Mit Globalisierung der Wirtschaft und einhergehender Digitalisierung, entstehen neue Herausforderungen im Rahmen der Verarbeitung und des Transfers personenbezogener Daten. Mit dem Instrument der Auftragsverarbeitung im Sinne des Art. 28 Datenschutzgrundverordnung (DS-GVO) ist es den Unternehmen möglich, Datenverarbeitungen an externe Dienstleister outzusourcen.
Oft bieten insbesondere Dienstleister mit Sitz außerhalb der Europäischen Union (EU) – und damit aus einem Drittland als erste innovative und gut umsetzbare Lösungen an. Darüber hinaus spielt bei der Drittlandsdienstleisterauswahl der wirtschaftliche Faktor eine entscheidende Rolle. Die Anzahl der transnationalen Datenströme expandiert exponentiell. Dabei werden die Daten in Drittländer vorwiegend übermittelt und gespeichert. In sämtlichen Fällen ist zumindest ein Zugriff auf die Daten aus Drittländern möglich.
Mit den wirtschaftlichen und innovativen Vorteilen, steigen jedoch auch die Herausforderungen, alle datenschutzrechtlich erforderlichen Absicherungen der Datentransfers in Drittländer zu gewährleisten (vgl. hierzu Erwägungsgrund 101 DS-GVO).
Datenschutzrechtliche Herausforderungen / Hintergrund – Was ist ein Drittland?
Während im Gegensatz zur Rechtslage vor Wirksamwerden der DS-GVO, auch beim Einsatz von Dienstleistern mit Sitz außerhalb der EU eine Auftragsverarbeitung gem. Art. 28 DS-GVO vereinbart werden kann, sind gem. den Art. 44ff. DS-GVO bei der Verarbeitung personenbezogener Daten zusätzliche Voraussetzungen zu erfüllen. Ein Drittland im Sinne der DS-GVO ist jedes Land, welches nicht Mitgliedstaat der EU oder des Europäischen Wirtschaftsraumes (EWR, EU + Liechtenstein, Norwegen, Island) ist.
Die DS-GVO nimmt diese Unterscheidung vor, da innerhalb der EU/des EWR die DS-GVO anwendbar ist und somit von einem angemessenen Datenschutzniveau auszugehen ist. Außerhalb der EU/des EWR entfaltet die DS-GVO keine Wirkung. Es existieren unter Umständen in dem jeweiligen Drittland keine übergreifenden Rechtsmittel zum Schutz der Rechte und Interessen der betroffenen Personen. Es kann zudem gegebenenfalls nicht sichergestellt werden, dass die von der DS-GVO vorgesehenen Betroffenenrechte akkurat ausgeübt werden können. Weitere Unsicherheiten aufgrund der unterschiedlichen Rechtsordnungen der Länder, die nicht Mitglied der EU sind spielen darüber hinaus auch eine Rolle.
Solange keine globalen datenschutzrechtlichen Vorschriften existieren, die durch gesunde Rechtsordnungen ohne staatliche Zugriffe durchgesetzt werden können, sind stets zusätzliche Maßnahmen erforderlich, um zumindest ein angemessenes Datenschutzniveau sicherzustellen.
Vorgaben der DS-GVO
Der Zwiespalt zwischen der Förderung des grenzüberschreitenden Verkehrs von personenbezogenen Daten und der Entwicklung des internationalen Handels einerseits, und der steigenden Gefährdungen der Rechte der Betroffenen auf der anderen Seite, hat auch den europäischen Gesetzgeber beschäftigt. Daher hat die europäische Gemeinschaft schon in der Datenschutzrichtlinie (RL 95/46/EG) in Erwägungsgrund 56 definiert, dass der „durch diese Richtlinie gewährte Schutz und die Angemessenheit des Datenschutzniveaus, die Übermittlung personenbezogener Daten in Drittländer nicht verhindern sollte“. Die seit Mai 2018 geltende Datenschutzgrundverordnung stellt in Erwägungsgrund 101 darüber hinaus fest, dass ein Drittlandtransfer „für die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit notwendig ist“.
