ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER

Eines der derzeit meist diskutiertesten datenschutzrechtlichen Themen stellt die Übermittlung personenbezogener Daten in Drittländer dar. Als Drittland sind im Sinne der Datenschutz-Grundverordnung (DS-GVO) sämtliche Länder zu verstehen, welche nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) sind und somit die Normen der DS-GVO nicht unmittelbar Wirkung entfalten. In den Mittelpunkt rückte die Betrachtung dieses Themas insbesondere durch die Rechtsprechung des Europäischen Gerichtshofes (EuGH), welcher das EU-US-Privacy Shield kippte. Auch wenn aktuelle Ereignisse darauf hindeuten, dass sowohl die EU als auch die USA auch ein Nachfolgeabkommen hinarbeiten, stellen diese keine belastbare Übermittlungsgrundlage dar.


AKTUELLE SITUATION

Für verantwortliche Stellen verspricht die aktuelle Situation einen nicht zu vernachlässigenden Handlungsbedarf. So ist eine Übermittlung personenbezogener Daten in Drittländer nicht ausschließlich bei einer aktiven Übermittlung vorliegend, sondern bereits im Falle der reinen Möglichkeit einer Kenntnisnahme. Diese ist beispielsweise bei der Nutzung von Dienstleistern in datenschutzrechtlichen Drittländern anzunehmen, welche Cloud-Services oder andere Dienstleistungen im Rahmen einer Auftragsverarbeitung zur Verfügung stellen.

Als Übermittlungsgrundlage kommen hierbei fast ausschließlich die sogenannten Standardvertragsklauseln bzw. Standarddatenschutzklauseln zum Einsatz. Diese wurden bereits im vergangenen Jahr durch die Europäische Kommission in einer überarbeiteten Version zur Verfügung gestellt. Sowohl für die verantwortliche Stelle im Anwendungsbereich der DS-GVO als auch für den Dienstleister im datenschutzrechtlichen Drittstaat ergeben sich in diesem Zusammenhang eine Reihe von Pflichten.


DIE NEUEN STANDARDDATENSCHUTZKLAUSELN

Bei Standarddatenschutzklauseln handelt es sich um eine besondere vertragliche Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken.

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen. Darüber hinaus getroffene technische oder organisatorische Garantien müssen geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den beziehungsweise die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können. Darüber hinaus ist sicherzustellen, dass die neuen Standardvertragsklauseln bis Dezember 2022 auch in bereits bestehenden Vertragsverhältnissen umzusetzen sind. Es besteht somit nahezu für jeden Verantwortlichen unmittelbarer Handlungsbedarf.


DIE SOGENANNTE TRANSFERFOLGENABSCHÄTZUNG

Die Verpflichtung zur Durchführung einer Transferfolgenabschätzung im Rahmen des Abschlusses von Standardvertragsklauseln ergibt sich aus Klausel 14. Darin heißt es unter anderem: „Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen [Standardvertrags-]Klauseln hindern.“ Hieraus ergibt sich ebenfalls die Verpflichtung, dass auch der Auftragsverarbeiter im Drittland den Verantwortlichen hierzulande bei der Durchführung der Transferfolgenabschätzung zu unterstützen hat.

Um eine Einschätzung entsprechend der Vorgaben vornehmen zu können, sieht Klausel 14 die Berücksichtigung bestimmter Aspekte als verpflichtend an. Hierzu gehören nach dem Wortlaut der Klausel:

– Die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

– die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

– alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Standardvertragsklauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Darüber hinaus empfehlen wir darzulegen, aus welchen zwingenden Gründen es einer solchen Übermittlung personenbezogener Daten beziehungsweise des Einsatzes des Dienstleisters in dem Drittland bedarf. In diesem Zusammenhang sollte gegebenenfalls auf fehlende gleichwertige Alternativen innerhalb der EU / des EWR verwiesen werden. Unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO sollte auch die Betrachtung und der Ausschluss derartiger Alternativen in die datenschutzrechtliche Dokumentation aufgenommen werden. Die Transferfolgenabschätzung ist auf Anfrage der Aufsichtsbehörde vorzulegen.

