Eines der derzeit meist diskutiertesten datenschutzrechtlichen Themen stellt die Übermittlung personenbezogener Daten in Drittländer dar. Als Drittland sind im Sinne der Datenschutz-Grundverordnung (DS-GVO) sämtliche Länder zu verstehen, welche nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) sind und somit die Normen der DS-GVO nicht unmittelbar Wirkung entfalten. In den Mittelpunkt rückte die Betrachtung dieses Themas insbesondere durch die Rechtsprechung des Europäischen Gerichtshofes (EuGH), welcher das EU-US-Privacy Shield kippte. Auch wenn aktuelle Ereignisse darauf hindeuten, dass sowohl die EU als auch die USA auch ein Nachfolgeabkommen hinarbeiten, stellen diese keine belastbare Übermittlungsgrundlage dar.
AKTUELLE SITUATION
Für verantwortliche Stellen verspricht die aktuelle Situation einen nicht zu vernachlässigenden Handlungsbedarf. So ist eine Übermittlung personenbezogener Daten in Drittländer nicht ausschließlich bei einer aktiven Übermittlung vorliegend, sondern bereits im Falle der reinen Möglichkeit einer Kenntnisnahme. Diese ist beispielsweise bei der Nutzung von Dienstleistern in datenschutzrechtlichen Drittländern anzunehmen, welche Cloud-Services oder andere Dienstleistungen im Rahmen einer Auftragsverarbeitung zur Verfügung stellen.
Als Übermittlungsgrundlage kommen hierbei fast ausschließlich die sogenannten Standardvertragsklauseln bzw. Standarddatenschutzklauseln zum Einsatz. Diese wurden bereits im vergangenen Jahr durch die Europäische Kommission in einer überarbeiteten Version zur Verfügung gestellt. Sowohl für die verantwortliche Stelle im Anwendungsbereich der DS-GVO als auch für den Dienstleister im datenschutzrechtlichen Drittstaat ergeben sich in diesem Zusammenhang eine Reihe von Pflichten.
DIE NEUEN STANDARDDATENSCHUTZKLAUSELN
Bei Standarddatenschutzklauseln handelt es sich um eine besondere vertragliche Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken.
Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.
Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen. Darüber hinaus getroffene technische oder organisatorische Garantien müssen geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.
Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den beziehungsweise die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.
Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können. Darüber hinaus ist sicherzustellen, dass die neuen Standardvertragsklauseln bis Dezember 2022 auch in bereits bestehenden Vertragsverhältnissen umzusetzen sind. Es besteht somit nahezu für jeden Verantwortlichen unmittelbarer Handlungsbedarf.
DIE SOGENANNTE TRANSFERFOLGENABSCHÄTZUNG
Die Verpflichtung zur Durchführung einer Transferfolgenabschätzung im Rahmen des Abschlusses von Standardvertragsklauseln ergibt sich aus Klausel 14. Darin heißt es unter anderem: „Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen [Standardvertrags-]Klauseln hindern.“ Hieraus ergibt sich ebenfalls die Verpflichtung, dass auch der Auftragsverarbeiter im Drittland den Verantwortlichen hierzulande bei der Durchführung der Transferfolgenabschätzung zu unterstützen hat.
Um eine Einschätzung entsprechend der Vorgaben vornehmen zu können, sieht Klausel 14 die Berücksichtigung bestimmter Aspekte als verpflichtend an. Hierzu gehören nach dem Wortlaut der Klausel:
– Die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
– die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
– alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Standardvertragsklauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
Darüber hinaus empfehlen wir darzulegen, aus welchen zwingenden Gründen es einer solchen Übermittlung personenbezogener Daten beziehungsweise des Einsatzes des Dienstleisters in dem Drittland bedarf. In diesem Zusammenhang sollte gegebenenfalls auf fehlende gleichwertige Alternativen innerhalb der EU / des EWR verwiesen werden. Unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO sollte auch die Betrachtung und der Ausschluss derartiger Alternativen in die datenschutzrechtliche Dokumentation aufgenommen werden. Die Transferfolgenabschätzung ist auf Anfrage der Aufsichtsbehörde vorzulegen.
Die Durchführung einer Transferfolgenabschätzung ist grundsätzlich nicht an eine bestimmte Form gebunden, soweit eine Nachweisbarkeit der Durchführung möglich ist. In diesem Zusammenhang bietet es sich an, die Transferfolgenabschätzung als Anlage zum jeweiligen Verzeichnis der Verarbeitungstätigkeiten zu nehmen.
FAZIT
Der Beitrag zeigt auf, welche datenschutzrechtlichen Verpflichtungen aktuell mit Übermittlungen personenbezogener Daten in Drittländer im Zusammenhang stehen. Im Rahmen unseres neuen Leitfadens „Drittlandtransfer – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen“ geben wir einen thematischen Überblick und stellen Handlungsempfehlungen dar. Die weiteren Entwicklungen, insbesondere hinsichtlich eines Nachfolgeabkommens zwischen der EU und der USA, sind im Blick zu behalten.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