Art. 44 DS-GVO beinhaltet ein allgemeines Verbot für den Drittlandtransfer personenbezogener Daten. Zulässig sind danach nur solche Datenverarbeitungen, die die in Kapitel 5 der DS-GVO niedergelegten zusätzlichen Bedingungen erfüllen. Die gleiche Regelung beinhaltete bereits die Datenschutzrichtlinie 95/45/EG in Art. 25, welcher vorsah, dass eine Drittlandübermittlung ausschließlich zulässig ist, sofern ein Drittland ein angemessenes Schutzniveau gewährleistet.
Grundsätzlich ist beim Drittstaatstransfer immer eine zweistufige Prüfung erforderlich.
Zunächst sollte überprüft werden, ob die Datenverarbeitung an sich zulässig ist und die Grundprinzipien der Datenverarbeitung sichergestellt werden kann.
Zudem muss im Rahmen der Datenübermittlung in das jeweilige Drittland ein angemessenes Datenschutzniveau sichergestellt werden.
Zulässigkeit der Datenverarbeitung
Im Rahmen der Drittlandübermittlung ist der Verantwortliche zunächst verpflichtet sicherzustellen, dass die Datenübermittlung an sich zulässig ist.
Es muss an erster Stelle überprüft werden, ob eine gesetzliche Grundlage für die geplante Datenverarbeitung vorliegt, die die Rechtmäßigkeit sicherstellt. Darüber hinaus muss gewährleistet werden, dass die in Art. 5 DS-GVO aufgelisteten Grundprinzipien der Datenverarbeitung eingehalten werden können. Grundlage für die Einbindung Dritter kann eine Auftragsverarbeitungsvereinbarung i. S. d. Art. 28 DS-GVO sein.
Vorliegen des angemessenen Datenschutzniveaus in einem Drittstaat
Soweit eine gesetzliche Grundlage für die geplante Datenverarbeitung vorliegt und die Grundprinzipien der Datenverarbeitung sichergestellt werden können, müssen in einem zweiten Schritt die entsprechenden Sicherheiten für die Datenverarbeitung außerhalb der EU und des EWR abgebildet werden.
Jedwede Datenübermittlung außerhalb Europas erfordert, dass ein angemessenes Datenschutzniveau gewährleistet werden kann. Das Datenschutzniveau, welches unionsweit durch die DS-GVO geschaffen wurde, darf bei einer grenzüberschreitenden Datenverarbeitung „nicht unterlaufen“ werden.
Grundsätzlich unterscheidet die Datenschutzgrundverordnung zwischen der Übermittlung in die Drittstaaten, die ein angemessenes Datenschutzniveau anbieten (sichere Drittstaaten) und der Übermittlung in die Drittstaaten, die kein angemessenes Datenschutzniveau anbieten (unsichere Drittstaaten).
Sichere Drittstaaten
Sichere Drittstaaten sind solche, denen durch den Beschluss der Europäischen Kommission bestätigt wurde, dass das betreffende Drittland ein angemessenes Schutzniveau nachweisen kann (sog. Angemessenheitsbeschluss im Sinne des Art. 45 DS-GVO).
Dabei kann ein solcher Beschluss einen bestimmten territorialen (nur für bestimmte geografische Gebiete) oder sektoralen Anwendungsbereich haben. So bestehen zurzeit die Angemessenheitsbeschlüsse für Kanada, Japan nur in Bezug auf den Privatsektor, und für die USA nur in Bezug auf die Unternehmen, die unter dem Privacy Shield, dem Angemessenheitsbeschluss für die Datenübermittlung in den USA, zertifiziert sind. Darüber hinaus kann die Feststellung der Angemessenheit des Datenschutzniveaus für die Verarbeitung der bestimmten Datenkategorien wirksam sein. Privacy Shield Zertifizierung unterscheidet beispielsweise zwischen den Beschäftigtendaten („HR Data“) und anderen Datenkategorien („non-HR Data“).
