Am 26. Januar 2026 stellte die Europäische Kommission offiziell fest, dass Brasilien ein mit der Europäischen Union vergleichbares Schutzniveau für die Verarbeitung personenbezogene Daten bietet und damit die Anforderungen des Art. 45 DS-GVO erfüllt. Mit diesem Angemessenheitsbeschluss wird die Übermittlung personenbezogener Daten von der Europäischen Union nach Brasilien deutlich erleichtert, da keine zusätzlichen Übermittlungsinstrumente wie Standardvertragsklauseln oder Binding Corporate Rules erforderlich sind. Für Organisationen bedeutet dies eine spürbare Vereinfachung und erhöhte Rechtssicherheit bei Datenübermittlungen nach Brasilien.

Was ist ein Angemessenheitsbeschluss?

Werden personenbezogene Daten an Organisationen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt, reicht eine allgemeine Rechtsgrundlage (z. B. vertragliche Grundlage, berechtigtes Interesse) allein nicht aus. Zusätzlich müssen die Anforderungen aus Kapitel V der DS-GVO erfüllt sein. Ziel ist es dabei, dass das europäische Datenschutzniveau auch bei einer Verarbeitung in sogenannten Drittländern gewahrt bleibt. Hier setzt der Angemessenheitsbeschluss an: Die Europäische Kommission kann feststellen, dass ein bestimmtes Drittland oder eine internationale Organisation ein der Europäischen Union vergleichbares Datenschutzniveau bietet.

Maßgeblich sind dabei gemäß Art. 45 Abs. 2 DS-GVO:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

• Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Wird ein solches angemessenes Schutzniveau festgestellt, dürfen personenbezogene Daten in dieses Land grundsätzlich ohne zusätzliche Garantien (z. B. Standardvertragsklauseln oder Binding Corporate Rules) übermittelt werden – der Angemessenheitsbeschluss wirkt damit wie eine „datenschutzrechtliche Brücke“ und vereinfacht internationale Datenübermittlungen erheblich. Um sicherzustellen, dass das festgestellte Schutzniveau weiterhin besteht, überprüft die Europäische Kommission bestehende Angemessenheitsbeschlüsse regelmäßig.

Hintergründe zum Angemessenheitsbeschluss für Brasilien

Mit Blick auf Brasilien ist insbesondere die strukturelle Annäherung des dortigen Datenschutzrechts an europäische Standards hervorzuheben. Die brasilianische „Lei Geral de Proteção de Dados“ (LGPD) orientiert sich systematisch an zentralen Prinzipien der DS-GVO, darunter Transparenz, Zweckbindung, Datenminimierung sowie umfassende Betroffenenrechte. Auch die Existenz einer eigenständigen Datenschutzaufsichtsbehörde (Autoridade Nacional de Proteção de Dados – ANPD) war ein wesentlicher Bestandteil der Bewertung. Diese institutionellen und materiell-rechtlichen Parallelen bildeten die Grundlage für die positive Entscheidung der Europäischen Kommission.

Für Organisationen mit Niederlassungen, Auftragsverarbeitern oder Geschäftspartnern in Brasilien vereinfacht der Angemessenheitsbeschluss die praktische Umsetzung von Datentransfers erheblich. Bestehende Standardvertragsklauseln oder andere Transferinstrumente, die ausschließlich zur Absicherung des Drittlandtransfers implementiert wurden, können überprüft und gegebenenfalls angepasst werden. Dadurch lassen sich vertragliche Strukturen und interne Prozesse verschlanken.

Wichtig bleibt jedoch: Der Angemessenheitsbeschluss ersetzt nicht die übrigen Anforderungen der DS-GVO. Für jede Verarbeitung ist weiterhin eine belastbare Rechtsgrundlage erforderlich. Zudem müssen die allgemeinen Grundsätze – etwa Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit – eingehalten werden. Auch Informationspflichten, Betroffenenrechte sowie Dokumentations- und Rechenschaftspflichten gelten unverändert fort. Der Beschluss schafft damit operative Erleichterungen bei Datenübermittlungen nach Brasilien, entbindet Unternehmen jedoch nicht von einem strukturierten und ganzheitlichen Datenschutzmanagement.

