Kategorien

„Die Aufsichtsbehörden nehmen das Thema Datentransfer in Drittländer sehr ernst“

Nikolai Wessendorf
Durch die bloße Vereinbarung der EU-Standardvertragsklauseln wird noch kein gleichwertiges Datenschutzniveau geschaffen. | Nikolai Wessendorf

Die Datenübermittlung in die USA und generell in Drittstaaten ist ein heikles Thema. Nachdem der EuGH in der Rs. Schrems II das Datenschutzniveau in den USA in 2020 für nicht angemessen beurteilt und kürzlich die EU-Kommission neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Empfänger in Staaten außerhalb der EU beschlossen hat, besteht für Unternehmen dringend Handlungsbedarf. Wie die angemessene Umsetzung aussieht, erklärt Rechtsanwalt Dr. Nikolai Wessendorf, Experte für Datenschutz und Digitalisierung bei Deloitte Legal in München.

DB: Herr Dr. Wessendorf, seit dem EuGH-Urteil in der Rs. Schrems II gibt es Zweifel, ob ein rechtssicherer Datentransfer in die USA überhaupt möglich ist. Wie beurteilen Sie das?

Wessendorf: Die Datenübermittlung in die USA und andere Drittländer ist unter bestimmten Voraussetzungen weiterhin möglich. Die Anforderungen sind allerdings sehr hoch. Aufsichtsbehörden wie auch der Europäische Datenschutzbeauftragte für die EU-Institutionen raten zunehmend von einer Datenübermittlung in die USA ab. Einige Unternehmen werden sich deshalb vermehrt die Frage stellen, ob sich angesichts des Aufwands und verbleibender Unsicherheiten nicht Alternativen ergeben. Das gilt etwa für den Einsatz von cloudbasierten Softwarelösungen, für die es auch „europäische“ Alternativen gibt. In jedem Fall besteht Handlungsbedarf.

DB: Handlungsbedarf besteht neuerdings auch mit dem Vereinigten Königreich, das seit dem Brexit ebenfalls ein Drittland darstellt. Was gilt diesbezüglich bei Datenübertragungen?

Wessendorf: Nachdem das Vereinigte Königreich aus der EU ausgeschieden ist, hat die EU-Kommission am 28.06.2021 einen Angemessenheitsbeschluss gefasst, wonach dem Königreich ein vergleichbares Datenschutzniveau attestiert und damit eine Datenübermittlung auch nach dem Brexit weiterhin möglich sein wird. Es lohnt sich sicherlich, die Entwicklungen in diese Richtung im Auge zu behalten. Das gilt sowohl für politische Strömungen, die sich für eine weitere Re-Regulierung einschließlich des Datenschutzes im Königreich aussprechen als auch im Hinblick auf eine mögliche gerichtliche Überprüfung des Angemessenheitsbeschlusses.

DB: Was raten Sie Unternehmen, für die Datentransfers in Drittstaaten notwendig sind?

Wessendorf: In einem ersten Schritt sollten sich Unternehmen dringend Klarheit darüber verschaffen, ob und vor allem wohin überhaupt personenbezogene Daten und welche Datenkategorien übermittelt werden und dies entsprechend dokumentieren. Vermeintlich eine Selbstverständlichkeit – in der Realität sieht das aber leider noch oft anders aus, gerade weil sich die Datenverarbeitung in Unternehmen heutzutage schnell ändert. Dafür hätten die Aufsichtsbehörden allerdings kein Verständnis mehr.

Im nächsten Schritt sollte die Notwendigkeit der Datenübermittlung auch ihrem Umfang nach auf den Prüfstand gestellt werden. Ist eine Übermittlung unerlässlich, etwa weil die Muttergesellschaft in den USA sitzt und der Austausch der Daten für die grenzüberschreitende Tätigkeit erforderlich ist, geht es an die eigentliche Prüfung und anschließende Absicherung der Datenübermittlung. Ergebnis kann auch sein, dass die Übermittlung nicht zulässig ist, weil die erforderlichen Garantien nicht gegeben sind.