Bei der Prüfung der Angemessenheit des Datenschutzniveaus berücksichtigt die EU-Kommission nicht nur den Inhalt der in dem betreffenden Land geltenden Normen und Regelungen, sondern das gesamte Rechtssystem. Dabei wird vor allem die Rechtstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten sowie die Durchsetzbarkeit der Rechte der betroffenen Personen und die Wirksamkeit verwaltungsrechtlicher und gerichtlicher Rechtsbehelfe erwägt. Die in dem betreffenden Land geltenden rechtlichen Mittel sollten zudem wirksam sein.
Im Rahmen dieser Prüfung bezieht die Kommission auch die Mitgliedstaaten ein. Es wird eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) eingeholt, sowie der Europäische Datenschutzbeauftragte konsultiert.
Eine Liste aller Drittländer bzw. Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die ein angemessenes Schutzniveau durch einen Beschluss der Kommission besteht, wird auf der Webseite der EU-Kommission, sowie im Amtsblatt der Europäischen Union veröffentlicht.
Unsichere Drittstaaten
Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, erfordert eine Datenübermittlung in einen Drittstaat zusätzliche Sicherheiten. In diesem Fall müssen sogenannte geeignete Garantien und eine – wie oben bereits beschrieben – Durchsetzbarkeit der Betroffenenrechte und Wirksamkeit der Rechtsbehelfe sichergestellt werden.
Folgende „geeignete Garantien“ sind in Art. 46 DS-GVO vorgesehen:
- Standarddatenschutzklauseln nach Artikel 46 Abs. 1 lit. c und d DS-GVO
Solche geeigneten Garantien können beispielsweise Standarddatenschutzklauseln (auch bekannt als Standardvertragsklauseln oder „Standard Contractual Clauses“ – SCCs) darstellen. Die Standarddatenschutzklauseln legen die minimalen Anforderungen an die „angemessenen Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte“ fest.
Aktuell hat die EU-Kommission Standardvertragsklauseln für folgende Vertragskonstellationen erlassen:
- für die Übermittlung zwischen mehreren „für die Übermittlung Verantwortlichen“ (sogenannte „Controller to Controller Clauses“), Beschluss der EU-Kommission Nr. 2004/915/EC vom 27. Dezember 2004.
- sowie für die Übermittlung an Auftragsverarbeiter mit Sitz außerhalb EU/EWR („Controller to Professor Clauses“), Beschluss der EU-Kommission Nr. 2010/87/EU vom 5. Februar 2010.
Diese Klauseln beinhalten abgestimmte Regelungen, die ein angemessenes Datenschutzniveau sicherstellen und in ihrem Wortlaut nicht verändert werden dürfen. Eine Ausnahme hiervon stellen unterschiedliche geschäftsbezogene Anpassungen dar, die vertragsrelevant sind und die jeweilige Datenverarbeitung konkretisieren, dabei aber den Standardklauseln nicht widersprechen dürfen. Um den Einsatz der Standardvertragsklauseln für einen bestimmten Sachverhalt zu ermöglichen, müssen Einzelheiten der geplanten Datenverarbeitung aufgenommen werden. Ergänzt werden die Standardvertragsklauseln durch drei Anhänge. In Anhang 1 der Standardvertragsklauseln wird der Art und Umfang der geplanten Datenverarbeitung festgelegt, in Anhang 2 werden technische und organisatorische Maßnahmen, die von den Parteien umgesetzt werden müssen, definiert. Zudem besteht die Möglichkeit in Anhang 3 zusätzliche Regelungen aufzunehmen, um einer Erfüllung etwaiger weitergehender nationaler Vorschriften nachzukommen.
Jede Änderung, die Einfluss auf das Datenschutzniveau haben könnte, erfordert eine zusätzliche Genehmigung der Kommission (vgl. Art. 46 Abs. 3 DS-GVO).