Fazit

Der Angemessenheitsbeschluss für Brasilien stellt für international tätige Organisationen einen relevanten Schritt zur Vereinfachung grenzüberschreitender Datenflüsse dar. Datenübermittlungen können künftig auf einer stabilen unionsrechtlichen Grundlage erfolgen, ohne dass zusätzliche Übermittlungsinstrumente erforderlich sind. Gleichzeitig bleibt jedoch festzuhalten: Die Erleichterung betrifft ausschließlich die Transfermechanik. Die weiteren Anforderungen der DS-GVO gelten unverändert fort.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits vor zwei Wochen berichteten wir im Rahmen eines Blog-Beitrags über die aktuellen Entwicklungen in den USA mit Blick auf das EU-U.S. Data Privacy Framework (DPF) und möglichen Folgen für Verantwortliche. In einem kürzlich auf LinkedIn veröffentlichten Beitrag wird nun deutlich, dass das DPF womöglich kurz vor dem Aus stehen könnte: Die Europäische Kommission wird seitens Mitgliedern des Europäischen Parlaments aufgefordert, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.

Schreiben an die Europäische Kommission

Das veröffentliche Schreiben des Vorsitzenden des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Javier Zarzalejos, enthält eine an den EU-Kommissar für Demokratie, Justiz und Rechtsstaatlichkeit, Michael McGrath, gerichtete Aufforderung, zu prüfen, inwiefern sich die aktuellen Entwicklungen in den USA auf den Angemessenheitsbeschluss, insbesondere unter Berücksichtigung des Schrems II – Urteils, auswirken. Konkret heißt es:

„The LIBE Committe has learned that some members of the PCLOB were recently removed by the White House from their positions. As there ist only one out of five Board members remaining, the PCLOB is no longer operational due to not reaching the minimum level of members required to have a quorum. Therefore, I would be grateful if you could provide me wit he Commissions’s assessment of whether the above-mentioned changes affect the adequacy of the Data Privacy Framework, including whether the mechanism still meets the requirements of „essential equivalence“ as established by the Court of Justice in case C-311/18 Schrems II.“

Die Darstellungen decken sich insoweit auch mit einer Berichterstattung von Bloomberg. Abzuwarten bleibt, wie sich die Europäische Kommission hierzu verhält beziehungsweise ob und wann möglicherweise eine Aberkennung des Angemessenheitsbeschlusses erfolgt.

Mögliche Folgen

In den Kommentaren des benannten LinkedIn-Beitrags wird kontrovers diskutiert, welche konkreten Folgen eine mögliche Aberkennung des Angemessenheitsbeschlusses haben könnte. Schließlich bestehen neben einem Angemessenheitsbeschluss (Art. 45 DS-GVO) noch eine Reihe weiterer Übermittlungsgrundlagen, mittels derer die Übermittlung personenbezogener Daten in die USA legitimiert werden könnte. Allen voran sind die seitens der Europäischen Kommission verabschiedeten Standardvertragsklauseln zu benennen.

Oftmals wird jedoch übersehen, dass nicht in allen Sektoren ein Wechsel auf die Standardvertragsklauseln erfolgen kann. So heißt es zum Beispiel in § 80 Abs. 2 SGB X: „Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt werden, wenn die Verarbeitung im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat oder in einer internationalen Organisation erfolgt.“ Eine Übermittlung auf Grundlage der Standardvertragsklauseln ist demnach explizit nicht vorgesehen.

Weiterhin muss kritisch hinterfragt werden, inwiefern eine Datenübermittlung in der Breite überhaupt noch auf die Standardvertragsklauseln gestützt werden könnte. Schließlich bedarf der Abschluss der Standardvertragsklauseln nach Klausel 14 die Durchführung einer Transferfolgenabschätzung, wonach ebenfalls die „relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes“ gebührend berücksichtigt werden müssen. Unter Wahrnehmung der derzeit stattfinden Einwirkungen auf rechtsstaatliche Prinzipien, wird eine objektiv durchgeführte und nicht vom (positiven) Ergebnis her argumentierte Transferfolgenabschätzung des Öfteren negativ ausfallen werden müssen.

