Der EuGH erklärte im Juli 2020 nicht nur das Privacy Shiel Abkommen zwischen der EU und den USA für unwirksam – er hat den Verantwortlichen auch besondere Prüfungspflichten bei Verwendung der sogenannten Standarddatenschutzklauseln auferlegt.
Übermittlung von personenbezogenen Daten in ein Drittland
Globalisierung der Wirtschaft und steigende Digitalisierung führen regelmäßig zur Einbindung von Dienstleistern außerhalb Europas. Diese bieten öfter als Erste innovative, gut umsetzbare und dabei auch wirtschaftlich attraktive Lösungen bei der Verarbeitung von personenbezogenen Daten an. Oft sind es kleine, praktische Helfer, die auch nicht immer durch das – datenschutzrechtlich verantwortliche – Unternehmen beauftragt werden. Das können zum Beispiel die Tools für den E-Mail-Newsletter, das Webseitentracking (z.B. Google Analytics) oder der Dateiaustausch (bspw. Dropbox) sein, genauso wie wichtige Anwendungen wie Microsoft365 oder ein CRM-System wie Salesforce. Hier bestehen nun zusätzliche Herausforderungen bei der vertraglichen Anbindung dieser Dienstleister aus sogenannten Drittstaaten, also Staaten außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums.
So ist bei einem Drittlandtransfer immer eine zweistufige Prüfung erforderlich. Neben der Frage der grundsätzlichen Zulässigkeit der Verarbeitung, muss im Rahmen der Datenübermittlung in das jeweilige Drittland ein angemessenes Datenschutzniveau gewährleistet werden.
Vorliegen des angemessenen Datenschutzniveaus in einem Drittstaat
Für die Sicherstellung eines angemessenen Datenschutzniveaus im Drittland kennt die Datenschutzgrundverordnung (DSGVO) verschiedene Möglichkeiten. Die für Unternehmen einfachste Variante ist, dass es durch einen Beschluss der Europäischen Kommission (sog. Angemessenheitsbeschluss) bestätigt wurde (bspw. für die Schweiz, aber auch für US-Unternehmen, die nach dem Privacy Shield-Abkommen zertifiziert waren). Liegt ein Angemessenheitsbeschluss nicht vor, kann dieses auch über einen Vertrag mit dem Dienstleister sichergestellt werden. Dazu hat die EU-Kommission Vertragsmuster (die sog. Standard- Datenschutzvertragsklauseln – engl. Standard Contractual Clauses (SCC)) veröffentlicht, die bei einer unveränderten Übernahme keiner vorherigen Genehmigung mehr durch die zuständige Aufsichtsbehörde bedürften. Die Sicherstellung der Rechte und Freiheiten von betroffenen Personen, die durch die Anforderungen der Drittstaatenübermittlung zum Ausdruck gebracht werden, sind auch anzuwenden, wenn zum Beispiel ein Dienstleister innerhalb der EU zwischengeschaltet ist, die Verarbeitung aber ganz oder teilweise im Drittland stattfindet.
Auswirkungen vom EuGH-Urteil vom 16. Juli 2020
Der Europäische Gerichtshof (EuGH) hat sowohl die Privacy-Shield-Vereinbarung als auch die Datenschutz-Standardvertragsklauseln überprüft. Mit dem Urteil vom 16. Juli 2020 hat der EuGH zwar festgestellt, dass die Standardvertragsklauseln weiterhin als Grundlage für die Übermittlung von personenbezogenen Daten in ein Drittland anwendbar sind, dass sie jedoch nicht per se ausreichen. Er hat hervorgehoben, dass sowohl der Datenexporteur als auch der Empfänger im Drittland vorab prüfen müssen, ob die vertraglichen Regelungen im betroffenen Land überhaupt eingehalten werden können.
Die Privacy-Shield-Vereinbarung wurde hingegen für ungültig erklärt. Dies bedeutet, dass die Übermittlung von Daten an Dienstleister, die ihren Sitz in den Vereinigten Staaten haben, nicht mehr auf das Privacy-Shield-Abkommen gestützt werden darf.
Folglich müssen alle Unternehmen die bisher abgeschlossenen Verträge mit den Dienstleistern beziehungsweise Subdienstleistern außerhalb der EU und EWR neu bewerten, um festzustellen, ob bei der jeweiligen Datenübermittlung ein angemessenes Datenschutzniveau sichergestellt werden kann.
Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat nun in einem aktuellen Fall die Nutzung von Mailchimp als US-Dienstleister im Bereich „Newsletter-Tool“ als unzulässig erklärt, weil der Verantwortliche keine Prüfung vorgenommen hat, ob die Standarddatenschutzklauseln ausreichen oder eventuell weitere Maßnahmen erforderlich sind.