Standardvertragsklauseln haben sich als eine in der Praxis sehr pragmatische und einfache Lösung erwiesen, um personenbezogene Daten auf rechtlich zulässige Weise in ein Drittland zu übermitteln. Es ist grundsätzlich empfehlenswert, Standardvertragsklauseln in der vertraglichen Gestaltung bei Übermittlung in „sichere“ Drittstaaten aufzunehmen. So kann sichergestellt werden, dass für die Einbeziehung von Subdienstleister eines Auftragsverarbeiters, die Ihren Sitz unter Umständen außerhalb der EU/ des EWR haben, ebenfalls geeigneten Garantien gewährleistet sind.
Dieses Jahr wurden die Standardvertragsklauseln durch den Europäischen Gerichtshof (EuGH) überprüft. Der österreichische Jurist Max Schrems hatte hinterfragt, ob die Standardvertragsklauseln ein angemessenes Datenschutzniveau bei der Übermittlung der Daten aus der EU in die USA darstellen, und ob die im Rahmen der SCCs übermittelten Daten vor einer Überwachung durch US-Geheimdienste geschützt sind. Die irische Datenschutzbehörde, die sich ursprünglich mit dieser Beschwerde auseinandergesetzt hatte, hat diese Beschwerde an den EuGH weitergereicht. Der Generalanwalt beim EuGH hat sich bereits am 19. Dezember 2019 in einer Stellungnahme geäußert und dem EuGH dazu geraten, die Standardvertragsklauseln für gültig zu erklären. Mit dem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof nun festgestellt, dass die Standardvertragsklauseln effektive und wirksame Mechanismen für die Sicherstellung der Einhaltung des in der Europäischen Union verlangten Schutzniveaus enthalten und nach wie vor gültig sind.
Die Privacy-Shield-Vereinbarung wurde hingegen für ungültig erklärt. Der EuGH stellte fest, dass der Privacy-Shield-Beschluss 2016/1250, genauso wie die Safe-Harbour-Entscheidung 2000/520 keinen angemessenen Schutz gegen Eingriffe in Grundrechte der betroffenen Personen seitens amerikanischer Behörden bietet.
- Verbindliche interne Datenschutzvorschriften nach Art. 46 Abs. 1 lit. b DS-GVO
Die DS-GVO zählt zu den geeigneten Garantien, die aus der Datenschutzrichtlinie 95/46/EG bekannten verbindlichen internen Datenschutzvorschriften (sogenannte Binding Corporate Rules – BCRs). Diese Regelungen sind insbesondere für internationale Unternehmensgruppen zur Sicherstellung der Zulässigkeit der Drittlandübermittlung innerhalb einer Unternehmensgruppe essentiell. Daher sind verbindliche interne Datenschutzvorschriften nicht so universell und anwendungsübergreifend anwendbar wie beispielsweise Standardvertragsklauseln.
Die DS-GVO stellt eine Reihe von Anforderungen an die Inhalte solcher BCRs. Die Artikel 29 Gruppe (ein unabhängiges Beratungsgremium der Kommission) hat diese in Orientierungshilfen zur Gestaltung der BCRs konkretisiert. Die verbindlichen internen Vorschriften erfordern eine zusätzliche Genehmigung der zuständigen Aufsichtsbehörde. So wurden beispielsweise in Deutschland – Stand bis zum 25. Mai 2018 – BCRs für lediglich 14 Unternehmensgruppen, darunter für BMW, Allianz, Deutsche Post DHL und die Deutsche Telekom genehmigt.
- Verhaltensregeln nach Art. 40 DS-GVO und Zertifizierungen nach Art. 42 DS-GVO
Zudem können genehmigte Verhaltensregeln nach Art. 40 DS-GVO (Code of Conduct) und Zertifizierungsmechanismen gemäß Art. 42 DSGVO, geeignete Garantien für eine Drittlandübermittlung darstellen. Diese beiden Mechanismen sollen verbindliche und durchsetzbare Verpflichtungen für Auftragsverarbeiter und Verantwortliche beinhalten, die geeigneten Garantien auch im Hinblick auf die Rechte der betroffenen Person gewähren. Zudem ist bei Einsatz dieser Garantien ebenfalls eine vorherige offizielle Genehmigung erforderlich.
- Rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen nach Art. 46 Abs. 1 lit. a DS-GVO
Im Falle einer Datenübermittlung im öffentlichen Bereich an eine Behörde oder an eine öffentliche Stelle, können verbindliche und durchsetzbare Regelungen zur Sicherstellung eines angemessenen Datenschutzniveaus auch in den Dokumenten zwischen den Behörden oder den öffentlichen Stellen festgelegt werden.
- Einzelfallbezogene Sicherheiten
Die DS-GVO unterscheidet zwischen geeigneten Garantien, die ohne eine Genehmigung einer Aufsichtsbehörde durchsetzbar sind, und denen die eine zusätzliche Genehmigung für einen einzelnen Anwendungsfall erfordern. Die in Art. 46 Abs. 3 DS-GVO definierten Schutzmechanismen wie beispielsweise individuelle Vertragsklauseln im privaten Bereich, oder Bestimmungen aus den Verwaltungsvereinbarungen im öffentlichen Bereich, erfordern stets eine Genehmigung der zuständigen Aufsichtsbehörde für jede einzelne Datenverarbeitung.
Ausnahmen des Verbotes mit Erlaubnisvorbehalt nach Art. 49 DS-GVO
Liegen weder ein Angemessenheitsbeschluss der Kommission nach Art. 45 DS-GVO, noch geeignete Garantien für die Übermittlung in ein unsicheres Drittland vor, darf die Übermittlung trotzdem – bei Erfüllung der in Art. 49 DS-GVO sehr eng auszulegenden Bedingungen – durchgeführt werden.
Der Gesetzgeber sieht für diesen Fall einige Ausnahmen vor, diese sind aber nicht für eine regelmäßige oder umfangreiche Datenverarbeitung anwendbar. So zählt zu diesen Ausnahmen beispielsweise die Einwilligung der von einer solcher Übermittlung Betroffenen. An diese Einwilligung werden jedoch strengere Anforderungen an den Inhalt gestellt. So müssen alle Gefährdungen, die im Zusammenhang mit der geplanten Übermittlung in ein unsicheres Drittland bestehen können, dem Betroffenen bewusst sein. Gleiches gilt auch für die Übermittlung aufgrund einer Vertragserfüllung, die zudem nur auf Antrag der betroffenen Person zulässig ist.
Fazit
Mutet das Regelwerk der DS-GVO für Datentransfers in Drittländer auch komplex an, so ist doch insbesondere durch den Einsatz von Standarddatenschutzklauseln in Form der noch gültigen Standardvertragsklauseln (SCCs) ein in der Praxis vielfach erprobter und bewährter Weg auch nach der DS-GVO möglich, der zum einen betroffenengerechtes Schutzniveau gewährleistet zum anderen auch die Unternehmen vor nicht allzu große Herausforderungen stellt. Mit dem Urteil vom 16. Juli hat der EuGH bestätigt, dass Standardvertragsklauseln als Instrument zur Sicherstellung der „geeigneten Garantien“ ausreichen, dabei jedoch noch einmal hervorgehoben, dass sowohl der Datenexporteur als auch der Empfänger der Übermittlung vorab prüfen müssen, ob das angemessene – und in den SCCs beschriebene – Datenschutzniveau im betroffenen Land überhaupt eingehalten werden kann.
Zum Autor:
Iryna Shvets ist Consultant für Datenschutz. Bei der migosens GmbH beschäftigt sie sich mit den datenschutzrechtlichen Fragestellungen in der Telekommunikationsbranche. Dabei berät sie bei der datenschutzfreundlichen Gestaltung der Produkte und Dienstleistungen, Web- und App-Angeboten.
Iryna Shvets studierte Rechtswissenschaften und hat einen LL.M. an der Kölner Forschungsstelle für Medienrecht erworben.