Insofern wird zukünftig eine stärkere Fokussierung auf umzusetzende technische Maßnahmen zu legen sein. Allen voran ist hierbei die Verschlüsselung nach aktuellem Stand der Technik zu nennen, wobei diese wohl auch nur dann als wirksamer Schutzmechanismus bezeichnet werden kann, wenn eine Verwaltung der Schlüssel nicht durch den identischen oder einen weiteren US-Dienstleister erfolgt. Diese Anforderung mag zwar banal klingen, findet in der Praxis jedoch meist zu wenig Berücksichtigung. Mit Umsetzung einer wirksamen Verschlüsselung können datenschutzrechtliche Problematiken reduziert oder ganz ausgeschlossen werden. Jedoch muss ebenfalls darauf hingewiesen werden, dass eine Reihe verbreiteter Cloud-Dienste mit verschlüsselten Informationen nicht (vollständig) nutzbar sind.

Spätestens an dieser Stelle ergibt sich die Empfehlung zur Prüfung vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union – wohlwissend, dass sich auch hierüber nicht immer eine passende Lösung finden lassen wird.

Fazit

Auch nach wie vor ist zum gegenwärtigen Zeitpunkt keine Panik angebracht. Die ersten Anzeichen machen jedoch deutlich, dass noch in diesem Jahr eine Änderung der Rechtslage eintreten könnte. Insofern bleibt es bei dem Resümee des vor kurzem veröffentlichten Blog-Beitrags: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses („EU-US Data Privacy Framework“) der Europäischen Kommission für Datenübermittlung in die USA verabschiedet. Die wesentlichen Inhalte der Stellungnahme und die nunmehr aktualisierte Rechtslage zur Datenübermittlung zwischen der EU und den USA sollen im nachfolgenden Beitrag näher beleuchtet werden.

Was bisher Geschah

Im Juli 2020 kippte der Europäische Gerichtshof (EuGH) in seinem viel besprochenen Schrems-II-Urteil (Rechtssache Az.: C-311/18) den früheren Angemessenheitsbeschluss (EU-US-Privacy Shield) und stellte die Datenübermittlung zwischen der Europäischen Union und den USA „auf den Kopf“. Die Europäische Kommission kann grundsätzlich im Rahmen eines solchen Angemessenheitsbeschlusses feststellen, dass das Datenschutzniveau in einem Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren dessen innerhalb der Europäischen Union/dem Europäischen Wirtschaftsraum entsprechen. Liegt ein solcher Angemessenheitsbeschluss vor, können personenbezogene Daten auf dieser Grundlage an ein Drittland übermittelt werden.

Seit dem „Fall“ des EU-US-Privacy-Shield bilden die Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in die USA. Am 4. Juni 2021 verabschiedete die Europäische Kommission die überarbeiteten Standardvertragsklauseln. Sowohl für die verantwortliche Stelle als auch für den Datenempfänger im betroffenen datenschutzrechtlichen Drittstaat ergeben sich hierdurch eine Reihe von Pflichten. Im Rahmen seines des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein angemessenes Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedarf insoweit weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Hierunter zählt u.a., dass vor Vertragsschluss mit dem potenziellen Datenimporteuer eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen ist. Im März 2022 wurde anschließend bekannt, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten.

Im Oktober 2022 spielte die US-Regierung den Ball zurück: Es folgte der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen, da eine Änderung der Rechtslage in den USA die Folge ist. Die Rechtsform der Executive Order ist ein Regelungsinstrument in den USA für extraterritoriale Anordnungen. Durch den Erlass versprach man sich die Lösung der größten Kritikpunkte aus dem Schrems-II-Urteil: Mangelnde Verhältnismäßigkeit sowie fehelende Rechtsbehelfe für die betroffenen Personen in den USA bezogen auf die Überwachungsmaßnahmen.

