwas an den übermittelten Daten ändert. Oder wenn im Zielland Entwicklungen auftreten, die auf Ihre Abwägungen Einfluss haben können.

Die Datenübermittlung in Drittstaaten ist damit eine wahrhaftige Daueraufgabe.

„Und was ist, wenn was schiefläuft?“

Gute Frage. Sie werden sich wohl zeitweise an den Kopf gefasst haben und sich wundern, wie Sie diese sechs Schritte durchführen können – optimalerweise mit dem Ergebnis, dass Ihr Unternehmen weiterhin Daten in die USA übermitteln darf. Was passiert, wenn an einer entscheidenden Stelle ein Ergebnis aus der komplexen und offenen Abwägung hervorgeht, dass nicht dem Ergebnis der Aufsichtsbehörden entspricht?

Zwar wird der EDSA bezüglich der notwendigen Abwägungen und ergänzenden Sicherheitsmaßnahmen erfreulicherweise konkreter als das EuGH-Urteil, dennoch bleibt er an vielen entscheidenden Stellen unklar. Die einzige gesicherte Aussage scheint zu sein, dass es ohne Angemessenheitsbeschluss der Kommission auf den Einzelfall und individuell jede Übermittlung ankommt. Und dass jeder Einzelfall – also jede Datenübermittlung in Drittstaaten wie die USA – einer solchen Prüfung unterliegt.

Wer diese Prüfung und Einschätzung vornehmen soll, da wird das Papier sehr deutlich: Der Verantwortliche, also das datenübertragende Unternehmen. Denn es ist für die Rechtmäßigkeit seiner Übertragungsvorhaben verantwortlich und trägt auch das Risiko, sich falsch zu entscheiden. Das geht auch aus Art. 5 II DSGVO hervor, der den Grundstein der Verantwortlichkeit und (vor allem) Haftbarkeit festlegt.

Bei Fehlentscheidungen und Falscheinschätzungen muss das Unternehmen geradestehen. Die Aufsichtsbehörde kann Ordnungsmaßnahmen ergreifen, also zum Beispiel Datentransfers verbieten oder ein Bußgeld anordnen. Um dieses Risiko zu minimieren, ist eine saubere und sorgfältige Dokumentation dieser sechs Schritte extremst wichtig. Denn auch dafür ist der Verantwortliche zuständig: Er muss der Aufsichtsbehörde auf Verlangen nachweisen können, dass seine Verarbeitung (also auch der Transfer) rechtmäßig ist und er dies sauber und sorgfältig geprüft hat.

Mit dem Papier des EDSA geht also eine datenschutzrechtliche Mammutaufgabe einher. Und in der Anwendungspraxis und gerade bei Unternehmen bleiben Fragezeichen ob der hohen und unklaren Anforderungen – bei zugleich hohem Sanktionsrisiko – zurück.

Die Veröffentlichungen des EDSA, die zunächst einmal nur die Rechtsmeinung der Aufsichtsbehörden und keine rechtliche Tatsache deklariert, sind zu kleinteilig und zu pauschal zugleich. Der Vorschlag ist fernab von einer brauchbaren Lösung, die im alltäglichen Leben funktioniert. Zeitgleich weist das Papier elementare fachliche Schwächen auf, mit denen wir uns in dieser Blogreihe noch auseinandersetzen wollen.

Dementsprechend wird die Stellungnahme des EDSA in den Kreisen der Datenschutzrechtsanwaltschaft heftig kritisiert. Eine sehr lesenswerte Stellungnahme zur Stellungnahme 01/20 hat RA Dr. Jan-Michael Grages auf CR-online veröffentlicht. Unter dem Titel „Steine statt Brot“ werden die erheblichen Kritikpunkte an dem Papier anschaulich herausgearbeitet.

Compliance schafft man nicht über Nacht – kurz- und mittelfristige Handlungserfordernisse

Wir wollen uns ob dieser hohen Anforderungen, die die DSGVO an Datenübermittlungen in die USA – vermeintlich oder zurecht – stellt, nicht abschrecken lassen.

Doch selbst wenn ein Unternehmen den Compliance Prozess in Gang bringen und die skizzierten Maßnahmen treffen möchte, so braucht das Zeit und Kraft. Das Urteil des EuGH lässt sich nicht über Nacht umsetzen.