Nach unserer Erfahrung ist letztlich entscheidend, dass eine robuste und nachhaltige Datenschutzorganisation besteht, die wirklich integriert ist in das Unternehmen, einen stets aktuellen Blick auf den Zustand der Datenschutz-Compliance erlaubt und den Datenschutz proaktiv vorantreibt und so überhaupt erst eine Transformation und Digitalisierung im Unternehmen möglich macht. Erforderlich sind dafür die notwendigen Kapazitäten und Fähigkeiten. Der smarte, also nutzerfreundliche und effizienzbringende Einsatz von Technologie wird dabei künftig immer wichtiger.

Übrigens: Der Europäische Datenschutzausschuss (EDSA), der sich aus Vertretern der nationalen Datenschutzaufsichtsbehörden und dem Datenschutzbeauftragten der EU zusammensetzt, empfiehlt für die Absicherung von Datentransfers in ein Drittland ein sechsstufiges Vorgehen. Daran wird deutlich, dass der rechtsichere Datentransfer in ein Drittland .leider kein ganz einfaches Unterfangen ist.

DB: Wieso muss es überhaupt so aufwändig sein?

Wessendorf: Weil hier zwei Wirklichkeiten aufeinanderprallen. Auf der einen Seite ist die grenzüberschreitende Zusammenarbeit, auch transatlantisch, zwischen Konzerngesellschaften, Kooperations- und Geschäftspartnern sowie die virtuelle Erbringung von Dienstleistungen über Landesgrenzen hinweg eine unternehmensseitig angestrebte und auch notwendige Selbstverständlichkeit geworden. Multinationale Unternehmen verstehen sich als Einheit, ungeachtet der formal-juristischen Unterschiede und der unterschiedlichen Jurisdiktionen, denen ihre einzelnen Einheiten unterliegen. Auf der anderen Seite haben wir einen straffen regulatorischen Rahmen, der jede grenzüberschreitende Datenübermittlung, was auch den (potenziellen) Zugriff auf diese Daten einschließt, z.B. über gemeinsam genutzte IT-Systeme, einer strengen Rechtsmäßigkeitskontrolle unterwirft. In diesem Spannungsfeld operieren Unternehmensjuristen und Datenschützer.

DB: Bieten die neuen Standardvertragsklauseln (SCC) zur Datenübermittlung in Drittländer eine rechtssichere Lösung?

Wessendorf: Durch die bloße Vereinbarung der EU-Standardvertragsklauseln wird noch kein gleichwertiges Datenschutzniveau geschaffen. Ein Datenexporteur, also ein Unternehmen, das Daten außerhalb des EWR exportiert, muss sicherstellen, dass der Empfänger die mit den SCC vertraglich übernommenen Garantien und Schutzpflichten auch erfüllt. Darin liegt meist das Problem, gerade in Bezug auf die USA. Die SCC binden nicht die Behörden im Empfängerland, von denen im Zweifel ein Zugriff auf die Daten und damit der Eingriff in die Rechte des Betroffenen, dessen Daten übermittelt werden, ausgeht. Gelingt es den Vertragsparteien nicht, durch angemessene Maßnahmen einen solchen Zugriff auszuschließen, laufen die SCC leer. Eine Datenübermittlung ist dann nicht rechtssicher möglich.

Während in der Vergangenheit der Fokus eher auf den privaten Unternehmen im Empfängerland lag, bei denen mangelnde Datenschutzstandards oder ein sorgloser Umgang mit personenbezogenen Daten befürchtet wurde, bereiten nun zunehmend die staatlichen Stellen Sorgen im Hinblick auf den Schutz und die Sicherheit der Daten und der Menschen, denen diese gehören. Allen voran die Geheimdienste und Sicherheitsbehörden, und ihre weitreichenden Überwachungsmaßnahmen. Während man Empfänger in Drittländern vertraglich auf ein hohes Schutzniveau verpflichten und dieses auch, etwa über Zertifizierungen und Audits, überprüfen kann, gibt es keinerlei vergleichbares Mittel, um den staatlich legitimierten Zugriff durch Sicherheitsbehörden auf die Daten zu verhindern. Die herkömmlichen Schutzmaßnahmen laufen in aller Regel leer, wenn der Staat verdeckt auf Daten zugreift und/oder die Empfänger unter Androhung von Sanktionen zur Offenlegung verpflichtet. Da liegt die Schwierigkeit.