Die Executive Order schafft u.a. besagte Garantien für europäische Betroffene gegenüber den amerikanischen Geheimdiensten durch bspw. die Einrichtung des Data Protection Review Court. Durch diese Institution können u.a. Datenlöschungen und Verarbeitungseinschränkungen angeordnet werden. Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die Executive Order ebenfalls, diese zu beseitigen. Erstmals wurden zudem geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt. Darüber hinaus wird ein Kontrollmechanismus durch das Privacy and Civil Liberties Oversight Board (PCLOB) neu eingeführt. Der EDSA sieht seinerseits in diesen Punkten erhebliche Verbesserungen durch die Executive Order.

Auf Grundlage der Ececutive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden. Der Entwurf des Angemessenheitsbeschlusses kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU in die USA übermittelt werden.

Was sagt der EDSA?

Im Wesentlichen begrüßt der EDSA einige Verbesserungen, die durch das Data Privacy Framework erreicht werden wie z.B. die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung und den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der Europäischen Union. Allerdings werden seitens des EDSA auch Bedenken geäußert. Diese betreffen insbesondere den Bereich der Rechte der von der Datenübermittlung betroffenen Person, die Weiterübermittlung personenbezogener Daten, den Umfang von Ausnahmen sowie die Erhebung von Massendaten im Rahmen der Executive Order 12333 und  das Fehlen einer systematischen unabhängigen nachträglichen Überprüfung durch ein Gericht oder eine gleichwertige unabhängige Stelle.

Und die nationalen Datenschutzaufsichtsbehörden?

Positive Kritik folgte zudem seitens der nationalen Datenschutzaufsichtsbehörden. So äußerte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.“ Aus Sicht des BfDI wird zudem ein wichtiger Beitrag für sichere und vertrauenswürdige Datenübermittlungen im internationalen Kontext geschaffen: „Die erzielten Fortschritte im transatlantischen Kontext sind wichtige Voraussetzungen, an die wir beim diesjährigen Treffen der G7-Datenschutzaufsichtsbehörden im Juni in Japan anknüpfen können.“

Ebenfalls „positiv“ äußert sich der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der nun zu erwartende Erlass der Angemessenheitsentscheidung schafft dringend benötigte Rechtssicherheit und ist trotz einiger verbesserungswürdiger Punkte ein Erfolg für den Datenschutz. Im Zuge der Verhandlungen haben die USA bisher nicht dagewesene Zugeständnisse gemacht und ihr nationales Sicherheitsrecht an europäische Grundrechtsmaßstäbe angepasst. Der Beschluss kann jedoch kein Freibrief sein. Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden, und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen. Die Wahrheit ist auf dem Platz, um es im Fußballjargon zu sagen. Es wird Aufgabe der Datenschutzbehörden und der Kommission sein, dabei sehr genau hinzuschauen, und Aufgabe der US-Administration, tiefgreifende Prüfungen auch zu ermöglichen. Die Forderung des EDSA, in Anbetracht der noch offenen Umsetzung in den USA den Überprüfungsrhythmus zu verkürzen, ist deshalb absolut richtig.“

