DIE NEUEN STANDARDVERTRAGSKLAUSELN

Am 04. Juni 2021 hat die Europäische Kommission die überarbeiteten Standardvertragsklauseln verabschiedet. Nach dem sogenannten „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Darüber hinaus sind nach Urteil des EuGH ergänzend zu diesen im Rahmen eines Drittlandtransfers weitere geeignete Garantien zu treffen, welche ein adäquates Datenschutzniveau gewährleisten können. Dies sorgte in den vergangenen Monaten insbesondere im Rahmen der Inanspruchnahme US-amerikanischer Dienstleister verbreitet für erhebliche Rechtsunsicherheiten.  Die neuen Standardvertragsklauseln sollen hierbei unter Berücksichtigung der Anforderungen  des EuGH-Urteils „unkomplizierte“ Abhilfe schaffen. Doch ist dem wirklich so?


WAS SIND STANDARDVERTRAGSKLAUSELN?

Im Falle einer Übermittlung personenbezogener Daten an ein datenschutzrechtliches Drittland – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) – oder an internationale Organisationen, richtet sich die Rechtmäßigkeit der Verarbeitung neben den allgemeinen Grundsätzen ebenfalls nach den besonderen Bestimmungen des Kapitel V der Datenschutz-Grundverordnung (DS-GVO). Die Übermittlung kann nach diesem Kapitel unter anderem dann zulässig sein, sofern geeignete Garantien nach Art. 46 DS-GVO vorliegen. Hierzu gehören gemäß Art. 46 Abs. 2 lit. c DS-GVO die sogenannten Standarddatenschutzklauseln, auch Standardvertragsklauseln genannt. Diese werden in einem Prüfverfahren durch die Europäische Kommission erlassen.

Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Als gängiges Beispiel ist hierbei die Gewährleistung der Verschlüsselung personenbezogener Daten zu nennen.

In der Praxis stieß die Anforderung an weitere geeignete Garantien auf allgemeine Verunsicherung, solche lassen sich nur sehr schwer oder kaum umsetzen. Zu Teilen ist gänzlich unklar, ob und wie ein rechtskonformer Einsatz von entsprechenden Dienstleistern erfolgen kann. Doch die neuen Standardvertragsklauseln sollen  genau an diesem Punkt ansetzen, sodass ein „höchstmögliches Niveau an Rechtssicherheit“ erreicht werden kann.


WAS BEINHALTEN DIE NEUEN STANDARDVERTRAGKLAUSELN?

Mit Veröffentlichung der neuen Standardvertragsklauseln durch die Europäische Kommission, treten diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914 der Kommission). Neben den Standardvertragsklauseln für Datenübermittlungen an Drittländer wurde ebenfalls eine Version für Datenübermittlungen innerhalb der EU und des EWR bereitgestellt. Die Nutzung dieser bietet sich beispielsweise an, wenn sowohl Verantwortlicher als auch Auftragsverarbeiter auf den Abschluss eines „neutralen“ Vertrages zur Auftragsverarbeitung bestehen (vgl. Erwägungsgrund 81 Satz 4 zur DS-GVO).

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils des EuGH gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation hinsichtlich der beteiligten Akteure, der Art und Sensibilität der zu verarbeitenden personenbezogenen Daten, der jeweiligen rechtlichen Rahmenbedingungen im Drittland sowie die diesbezüglich getroffenen vertraglichen, technischen oder organisatorischen Garantien, vorzunehmen. Zu letztgenannten Punkt sind die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu „Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus von personenbezogenen Daten“ vom 10. November 2020 lesenswert. Derartige Garantien müssen grundsätzlich geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den bzw. die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.  

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können.


WIE KANN EINE UMSETZUNG ERFOLGEN?

Im Rahmen von neuen Vertragsschlüssen dürfen die bisherigen Standardvertragsklauseln nur noch bis September 2021 verwendet werden (vgl. Art. 4 Abs. 2, 3 des Durchführungsbeschluss 2021/914 der Kommission). Bis Dezember 2022 sind darüber hinaus in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen (vgl. Art. 4 Abs. 4 des Durchführungsbeschluss 2021/914 der Kommission). Für verantwortliche Stellen ergibt sich somit eine maximale Umsetzungsfrist von 18 Monaten. Hierbei empfehlen wir folgendes Vorgehen:

– Evaluierung eingesetzter Dienstleister mit Bezug zu einem Drittland. Dieser kann bereits dann gegeben sein, wenn es sich bei dem Dienstleister um ein Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens handelt;

– Durchführung einer Risikoabschätzung für den jeweiligen Einzelfall unter Beachtung der oben aufgeführten Kriterien. Fällt diese positiv aus, kann ein Abschluss der neuen Standardvertragsklauseln erfolgen;

– Auswahl der erforderlichen Module sowie gegebenenfalls Ergänzung von vertraglichen Regelungen und Zusendung der Standardvertragsklauseln an den Dienstleister im Drittland zur Unterzeichnung.