Die Durchführung einer Transferfolgenabschätzung ist grundsätzlich nicht an eine bestimmte Form gebunden, soweit eine Nachweisbarkeit der Durchführung möglich ist. In diesem Zusammenhang bietet es sich an, die Transferfolgenabschätzung als Anlage zum jeweiligen Verzeichnis der Verarbeitungstätigkeiten zu nehmen.


FAZIT

Der Beitrag zeigt auf, welche datenschutzrechtlichen Verpflichtungen aktuell mit Übermittlungen personenbezogener Daten in Drittländer im Zusammenhang stehen. Im Rahmen unseres neuen Leitfadens „Drittlandtransfer – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen“ geben wir einen thematischen Überblick und stellen Handlungsempfehlungen dar. Die weiteren Entwicklungen, insbesondere hinsichtlich eines Nachfolgeabkommens zwischen der EU und der USA, sind im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenübermittlungen
  • Drittlandübermittlung
  • EU-US-Privacy Shield
  • Standardvertragsklauseln
  • Transferfolgenabschätzung
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL II

In unserem letzten Beitrag haben wir unseren Jahresrückblick mit einem Review über die ersten vier Monate des Jahres begonnen. In unserem heutigen Beitrag wollen wir uns nunmehr den Monaten Mai bis August 2021 und einigen datenschutzrechtlich relevanten Themen in dieser Zeit widmen:


MAI 2021

Am 25. Mai 2021 jährte sich der Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren der daran anschließende Zeitraum hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Die Einzelheiten können in unserem Beitrag nachgelesen werden.

Im Mai 2021 erfolgte zudem die Verabschiedung des Betriebsrätemodernisierungsgesetztes. Aus datenschutzrechtlicher Sicht lohnt hier insbesondere ein Blick auf die Neuregelung in § 79a Betriebsverfassungsgesetz (BetrVG). Der Gesetzgeber beabsichtigte zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret normiert wird, dass bei der Verarbeitung personenbezogener Daten der Betriebsrat die Vorschriften über den Datenschutz einzuhalten hat. So weit, so gut. In Satz 2 heißt es weiter: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ In Satz 3 wird schließlich noch hinzugefügt: „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ Letztlich lässt sich festhalten, dass der Gesetzgeber für eine klarstellende Regelung gesorgt hat. Nicht mehr und nicht weniger. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Darüber hinaus ergeben sich jedoch zahlreiche praxisrelevante Fragestellungen. Dies betrifft insbesondere die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, Verarbeitungen von personenbezogenen Daten betreffende Tätigkeiten des Betriebsrates, die Bearbeitung von Betroffenenanfragen im Sinne des Kapitel III der DS-GVO sowie die Behandlung von und den Umgang mit Datenschutzverletzungen. In allen vorgenannten Punkten ist auch vor dem Hintergrund der Rechenschaftspflicht des Arbeitgebers als verantwortlicher Stelle im Sinne des Art. 4 Nr. 7 DS-GVO in der Praxis eine enge Zusammenarbeit zwischen Mitarbeitervertretung und Arbeitgeber erforderlich.


JUNI 2021

Im Juni 2021 überschlugen sich die Ereignisse aus datenschutzrechtlicher Sicht beinahe. Den Anfang machte die Europäische Kommission am 4. Juni 2021 mit der Veröffentlichung der neuen Standardvertragsklauseln (SCC) zur Absicherung für die Übermittlung personenbezogener Daten an Drittländer. Seit dem 27. Juni 2021 können die SDK nun auch angewendet werden. Ziel der SCC ist die Erreichung von mehr Sicherheit bei der Übermittlung personenbezogener Daten an Drittländer – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Nach dem „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Bis Dezember 2022 sind in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen. Weitere Informationen gibt es in unserem Beitrag.

Es folgt der Bundesgerichtshof (BGH) mit seinem Urteil vom 15. Juni 2021 (Az.: VI ZR 576/19) zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DS-GVO. Der BGH geht im Einklang mit der Rechtsprechung des EuGH von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches dergestalt zu, dass nur „signifikante biografische Informationen“ betroffen sind. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt seien.