Fazit

In seiner Stellungnahme hebt der EDSA einige positive und negative Kritikpunkte hervor. Als erfreulich für die Datenschutzpraxis kann jedoch bewertet werden, dass sich aber nicht gegen eine Annahme des Beschlusses durch die EU-Kommission ausgesprochen wird. Dies kann insoweit als Fingerzeig gedeutet werden, dass durch das Data Privacy Framework eine wirkliche Verbesserung der Rechtslage in Sachen Datenschutz in den USA erreicht wurde. Ein weiterer wichtiger Schritt zur Verabschiedung eines neuen Angemessenheitsbeschlusses ist somit getan. Tritt der Angemessenheitsbeschluss in Kraft tritt, können zukünftig personenbezogene Daten auch ohne einen Rückgriff auf weitere geeignete Garantien – wie z.B. durch Abschluss der Standardvertragsklauseln und Durchführung einer Transferfolgenabschätzung – in die USA übermitteln. Dies würde gleichwohl für mehr Rechtssicherheit in der Praxis sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das „Schrems II“-Urteil des Europäischen Gerichtshofs führte zu tiefgreifenden Änderungen bezüglich der Übermittlung personenbezogener Daten in Drittländer. Kurzgefasst ging es in dem Urteil um die Unzulässigkeit des sogenannten „EU-US-Privacy Shield“- Abkommens zwischen der Europäischen Union und den USA. Der Einfluss dieses Urteils auf die betriebliche Praxis ist bis heute sehr groß, denn die bedeutenden US-Amerikanischen Unternehmen, wie beispielsweise Facebook, Google, Cloudflare oder YouTube, können somit nicht mehr oder nur unter erschwerten Bedingungen von Unternehmen eingesetzt werden.

Allerdings bleibt die Übermittlung personenbezogener Daten in den USA zulässig, sofern – kurz gesagt – die Voraussetzungen der Art. 44 bis Art. 49 erfüllt sind. Demnach ist die Übermittlung rechtskonform, wenn geeignete Garantien nach Art. 46 DS-GVO eingesetzt werden. In diesem Kontext geraten insbesondere die sogenannten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DS-GVO) in den Fokus, da diese nach Auffassung des EuGH weiterhin eine gültige Rechtsgrundlage darstellen. Standardvertragsklauseln sind Musterverträge zwischen Auftraggeber und Auftragnehmer oder datenübermittelnder und datenempfangender Stellen, in denen Rechte und Pflichten geregelt sind.

Problematisch waren allerdings einige Punkte, die große Verunsicherung bei vielen Unternehmen verursachte: nämlich die Tatsache, dass der Datentransfer weiterer geeigneter Garantien bedurfte, welche die Zugriffsmöglichkeiten von Behörden weiter einschränken sollen. Hierauf aufbauend hat die Europäische Kommission die neuen Standardvertragsklauseln entwickelt.

Die „neuen“ Standardvertragsklauseln

Wesentlicher Unterschied zwischen den alten und neuen Standardvertragsklauseln ist, dass die neuen Standardvertragsklauseln für verschiedene Konstellationen zwischen Verantwortlichen und Auftragsverarbeitern verfügbar sind. Weiterhin bieten diese einen modularen Aufbau, welcher einen auf den Einzelfall angepasstes Vertragswerk ermöglicht. 

Eine Neuheit hierbei ist der risikobasierte Ansatz, nach dem vor Vertragsschluss eine sogenannte „Transferfolgenabschätzung“ oder „Transfer Impact Assessment“ durchgeführt werden muss. Darüber hinaus sind technische und organisatorische Garantien vorzunehmen, die geeignet sein müssen, staatlichen Behörden den Zugriff zu personenbezogenen Daten zumindest zu erschweren. Beabsichtigt der Staat trotzdem einen Zugriff, ist der Dienstleister im Drittland verpflichtet, die Rechtmäßigkeit des Zugriffs zu überprüfen und dem Vertragspartner über den geplanten Zugriff zu unterrichten.

Wichtig für nahezu alle Unternehmen ist, dass bis zum 27. Dezember 2022 die neuen Vertragsklauseln nunmehr auch in bestehenden Vertragsverhältnissen anzuwenden sind. Die Zeit drängt!

Transferfolgenabschätzung

Klausel 14 der neuen Standarddatenschutzklauseln gibt vor, dass Unternehmen bestimmte Aspekte bei der Durchführung der Transferfolgenabschätzung berücksichtigen müssen. Hierzu gehörten zum einen die besonderen Umstände der Übermittlung personenbezogener Daten. Dies beinhaltet unter anderem die Prüfung beziehungsweise Offenlegung der Verarbeitungskette, Anzahl der verarbeitenden Unternehmen und Übertragungskanäle. Zum anderen müssen die relevanten Rechtsvorschriften, Gepflogenheiten und die geltenden Beschränkungen und Garantien berücksichtigt werden. Klausel 14 erwähnt explizit diejenigen Vorschriften, Gepflogenheiten und Beschränkungen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang zu diesen Daten gestatten.