ÜBERPRÜFUNG DURCH AUFSICHTSBEHÖRDEN

Auch wenn den verantwortlichen Stellen eine Übergangsfrist von 18 Monaten gewährt wird, empfiehlt sich die zeitnahe Anwendung der neuen Standardvertragsklauseln unter Durchführung des dargestellten Verfahrens. Eine Vielzahl datenschutzrechtlicher Aufsichtsbehörden überprüfen derzeit bundesländerübergreifend bei verantwortlichen Stellen die Gewährleistung einer rechtskonformen Übermittlung personenbezogener Daten in Drittländer. Hierbei werden insbesondere die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil sowie hinsichtlich der oben genannten empfohlenen Maßnahmen des EDSA überprüft.


FAZIT

Zusammenfassend lässt sich festhalten, dass die neuen Standardvertragsklauseln das in den letzten Monaten bereits etablierte Vorgehen im Zusammenhang mit einem Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern aufgreift und in einen (zunächst) rechtssicheren Rahmen packt. Der bisherige Aufwand wird hierdurch jedoch keinesfalls reduziert, die Verpflichtung zur Erstellung einer umfangreichen Dokumentation verbleibt. Unklar bleibt jedoch, für welchen Zeitraum die neuen Standardvertragsklauseln tatsächlich Rechtssicherheit bringen. Die Organisation noyb des Gründers Max Schrems äußerte sich hierzu bereits teilweise kritisch.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • EuGH
  • Europäischer Datenschutzausschuss
  • Risikobasierter Ansatz
  • Schrems II
  • Standardvertragsklauseln
Lesen

DIE DATENSCHUTZRECHTLICHEN FOLGEN DES BREXIT

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.


RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.


RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.


DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.


UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“


FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Auftragsverarbeitung
  • Brexit
  • Datenübermittlungen
  • Drittstaaten
  • Standardvertragsklauseln
Lesen

MICROSOFT VERÖFFENTLICHT ERGÄNZUNG ZU DEN STANDARDVERTRAGSKLAUSELN

Seitdem der Europäische Gerichtshof (EuGH) mit der sogenannte Schrems II-Entscheidung die Datenübermittlung in die USA durch die Unzulässigkeitserklärung des EU-US-Privacy-Shield ins Wanken gebracht hatte, herrschen in der Datenschutzpraxis zahlreiche Fragen und Unsicherheiten , ob und wie künftig eine Datenübermittlung in sogenannte Drittländer (insbesondere in die USA) stattfinden kann. Unklar ist insbesondere, wie die vom EuGH geforderten geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus durch die verantwortlichen Organisationen erreicht werden können. Nun ist in dieser Sache mit Microsoft der erste Dienstleister aktiv geworden. 


WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 


WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  


WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 


FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • Drittstaaten
  • Microsoft
  • Schrems II
  • Standardvertragsklauseln
Lesen

ÄUßERUNG DER DATENSCHUTZKONFERENZ ZU MS OFFICE 365

Durch eine am 02. Oktober 2020 herausgegebene Pressemitteilung wurde bekannt, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) die Bewertung ihres Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen hat. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.


WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.


WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).


WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzkonferenz
  • Microsoft
  • Office 365
  • Standardvertragsklauseln
  • USA
Lesen

DAS EUGH-URTEIL ZUM EU-US-PRIVACY SHIELD

… und dessen Auswirkungen für die Praxis. Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung – zur Übermittlung personenbezogener Daten in Drittländer positioniert. Mittelpunkt der Entscheidung bildet die Unzulässigkeitserklärung des Beschlusses 2916/1250 der Europäischen Kommission in die USA (sog. „EU-US-Privacy-Shield“). Darüber hinaus stellt der EuGH fest, dass die Entscheidung 2010/87/EG der Europäischen Kommission (sog. „Standardvertragsklausel“) grundsätzlich (zunächst) weithin Gültigkeit behalten.


WAS WURDE ENTSCHIEDEN?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.


IST EINE DATENÜBERMITTLUNG IN DIE USA WEITERHIN MÖGLICH

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.


WELCHER HANDLUNGSBEDARF ERGIBT SICH FÜR VERANTWORTLICHE IN DER PRAXIS?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Schrems II
  • Standardvertragsklauseln
  • USA
Lesen