Leider hat der EuGH den zahllosen Verantwortlichen keine Übergangsfrist eingeräumt. Das wäre sehr wichtig und richtig gewesen, um erstmal zu klären, was nun Sache ist und was konkret getan werden muss. Stattdessen nahm der EuGH eine Keule und zerschlug den transatlantischen Datenverkehr mit sofortiger Wirkung . Ob dies tatsächlich einem angemessenen Datenschutz dient, sei hier mal dahingestellt. Oder ob der im Unionsrecht korporierte Vertrauensschutz nicht sogar eine Übergangsregelung geboten hätte. Da könnte man sich stundenlang drüber streiten und ja, die Art. 44 ff. DSGVO sehen keine Übergangslösung für den Fall vor, dass ein Angemessenheitsbeschluss für nichtig erklärt wird. Und dennoch…

Anyway, jedenfalls gibt es keine Schonfrist oder Anpassungsmöglichkeit. Seit Schrems II verstößt wohl beinahe jede Übermittlung von personenbezogenen Daten in die USA gegen die DSGVO.

Das ist natürlich für keine Seite befriedigend. Weder für die Unternehmen, die über Nacht gezwungen wurden, komplexe und rechtliche Verfahren zu durchlaufen. Noch für die betroffenen Personen, die nicht auf eine strukturierte, angemessene und ausreichend erörterte Lösung vertrauen können. Auch nicht für die Datenschutzaufsichten, die einen Kompromiss zwischen ihrer Aufgabe und der Realität finden müssen. Denn auch wenn mit damit gerechnet wurde, dass das Privacy Shield fällt, so bedeuten die strengen Maßstäbe des EuGH sehr wohl eine Neuerung, mit der in dieser Schärfe nur von wenigen gerechnet wurde.

Es besteht jedenfalls Bedarf an langfristigen Lösungen und kurzfristigen Maßnahmen, diesen unbefriedigenden Zustand zu beenden. Letztlich wird kein Weg an einem Tätigwerden der EU-Kommission und einem neuen Angemessenheitsbeschluss vorbeiführen.

Was aber können Unternehmen nun konkret tun, wie können kurzfristige Maßnahmen aussehen, um zumindest die drängensten Probleme schnell zu adressieren?

Dazu hat der Europäische Datenschutzbeauftragte ein Papier veröffentlicht. Dieses Papier ist eigentlich nur an EU-Behörden gerichtet, nicht an Unternehmen. Dennoch wollen wir uns anschauen, was der EDSB rät, um kurz- und mittelfristig mit Schrems II umzugehen.

Der Vorschlag des EDSB ist gewissermaßen ein schnelles Zwei-Stufen-Workout. Vollständige DSGVO-Compliance wird es damit nicht geben – auch finale und rechtssichere langfristige Antworten sucht man in dem Papier vergebens. Aber kurz- und mittelfristig einen Goodwill zu zeigen und sich an die Umsetzung der EuGH-Vorgaben zu machen, ist wohl das, was am nächsten an die Vorgaben des Gerichts herankommt.

Der EDSB lässt sich vom sog. risikobasierten Ansatz der DSGVO leiten (also zumindest so halb, am Ende des Tages schert auch der EDSB alle Datenübermittlungen über einen Kamm. Ein risikobasierter Ansatz light quasi.). Auf der ersten Stufe sollen die besonders risikoreichen Übermittlungen identifiziert werden. Das sind solche Datenübermittlungen, die voraussichtlich mit einem hohen Risiko für die betroffene Person einhergehen. Denn dort, wo die Datenübermittlung sich tatsächlich negativ auf die Person, die hinter den Daten steht, auswirken kann, besteht unmittelbarer Handlungsbedarf. Bezüglich dieser Übermittlungsvorgänge müssen sofort Schutzmaßnahmen eingeleitet werden.

Mittelfristig sollen dann alle Datenübermittlungen untersucht, die jeweils notwendigen Schutzmaßnahmen ermittelt und dann eine vollständige Umsetzung notwendiger ergänzender Schutzmaßnahmen vorgenommen werden.

Hierfür gibt der EDSB eine genauere Anleitung, wie in diesen Stufen vorzugehen ist.

Schritt 1: Mapping & Identifizierung unmittelbaren Handlungsbedarfs

Der erste Schritt ist – praktischerweise – identisch mit dem, was der EDSA langfristig vorschlägt. Nämlich das sogenannte Mapping. Zunächst sollen alle Datenübermittlungen einer Organisation gesammelt und darauf untersucht werden, inwieweit personenbezogene Daten in Drittstaaten übertragen werden. Denken Sie auch hier daran, dass es ausreicht, wenn Ihr Auftragsverarbeiter diese Übermittlung vornimmt.

Das bedeutet viel Arbeit. Denn das bedeutet eine Inventur aller Verarbeitungsvorgänge im Unternehmen, also Übermittlungsziele, Empfänger, Kategorien personenbezogener Daten und Kategorien betroffener Personen. Wer über ein gutes Verzeichnis der Verarbeitungstätigkeiten verfügt, ist klar im Vorteil.