Zu guter Letzt müssen alle relevanten vertraglich festgelegten technischen oder organisatorischen Garantien, die ergänzend zu den Garantien der Standardvertragsklauseln eingerichtet wurden, betrachtet werden. Hierzu gehören auch diejenigen Maßnahmen, die während der Übermittlung und Verarbeitung der Daten im Bestimmungsland zur Anwendung kommen.  

Handlungsempfehlungen

Die Umsetzung der neuen Standardvertragsklauseln empfehlen wir in folgenden Schritten:

• Prüfen Sie zunächst sämtliche von Ihnen eingesetzte Dienstleister, die mit einem Drittland in Bezug stehen. Beachtung bedürfen insbesondere auch solche Unternehmen, welche Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens sind.
• Betrachten Sie nach Möglichkeit ebenfalls gleichwertige Alternativen innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Bestehen gleichwertige Alternativen, kann dies einer Übermittlung in Drittländer entgegenstehen.
• Führen Sie vor Abschluss der Standardvertragsklauseln eine Transferfolgenabschätzung für den jeweiligen Fall durch. Nur bei Vorlage eines positiven Ergebnisses dürfen die Standardvertragsklauseln abgeschlossen und eine Datenübermittlung vorgenommen werden.

Gern unterstützen wir Sie bei der Umsetzung der rechtlichen Anforderungen. Kommen Sie hierfür gern auf uns zu!

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Eines der derzeit meist diskutiertesten datenschutzrechtlichen Themen stellt die Übermittlung personenbezogener Daten in Drittländer dar. Als Drittland sind im Sinne der Datenschutz-Grundverordnung (DS-GVO) sämtliche Länder zu verstehen, welche nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) sind und somit die Normen der DS-GVO nicht unmittelbar Wirkung entfalten. In den Mittelpunkt rückte die Betrachtung dieses Themas insbesondere durch die Rechtsprechung des Europäischen Gerichtshofes (EuGH), welcher das EU-US-Privacy Shield kippte. Auch wenn aktuelle Ereignisse darauf hindeuten, dass sowohl die EU als auch die USA auch ein Nachfolgeabkommen hinarbeiten, stellen diese keine belastbare Übermittlungsgrundlage dar.

AKTUELLE SITUATION

Für verantwortliche Stellen verspricht die aktuelle Situation einen nicht zu vernachlässigenden Handlungsbedarf. So ist eine Übermittlung personenbezogener Daten in Drittländer nicht ausschließlich bei einer aktiven Übermittlung vorliegend, sondern bereits im Falle der reinen Möglichkeit einer Kenntnisnahme. Diese ist beispielsweise bei der Nutzung von Dienstleistern in datenschutzrechtlichen Drittländern anzunehmen, welche Cloud-Services oder andere Dienstleistungen im Rahmen einer Auftragsverarbeitung zur Verfügung stellen.

Als Übermittlungsgrundlage kommen hierbei fast ausschließlich die sogenannten Standardvertragsklauseln bzw. Standarddatenschutzklauseln zum Einsatz. Diese wurden bereits im vergangenen Jahr durch die Europäische Kommission in einer überarbeiteten Version zur Verfügung gestellt. Sowohl für die verantwortliche Stelle im Anwendungsbereich der DS-GVO als auch für den Dienstleister im datenschutzrechtlichen Drittstaat ergeben sich in diesem Zusammenhang eine Reihe von Pflichten.

DIE NEUEN STANDARDDATENSCHUTZKLAUSELN

Bei Standarddatenschutzklauseln handelt es sich um eine besondere vertragliche Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken.