Und dennoch stellen die neuen Standardvertragsklauseln eine begrüßenswerte Weiterentwicklung dar. Vor dem Hintergrund des Schrems-II-Verfahrens und immer komplexer werdender internationaler Verarbeitungsketten hatte die EU-Kommission am 04.06.2021 die neuen Klauseln (Art. 46 Abs. 1 lit. c DS-GVO: „Standarddatenschutzklauseln“) veröffentlicht. Sie sind seit dem 27.06.2021 in Kraft. Mit einer Übergangsfrist von drei Monaten können die bisherigen SCC weiter vereinbart werden. Bis zum 27.12.2022 müssen allerdings alle alten SCC ersetzt werden.

DB: Was ändert sich den bei den SCC?

Wessendorf: Die neuen SCC sehen nun einen modularen Ansatz vor, der es erlaubt, verschiedene Konstellationen mit mehreren Vertragsparteien abzubilden. Sie können als Übermittlungsinstrument eingesetzt werden, wenn personenbezogene Daten an einen Empfänger in einem Drittland (Datenimporteur) übermittelt werden, für den die DS-GVO nicht unmittelbar gilt. Sie können aber auch für die Übermittlung durch Unternehmen in einem Drittland herangezogen werden, auf die aufgrund ihrer Tätigkeit die DS-GVO Anwendung findet. Die verschiedenen Module der Klauseln sehen folgende Konstellationen der Datenübermittlung vor:

  • Verantwortlicher, für den die DS-GVO gilt (Datenexporteur) – anderer Verantwortlicher im Drittland (Datenimporteur)
  • Verantwortlicher, für den die DS-GVO gilt (Datenexporteur) – Auftragsverarbeiter im Drittland (Datenimporteur)
  • Auftragsverarbeiter in der EU (Datenexporteur) – Unterauftragsverarbeiter im Drittland (Datenimporteur)
  • Auftragsverarbeiter in der EU (Datenexporteur) – Auftraggeber (Verantwortlicher) im Drittland (Datenimporteur)

Zudem erlauben es die SCC, dass weitere Parteien als Datenexporteur oder Datenimporteur der Vereinbarung mit Wirkung für die Zukunft beitreten können. Schließlich beinhalten die Standardvertragsklauseln erstmals Regelungen, mit welchen die Anforderungen an eine Auftragsverarbeitung nach Art. 28. Abs. 3 und 4 DS-GVO wirksam vereinbart werden können. Das hat nicht nur für die Auftragsverarbeitung im internationalen Kontext Relevanz.

DB: Der Europäische Datenschutzausschuss (EDSA) und die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) fordern auch bei Anwendung der SCC, dass Datenexporteure eine Prüfung der Sach- und Rechtslage im Drittland vornehmen und falls erforderlich ergänzende Schutzmaßnahmen treffen. Was ist hier zu tun?

Wessendorf: Entscheidet sich ein Unternehmen für den Einsatz von SCC als Übermittlungsinstrument, muss in Konkretisierung der zuvor beschriebenen Anforderungen ein sog. Transfer Impact Assessment (TIA) durchgeführt werden, also eine Identifizierung und Bewertung übermittlungsspezifischer Risiken. Klausel 14 der SCC schreibt eine solche Bewertung ausdrücklich vor, die zudem zu dokumentieren und auf Anfrage den zuständigen Aufsichtsbehörden zur Verfügung zu stellen ist. Im Fokus steht auch hier wieder die Frage, ob die Rechtslage und die Praktiken im Empfängerland es überhaupt zulassen, das erforderliche Datenschutzniveau vertraglich und gegebenenfalls durch ergänzende Schutzmaßnahmen abzusichern. Dabei sollte eng mit dem Empfänger im Drittland zusammengearbeitet werden. Ohne dass dies den Datenexporteur von seinen eigenen Prüfpflichten befreit, kennt der Empfänger die lokalen Gesetze und Gepflogenheiten besser bzw. hat Zugriff auf entsprechenden Rat.