JULI 2021

Mit einem Beschluss vom 20. Juli 2021 (Az.: 1 UF 74/21) hat das OLG Düsseldorf entschieden, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist. Der Entscheidung lag der Sachverhalt zu Grunde, es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die Kinder leben bei der Mutter und haben mit dem Vater regelmäßig Umgang. Die Lebensgefährtin des Vaters betreibt einen Friseursalon und nahm zu Werbezwecken Fotos der Kinder auf uns veröffentlichte diese in ihrem Facebook-Account und bei Instagram. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Vielmehr stellte die Lebensgefährtin weitere Fotos der Kinder in ihre Social-Media-Accounts ein. Die Mutter ging hiergegen mit Erfolg gerichtlich vor. Das OLG Düsseldorf führt daraufhin u.a. aus, dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“ Dementsprechend komme es grundsätzlich auch nicht darauf an, ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. Weitere Details können unserem Beitrag zum Thema entnommen werden.


AUGUST 2021

Je weiter der Sommer voranschritt desto häufiger trat in der Rechtswelt wieder die Corona-Pandemie auf den Plan. Umstände, die man in der warmen Jahreszweit versuchte auszublenden, hielten langsam wieder Einzug in betriebliche und behördliche Praxis. Den Anfang machten Fragen um die Verarbeitung personenbezogener Daten im Rahmen von Testnachweisen, die Verarbeitung von Gesundheitsdaten der Beschäftigten sowie Datenverarbeitung bei der Kontaktnachverfolgung. Die einzelnen Themen haben wir bereits in einem unserer Beiträge näher beleuchtet. Wie sich an späterer Stelle noch zeigen wird, waren dies zunächst die ersten leichten Diskussionen rund um Datenverarbeitungen den Immunisierungs- und Teststaus betreffend.

Darüber hinaus wurde durch eine Pressemitteilung vom 16. August 2021 bekannt, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt hat, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden: „Dies verstößt gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht kein ausreichender Schutz für solche Daten. Die Senatskanzlei – als die für Digitalisierungsfragen in der FHH federführend zuständige Behörde –hat den HmbBfDI zwar frühzeitig über entsprechende Pläne informiert, war in der Folge aber nicht bereit, auf dessen wiederholt vorgetragene Bedenken einzugehen. Auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 führte nicht zu einem Umdenken. Es wurden dem HmbBfDI weder innerhalb der gesetzten Frist noch danach Unterlagen vorgelegt oder Argumente mitgeteilt, die eine andere rechtliche Bewertung zuließen. Die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO ist daher ein folgerichtiger Schritt.“

In der nächsten Woche folgt nun der Rückblick auf die Monate September bis Dezember 2021. In dem letzten Beitrag unseres Jahresrückblickreihe widmen wir uns dann den Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten und der im Dezember 2021 aufgetretenen Log4j-Sicherheitslücke sowie einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betriebsrätemodernisierungsgesetz
  • Einwilligung
  • Jahresrückblick
  • Standardvertragsklauseln
  • Videokonferenzen
Lesen

DIE NEUEN STANDARDVERTRAGSKLAUSELN

Am 04. Juni 2021 hat die Europäische Kommission die überarbeiteten Standardvertragsklauseln verabschiedet. Nach dem sogenannten „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Darüber hinaus sind nach Urteil des EuGH ergänzend zu diesen im Rahmen eines Drittlandtransfers weitere geeignete Garantien zu treffen, welche ein adäquates Datenschutzniveau gewährleisten können. Dies sorgte in den vergangenen Monaten insbesondere im Rahmen der Inanspruchnahme US-amerikanischer Dienstleister verbreitet für erhebliche Rechtsunsicherheiten.  Die neuen Standardvertragsklauseln sollen hierbei unter Berücksichtigung der Anforderungen  des EuGH-Urteils „unkomplizierte“ Abhilfe schaffen. Doch ist dem wirklich so?


WAS SIND STANDARDVERTRAGSKLAUSELN?