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen. Darüber hinaus getroffene technische oder organisatorische Garantien müssen geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den beziehungsweise die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können. Darüber hinaus ist sicherzustellen, dass die neuen Standardvertragsklauseln bis Dezember 2022 auch in bereits bestehenden Vertragsverhältnissen umzusetzen sind. Es besteht somit nahezu für jeden Verantwortlichen unmittelbarer Handlungsbedarf.

DIE SOGENANNTE TRANSFERFOLGENABSCHÄTZUNG

Die Verpflichtung zur Durchführung einer Transferfolgenabschätzung im Rahmen des Abschlusses von Standardvertragsklauseln ergibt sich aus Klausel 14. Darin heißt es unter anderem: „Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen [Standardvertrags-]Klauseln hindern.“ Hieraus ergibt sich ebenfalls die Verpflichtung, dass auch der Auftragsverarbeiter im Drittland den Verantwortlichen hierzulande bei der Durchführung der Transferfolgenabschätzung zu unterstützen hat.

Um eine Einschätzung entsprechend der Vorgaben vornehmen zu können, sieht Klausel 14 die Berücksichtigung bestimmter Aspekte als verpflichtend an. Hierzu gehören nach dem Wortlaut der Klausel:

– Die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

– die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

– alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Standardvertragsklauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Darüber hinaus empfehlen wir darzulegen, aus welchen zwingenden Gründen es einer solchen Übermittlung personenbezogener Daten beziehungsweise des Einsatzes des Dienstleisters in dem Drittland bedarf. In diesem Zusammenhang sollte gegebenenfalls auf fehlende gleichwertige Alternativen innerhalb der EU / des EWR verwiesen werden. Unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO sollte auch die Betrachtung und der Ausschluss derartiger Alternativen in die datenschutzrechtliche Dokumentation aufgenommen werden. Die Transferfolgenabschätzung ist auf Anfrage der Aufsichtsbehörde vorzulegen.

Die Durchführung einer Transferfolgenabschätzung ist grundsätzlich nicht an eine bestimmte Form gebunden, soweit eine Nachweisbarkeit der Durchführung möglich ist. In diesem Zusammenhang bietet es sich an, die Transferfolgenabschätzung als Anlage zum jeweiligen Verzeichnis der Verarbeitungstätigkeiten zu nehmen.

FAZIT

Der Beitrag zeigt auf, welche datenschutzrechtlichen Verpflichtungen aktuell mit Übermittlungen personenbezogener Daten in Drittländer im Zusammenhang stehen. Im Rahmen unseres neuen Leitfadens „Drittlandtransfer – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen“ geben wir einen thematischen Überblick und stellen Handlungsempfehlungen dar. Die weiteren Entwicklungen, insbesondere hinsichtlich eines Nachfolgeabkommens zwischen der EU und der USA, sind im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

MAI 2021

Am 25. Mai 2021 jährte sich der Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren der daran anschließende Zeitraum hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Die Einzelheiten können in unserem Beitrag nachgelesen werden.

Im Mai 2021 erfolgte zudem die Verabschiedung des Betriebsrätemodernisierungsgesetztes. Aus datenschutzrechtlicher Sicht lohnt hier insbesondere ein Blick auf die Neuregelung in § 79a Betriebsverfassungsgesetz (BetrVG). Der Gesetzgeber beabsichtigte zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret normiert wird, dass bei der Verarbeitung personenbezogener Daten der Betriebsrat die Vorschriften über den Datenschutz einzuhalten hat. So weit, so gut. In Satz 2 heißt es weiter: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ In Satz 3 wird schließlich noch hinzugefügt: „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ Letztlich lässt sich festhalten, dass der Gesetzgeber für eine klarstellende Regelung gesorgt hat. Nicht mehr und nicht weniger. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Darüber hinaus ergeben sich jedoch zahlreiche praxisrelevante Fragestellungen. Dies betrifft insbesondere die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, Verarbeitungen von personenbezogenen Daten betreffende Tätigkeiten des Betriebsrates, die Bearbeitung von Betroffenenanfragen im Sinne des Kapitel III der DS-GVO sowie die Behandlung von und den Umgang mit Datenschutzverletzungen. In allen vorgenannten Punkten ist auch vor dem Hintergrund der Rechenschaftspflicht des Arbeitgebers als verantwortlicher Stelle im Sinne des Art. 4 Nr. 7 DS-GVO in der Praxis eine enge Zusammenarbeit zwischen Mitarbeitervertretung und Arbeitgeber erforderlich.