Wie so eine erweiterte Prüfung aussehen muss und welche Maßnahmen ergänzend getroffen werden können, um ein angemessenes Schutzniveau für die Datenverarbeitung im Drittland sicherzustellen, ist aktuell noch nirgends festgeschrieben. Hilfestellung gibt zum einen eine Orientierungshilfe der Aufsichtsbehörde in Baden-Württemberg, zum anderen hat der Europäische Datenschutzausschuss (EDSA) dazu Ende letzten Jahres einen Leitfaden-Entwurf zur öffentlichen Konsultation vorgestellt. Wie aus inoffiziellen Kanälen zu erfahren war, laufen die Diskussionen über die Eingaben im Rahmen des Konsultationsverfahrens aktuell im EDSA. Eine Verabschiedung der finalen Guideline wird im 3. Quartal 2021 erwartet. Diese werden dann für alle Aufsichtsbehörden die Grundlage für Einzelfallprüfungen darstellen.
Im Rahmen unseres Engagements im Vorstand des Arbeitskreises Datenschutz des Bitkom e.V. arbeiten wir intensiv mit vielen Experten aus den Mitgliedsunternehmen an einem systematischen Prüfschema – gespiegelt an den konkreten Regelungen im Drittstaat – zur Bewertung einzelner Datenverarbeitungen und der Identifizierung geeigneter zusätzlicher Schutzmaßnahmen.
Mit der Fertigstellung der ersten Version rechnen wir im Sommer dieses Jahres. Wir werden Sie in diesem Blog und über unseren Datenschutz Talk Podcast auf dem Laufenden halten.
Praktische Hinweise für das weitere Vorgehen
In erster Linie ist eine interne Bestandsaufnahme aller abgeschlossenen Verträge mit den Dienstleistern außerhalb des Europäischen Wirtschaftsraumes, die direkt oder indirekt durch einen anderen Dienstleister beauftragt werden, empfehlenswert.
Dabei sollten erfasst werden:
- Name (einschl. vollständiger Firmierung) und Sitz des Dienstleisters
- ggfs. weitere Orte/Länder, in denen die Verarbeitung stattfindet oder lt. Vertrag stattfinden kann
- welche Arten von Daten verarbeitet der Dienstleister
- wie und wo erfolgt die Verarbeitung (z.B. auf eigenen Servern des Dienstleisters oder durch Zugriffsmöglichkeiten auf Ihrem Server z.B. im Rahmen von Wartung und Support)
- wurden die Standardvertragsklauseln mit dem Dienstleister im Drittstaat zwischen Ihnen und dem Dienstleister direkt geschlossen
- welche zusätzlichen vertraglichen Verpflichtungen, die das Datenschutzniveau sicherstellen, wurden vereinbart
- welche zusätzlichen technischen und organisatorischen Maßnahmen wurden getroffen, um den Schutz der Daten zu verbessern
Basierend auf dieser Übersicht kann eine Bewertung je Dienstleister durchgeführt werden, welche Risiken (für Sie als Unternehmen, aber auch für die Rechte und Freiheiten der Betroffenen) bestehen und wie diese gegebenenfalls reduziert oder abgestellt werden können.
Fazit
Der Abschluss der Standarddatenschutzvertragsklauseln ist weiterhin möglich. Dabei sollten aber gegebenenfalls weitere Erklärungen des Dienstleisters zum Datenschutzniveau eingeholt werden und/oder eine Bewertung der Rechtsstaatlichkeit und Wirksamkeit der Standard-Vertragsklauseln im Drittstaat durchgeführt werden. Zusätzlich ist die Umsetzung weiterer technischer und organisatorischer Maßnahmen, um den Zugriff auf Daten weiter einzuschränken, ratsam.
Eine Verlagerung der Verarbeitung auf europäische Anbieter kann ebenfalls eine pragmatische und rechtsichere Option sein, sofern dies unternehmerisch vertretbar ist.
Zum Autor:
Heiko Gossen ist Geschäftsführer der migosens und verantwortet die Bereiche Datenschutz und Managementsysteme. Seine praktischen Erfahrungen im Datenschutz sammelte er sowohl als interner Datenschutzbeauftragter (Telefónica Deutschland) und Datenschutzauditor (Telefónica O2) sowie später als externer Datenschutzbeauftragter (u.a. Postbank Systems und Amprion). Seit 2012 auditiert er außerdem als Lead Auditor i.A. des TÜV Rheinland u.a. in den Standards ISO 27001 und ISO 27018. Ferner ist er stellvertretender Vorsitzender des Arbeitskreises Datenschutz im Bitkom e.V..