Ein Ergebnis einer TIA kann sein, dass eine Übermittlung nur mit flankierenden Schutzmaßnahmen (z.B. Verschlüsselung, Pseudonymisierung usw.) möglich ist. Sie werden in aller Regel auch noch einmal Gegenstand die SCC ergänzender Vereinbarungen. Oder eben, dass eine Datenübermittlung nicht in Betracht kommt.

DB: Die Aufsichtsbehörden haben angekündigt, vermehrt Datenübermittlungen in Drittländer zu prüfen. Worauf müssen sich Unternehmen einstellen? Könnte in Einzelfällen tatsächlich die Untersagung solcher Transfers drohen?

Wessendorf: Die Aufsichtsbehörden nehmen das Thema Datentransfer in Drittländer sehr ernst. Das ist nachvollziehbar, da der Schutz der Betroffenen bei einer Übermittlung ihrer Daten in ein unsicheres Drittland nachhaltig gefährdet wird. Es geht letztlich darum, das hohe Datenschutzniveau der DS-GVO auch bei Drittlandtransfers sicherzustellen und damit auch konkret die Vorgaben des EuGH umzusetzen. Im Rahmen der sog. Koordinierten Prüfung internationaler Datentransfers schreiben Aufsichtsbehörden derzeit ausgewählte Unternehmen an und fordern in einem ersten Schritt zum Ausfüllen eines Fragenkatalogs auf. Die teilnehmenden Behörden entscheiden selbst, wo sie dabei den Fokus setzen. Zudem wird das Thema Datentransfer sicherlich auch bei regulären oder anlassbezogenen Prüfungen durch die Aufsichtsbehörden besondere Aufmerksamkeit haben.

Der EuGH hat in seinem Schrems-II Urteil klar die Erwartung an die Aufsichtsbehörden formuliert, unzulässige Datenübermittlungen auszusetzen oder zu verbieten. Also ja, solche Untersagungen drohen und können erhebliche Auswirkungen auf die Geschäftsabläufe haben, etwa wenn ein bestimmter E-Mail- oder Cloud-Dienst kurzfristig nicht mehr eingesetzt werden darf.

DB: Was müssen Unternehmen also beachten, wenn sie CRM-Systeme oder Cloud-Lösungen ausländischer Anbieter nutzen?

Wessendorf: Soweit noch nicht geschehen, sollte eine aktuelle Übersicht über alle Datenübermittlungstätigkeiten erstellt und diese auch aktuell gehalten werden („Know your transfers“). Basierend darauf sind Drittlanddatentransfers zu identifizieren und ob ihrer Notwendigkeit und des jeweiligen Umfangs kritisch zu hinterfragen. Das gilt gerade beim Einsatz von cloudbasierten Diensten. Ist das Unternehmen auf den Datentransfer angewiesen, muss die erforderliche Prüfung erfolgen.

Vorsicht ist geboten bei Zusicherungen von Anbietern, das erforderliche Schutzniveau würde gewährleistet. Etwa werden oftmals die Vereinbarung von SCC angeboten, zusätzliche, aber erforderliche Schutzmaßnahmen sind nicht vorgesehen. Solche Zusagen exkulpieren das datenexportierende Unternehmen nicht von den eigenen Prüfpflichten. Im Hinblick auf den Einsatz von US-amerikanischen Cloud-Diensten ist eine besonders intensive Risikoabschätzung geboten, da durch den US-Cloud-Act amerikanische Behörden den Cloud-Anbieter zwingen können, geheime Daten an diese zu übermitteln. Bei der Anwendung des US-Cloud-Acts ist unerheblich wo die konkreten Cloud-Server stehen. Das gilt übrigens auch für die großen Anbieter. Die stehen derzeit besonders im Fokus der Aufsichtsbehörden. Alternativ kann in Betracht gezogen werden, Cloud-Anbieter aus der EU zu nutzen. Zuletzt sollten außerdem Reaktionsmöglichkeiten vorbereitet werden, sodass bei einem Verbot eines Datentransfers unmittelbar gehandelt werden kann.

DB: Vielen Dank für das aufschlussreiche Interview!

Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.


Top