Im Falle einer Übermittlung personenbezogener Daten an ein datenschutzrechtliches Drittland – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) – oder an internationale Organisationen, richtet sich die Rechtmäßigkeit der Verarbeitung neben den allgemeinen Grundsätzen ebenfalls nach den besonderen Bestimmungen des Kapitel V der Datenschutz-Grundverordnung (DS-GVO). Die Übermittlung kann nach diesem Kapitel unter anderem dann zulässig sein, sofern geeignete Garantien nach Art. 46 DS-GVO vorliegen. Hierzu gehören gemäß Art. 46 Abs. 2 lit. c DS-GVO die sogenannten Standarddatenschutzklauseln, auch Standardvertragsklauseln genannt. Diese werden in einem Prüfverfahren durch die Europäische Kommission erlassen.

Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Als gängiges Beispiel ist hierbei die Gewährleistung der Verschlüsselung personenbezogener Daten zu nennen.

In der Praxis stieß die Anforderung an weitere geeignete Garantien auf allgemeine Verunsicherung, solche lassen sich nur sehr schwer oder kaum umsetzen. Zu Teilen ist gänzlich unklar, ob und wie ein rechtskonformer Einsatz von entsprechenden Dienstleistern erfolgen kann. Doch die neuen Standardvertragsklauseln sollen  genau an diesem Punkt ansetzen, sodass ein „höchstmögliches Niveau an Rechtssicherheit“ erreicht werden kann.


WAS BEINHALTEN DIE NEUEN STANDARDVERTRAGKLAUSELN?

Mit Veröffentlichung der neuen Standardvertragsklauseln durch die Europäische Kommission, treten diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914 der Kommission). Neben den Standardvertragsklauseln für Datenübermittlungen an Drittländer wurde ebenfalls eine Version für Datenübermittlungen innerhalb der EU und des EWR bereitgestellt. Die Nutzung dieser bietet sich beispielsweise an, wenn sowohl Verantwortlicher als auch Auftragsverarbeiter auf den Abschluss eines „neutralen“ Vertrages zur Auftragsverarbeitung bestehen (vgl. Erwägungsgrund 81 Satz 4 zur DS-GVO).

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils des EuGH gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation hinsichtlich der beteiligten Akteure, der Art und Sensibilität der zu verarbeitenden personenbezogenen Daten, der jeweiligen rechtlichen Rahmenbedingungen im Drittland sowie die diesbezüglich getroffenen vertraglichen, technischen oder organisatorischen Garantien, vorzunehmen. Zu letztgenannten Punkt sind die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu „Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus von personenbezogenen Daten“ vom 10. November 2020 lesenswert. Derartige Garantien müssen grundsätzlich geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den bzw. die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.  

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können.


WIE KANN EINE UMSETZUNG ERFOLGEN?

Im Rahmen von neuen Vertragsschlüssen dürfen die bisherigen Standardvertragsklauseln nur noch bis September 2021 verwendet werden (vgl. Art. 4 Abs. 2, 3 des Durchführungsbeschluss 2021/914 der Kommission). Bis Dezember 2022 sind darüber hinaus in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen (vgl. Art. 4 Abs. 4 des Durchführungsbeschluss 2021/914 der Kommission). Für verantwortliche Stellen ergibt sich somit eine maximale Umsetzungsfrist von 18 Monaten. Hierbei empfehlen wir folgendes Vorgehen:

– Evaluierung eingesetzter Dienstleister mit Bezug zu einem Drittland. Dieser kann bereits dann gegeben sein, wenn es sich bei dem Dienstleister um ein Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens handelt;

– Durchführung einer Risikoabschätzung für den jeweiligen Einzelfall unter Beachtung der oben aufgeführten Kriterien. Fällt diese positiv aus, kann ein Abschluss der neuen Standardvertragsklauseln erfolgen;

– Auswahl der erforderlichen Module sowie gegebenenfalls Ergänzung von vertraglichen Regelungen und Zusendung der Standardvertragsklauseln an den Dienstleister im Drittland zur Unterzeichnung.