Es sollen dann getreu dem risikobasierten Ansatz diejenigen Transfervorgänge priorisiert werden, bei denen Daten in die USA übermittelt werden. Besonders risikoreich sei dabei, so der EDSB, die Übermittlung von personenbezogene Daten an private Unternehmen. Man mag nun schlucken, schließlich ist ja gerade das wohl der Großteil der nun in Überprüfung geratenen Datenübermittlungen.

Auf das Mapping folgt dann das Reporting. Die EU-Institutionen sollen die beim Mapping erarbeiteten Ergebnisse an den EDSB übermitteln. Beim Reporting sollen die identifizierten Datenübermittlungen im Fokus stehen, welche wahrscheinlich höhere Risiken für die betroffenen Personen darstellen. Das sind insbesondere solche Transfers, die

  • ohne Rechtsgrundlage in Art. 46 DSGVO erfolgen (s. hierzu oben);
  • im Zusammenhang mit Art. 50 DSGVO stehen (hierbei handelt es sich um Datenübermittlungen im Rahmen internationaler Zusammenarbeit der Behörden – also nicht relevant für private Unternehmen);
  • Hochrisiko-Transfers sind, also Übermittlungen an Unternehmen, die voraussichtlich unter FISA 702 und EO 12333 fallen und
    • entweder umfangreiche Verarbeitungsvorgänge vornehmen,
    • sehr komplexe Verarbeitungen unternehmen oder
    • sensible Daten (Art. 9 DSGVO) verarbeiten.

Was bedeutet dies, wenn Sie als privates Unternehmen die Leitlinien des EDSB implementieren wollen? Zunächst müssen Sie sich im Rahmen des Mappings einen Überblick über Ihre Datenverarbeitungen verschaffen. Identifizieren Sie dabei solche Verarbeitungen, die entweder ohne Grundlage in Art. 46 DSGVO erfolgen oder die Hochrisiko-Transfers im obigen Sinne darstellen.

Praktisch bedeutet das Folgendes: Wir haben bereits gesehen, dass jeder Transfer in die USA momentan nicht, bzw. nur sehr schwer, auf Art. 46 DSGVO gestützt werden kann. Jede Datenübermittlung würde also bereits deshalb nach den EDSB-Kriterien ein höheres Risiko für die betroffenen Personen darstellen. Praktisch ist damit das dritte Kriterium obsolet, jede Übermittlung in die USA müssen Sie als risikoreichen Transfer einstufen.

Auf diese Transfers sollen sich dann die unmittelbaren Compliance-Schritte als erstes beziehen. Neue Übermittlungsprozesse in Drittstaaten, so empfiehlt der EDSB, sollten erstmal nicht eingeleitet werden.

Schritt 2: Mittelfristiger Handlungsplan

Mittelfristig soll ein sog. Transfer Impact Assessments (TIA) vorgenommen werden. Gegenstand des Assessments ist die Ermittlung des Datenschutzniveaus in den Zielländern, also in den Staaten, in die personenbezogene Daten übermittelt werden sollen. Sie müssen also die oben ermittelten Transfervorgänge darauf untersuchen, ob im Zielland ein Schutzniveau besteht, dass der DSGVO entspricht.

Auf Grundlage dieser Bewertung soll dann entschieden werden, ob der jeweilige Übermittlungsvorgang weitergeführt werden kann oder ob er eingestellt werden muss. Dabei kann die Fortführung der Übertragung in das Zielland auch davon abhängig sein, dass Schutzmaßnahmen bezüglich der übermittelten Daten ergriffen werden.

Und was bedeutet das jetzt für mein Unternehmen?

Die Aufsichtsbehörden sind klar der Auffassung, dass eine legale Übermittlung von personenbezogenen Daten in die USA allenfalls mit viel Aufwand und nur in einigen Fällen möglich ist. Der einzig vollständig und ohne Zeiteinbuße mögliche legale Weg ist die Einstellung aller Übermittlungsvorgänge in die USA. Und das ist für jedes Unternehmen – und wohl auch für die EU-Institutionen – keine echte Option. Nein, keine Schnappatmung bekommen, wir kümmern uns in den nächsten Teilen um den risikobasierten Ansatz, der manches dann doch in einem anderen Licht erscheinen lässt.

Die vom EDSA vorgeschlagenen Möglichkeiten hören sich in der Theorie gut an. Aber praktisch umsetzbar sind sie nicht für alle Varianten. Wer Daten beim Dienstleister tatsächlich nur lagert, dieser aber nicht aktiv zugreifen muss, kann mit einer sehr guten (!!) Verschlüsselung einen guten Schritt weiterkommen. Sobald aber der Dienstleister im Ausland die kryptographischen Schlüssel hat, etwa weil er die Daten verschlüsselt oder zwischendurch entschlüsseln muss, um die Daten zu verarbeiten („einen Service zu erbringen“), ist nach Ansicht des EDSA keine rechtmäßige Übermittlung möglich.