ÜBERPRÜFUNG DURCH AUFSICHTSBEHÖRDEN

Auch wenn den verantwortlichen Stellen eine Übergangsfrist von 18 Monaten gewährt wird, empfiehlt sich die zeitnahe Anwendung der neuen Standardvertragsklauseln unter Durchführung des dargestellten Verfahrens. Eine Vielzahl datenschutzrechtlicher Aufsichtsbehörden überprüfen derzeit bundesländerübergreifend bei verantwortlichen Stellen die Gewährleistung einer rechtskonformen Übermittlung personenbezogener Daten in Drittländer. Hierbei werden insbesondere die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil sowie hinsichtlich der oben genannten empfohlenen Maßnahmen des EDSA überprüft.


FAZIT

Zusammenfassend lässt sich festhalten, dass die neuen Standardvertragsklauseln das in den letzten Monaten bereits etablierte Vorgehen im Zusammenhang mit einem Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern aufgreift und in einen (zunächst) rechtssicheren Rahmen packt. Der bisherige Aufwand wird hierdurch jedoch keinesfalls reduziert, die Verpflichtung zur Erstellung einer umfangreichen Dokumentation verbleibt. Unklar bleibt jedoch, für welchen Zeitraum die neuen Standardvertragsklauseln tatsächlich Rechtssicherheit bringen. Die Organisation noyb des Gründers Max Schrems äußerte sich hierzu bereits teilweise kritisch.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • EuGH
  • Europäischer Datenschutzausschuss
  • Risikobasierter Ansatz
  • Schrems II
  • Standardvertragsklauseln
Lesen

DIE DATENSCHUTZRECHTLICHEN FOLGEN DES BREXIT

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.


RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.


RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.


DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.


UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“


FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Auftragsverarbeitung
  • Brexit
  • Datenübermittlungen
  • Drittstaaten
  • Standardvertragsklauseln
Lesen

MICROSOFT VERÖFFENTLICHT ERGÄNZUNG ZU DEN STANDARDVERTRAGSKLAUSELN

Seitdem der Europäische Gerichtshof (EuGH) mit der sogenannte Schrems II-Entscheidung die Datenübermittlung in die USA durch die Unzulässigkeitserklärung des EU-US-Privacy-Shield ins Wanken gebracht hatte, herrschen in der Datenschutzpraxis zahlreiche Fragen und Unsicherheiten , ob und wie künftig eine Datenübermittlung in sogenannte Drittländer (insbesondere in die USA) stattfinden kann. Unklar ist insbesondere, wie die vom EuGH geforderten geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus durch die verantwortlichen Organisationen erreicht werden können. Nun ist in dieser Sache mit Microsoft der erste Dienstleister aktiv geworden. 


WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 


WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  


WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 


FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • Drittstaaten
  • Microsoft
  • Schrems II
  • Standardvertragsklauseln
Lesen

ÄUßERUNG DER DATENSCHUTZKONFERENZ ZU MS OFFICE 365

Durch eine am 02. Oktober 2020 herausgegebene Pressemitteilung wurde bekannt, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) die Bewertung ihres Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen hat. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.


WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.


WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).


WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzkonferenz
  • Microsoft
  • Office 365
  • Standardvertragsklauseln
  • USA
Lesen

DAS EUGH-URTEIL ZUM EU-US-PRIVACY SHIELD

… und dessen Auswirkungen für die Praxis. Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung – zur Übermittlung personenbezogener Daten in Drittländer positioniert. Mittelpunkt der Entscheidung bildet die Unzulässigkeitserklärung des Beschlusses 2916/1250 der Europäischen Kommission in die USA (sog. „EU-US-Privacy-Shield“). Darüber hinaus stellt der EuGH fest, dass die Entscheidung 2010/87/EG der Europäischen Kommission (sog. „Standardvertragsklausel“) grundsätzlich (zunächst) weithin Gültigkeit behalten.


WAS WURDE ENTSCHIEDEN?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.


IST EINE DATENÜBERMITTLUNG IN DIE USA WEITERHIN MÖGLICH

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.


WELCHER HANDLUNGSBEDARF ERGIBT SICH FÜR VERANTWORTLICHE IN DER PRAXIS?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Schrems II
  • Standardvertragsklauseln
  • USA
Lesen