Besonders die kurzfristige Handlungsempfehlung des EDSB an die EU-Institutionen ist deshalb interessant. Es geht zunächst darum, unmittelbare Risiken der Datenübermittlungen abzuschwächen. Und dann mittelfristig die Übermittlungsprozesse im Unternehmen so umzubauen, dass sie DSGVO-konform erfolgen können.

Das ist eine immense Aufgabe, das lässt sich nicht leugnen. Aber: Rom wurde auch nicht an einem Tag gebaut, wohl keine Aufsichtsbehörde würde von Ihnen momentan vollständige Compliance mit der DSGVO im Punkt Übermittlung in Drittstaaten verlangen. Zur Wahrheit gehört aber auch, dass eine Aufsichtsbehörde eine Untätigkeit wohl nicht akzeptieren wird.

Ein ernsthafter Goodwill und bemühte Umsetzungsschritte hin zu einer Compliance mit den Anforderungen des EuGH dürfte bei den Entscheidungen der Datenschutzaufsichten sehr wesentlich einfließen. Dies betrifft etwa die Frage, ob und welche Aufsichtsmaßnahmen ergriffen werden und ob bzw in welcher Höhe ein Bußgeld anfällt.

Wenn Sie jetzt hoffnungsvoll auf eine Post Credit Scene warten, so habe ich zumindest einen Lichtblick für Sie. Denn die EU-Kommission ist nicht untätig geblieben. Bis zum 10. Dezember stand ein neuer Entwurf der Standardvertragsklauseln zur öffentlichen Diskussion, der den Anforderungen nach Schrems II gerecht werden soll.

Ob diese Standardvertragsklauseln nach ihrem Inkrafttreten allerdings ausreichen, um den Anforderungen des EuGH zu genügen, steht noch in den Sternen.

Aber immerhin haben Sie es bis hierher geschafft. Teil 2 unserer Blog-Reihe hat wieder viel zum Nachdenken gegeben. Und versetzt uns in den unzufriedenen Zustand, dass es (noch) keine gute Lösung für den wirtschaftlichen Datenverkehr mit den USA gibt. Wir wollen uns deshalb im Rahmen dieser Blogreihe, und zwar in Teil 4, strukturiert und grundlegend mit dem größten Kritikpunkt beschäftigen: Dem risikobasierten Ansatz bzw. dessen fehlender Berücksichtigung. Jenseits dessen funktionieren die Lösungen der Aufsichtsbehörden in der Theorie und verfolgen einen juristisch-theoretisch validen Ansatz, nach dem die Datenübermittlung in die USA möglich bleibt. Die vorgeschlagenen Wege erscheint jedoch einem juristischen Elfenbeinturm entsprungen und scheitern schon an der praktischen Machbarkeit für die Unternehmen.

Fortes fortuna adiuvat. Das Glück ist mit den Mutigen. Wir bleiben dran, ich hoffe Sie auch. In diesem Sinne, bis bald.

Die Links zu den weiteren Blog-Beiträgen der Reihe „Rechtslage im transatlantischen Datenverkehrfolgen“ peu à peu.

Teil 1 – Einführung. Wir brauchen eine gemeinsame Arbeitsgrundlage. Dazu ist es nötig, sich den gesamten Themenkomplex zu erschließen und ein wenig zu strukturieren. Was ist überhaupt Schrems II? Was sind die maßgeblichen Vorschriften in den USA und wie können diese kritisch eingeordnet werden. Und was hält eigentlich das US-Handelsministerium von Schrems II?

Teil 3 – Was ist eigentlich das Problem mit dem ClOUD Act? Hat das tatsächlich einen engeren Bezug zu Schrems II? Wie sollten Unternehmen mit CLOUD Act Anfragen umgehen?

Teil 4 – Fazit Teil I.  Wieso treffen die Einschätzungen und Empfehlungen der Datenschutzbehörden nicht zu? Vom risikobasierten Ansatz und der notwendigen Differenzierung im Datenschutzrecht.

Teil 5 – Fazit Teil II. Weshalb sich der EuGH nicht mit Ruhm bekleckert hat und wieso die Entscheidung Schrems II aus mehreren Gründen nicht überzeugend sein kann.

* Tobias Hinderks studiert derzeit an der Universität Hamburg und ist seit April 2018 als studentischer Mitarbeiter bei der Anwaltskanzlei Diercks beschäftigt.

** Nina Diercks ist Rechtsanwältin für Datenschutz und hat diesen Blog irgendwann mal ins Leben gerufen. 😉

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.