JUNI 2021

Im Juni 2021 überschlugen sich die Ereignisse aus datenschutzrechtlicher Sicht beinahe. Den Anfang machte die Europäische Kommission am 4. Juni 2021 mit der Veröffentlichung der neuen Standardvertragsklauseln (SCC) zur Absicherung für die Übermittlung personenbezogener Daten an Drittländer. Seit dem 27. Juni 2021 können die SDK nun auch angewendet werden. Ziel der SCC ist die Erreichung von mehr Sicherheit bei der Übermittlung personenbezogener Daten an Drittländer – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Nach dem „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Bis Dezember 2022 sind in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen. Weitere Informationen gibt es in unserem Beitrag.

Es folgt der Bundesgerichtshof (BGH) mit seinem Urteil vom 15. Juni 2021 (Az.: VI ZR 576/19) zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DS-GVO. Der BGH geht im Einklang mit der Rechtsprechung des EuGH von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches dergestalt zu, dass nur „signifikante biografische Informationen“ betroffen sind. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt seien.

JULI 2021

Mit einem Beschluss vom 20. Juli 2021 (Az.: 1 UF 74/21) hat das OLG Düsseldorf entschieden, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist. Der Entscheidung lag der Sachverhalt zu Grunde, es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die Kinder leben bei der Mutter und haben mit dem Vater regelmäßig Umgang. Die Lebensgefährtin des Vaters betreibt einen Friseursalon und nahm zu Werbezwecken Fotos der Kinder auf uns veröffentlichte diese in ihrem Facebook-Account und bei Instagram. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Vielmehr stellte die Lebensgefährtin weitere Fotos der Kinder in ihre Social-Media-Accounts ein. Die Mutter ging hiergegen mit Erfolg gerichtlich vor. Das OLG Düsseldorf führt daraufhin u.a. aus, dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“ Dementsprechend komme es grundsätzlich auch nicht darauf an, ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. Weitere Details können unserem Beitrag zum Thema entnommen werden.

AUGUST 2021

Je weiter der Sommer voranschritt desto häufiger trat in der Rechtswelt wieder die Corona-Pandemie auf den Plan. Umstände, die man in der warmen Jahreszweit versuchte auszublenden, hielten langsam wieder Einzug in betriebliche und behördliche Praxis. Den Anfang machten Fragen um die Verarbeitung personenbezogener Daten im Rahmen von Testnachweisen, die Verarbeitung von Gesundheitsdaten der Beschäftigten sowie Datenverarbeitung bei der Kontaktnachverfolgung. Die einzelnen Themen haben wir bereits in einem unserer Beiträge näher beleuchtet. Wie sich an späterer Stelle noch zeigen wird, waren dies zunächst die ersten leichten Diskussionen rund um Datenverarbeitungen den Immunisierungs- und Teststaus betreffend.

Darüber hinaus wurde durch eine Pressemitteilung vom 16. August 2021 bekannt, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt hat, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden: „Dies verstößt gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht kein ausreichender Schutz für solche Daten. Die Senatskanzlei – als die für Digitalisierungsfragen in der FHH federführend zuständige Behörde –hat den HmbBfDI zwar frühzeitig über entsprechende Pläne informiert, war in der Folge aber nicht bereit, auf dessen wiederholt vorgetragene Bedenken einzugehen. Auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 führte nicht zu einem Umdenken. Es wurden dem HmbBfDI weder innerhalb der gesetzten Frist noch danach Unterlagen vorgelegt oder Argumente mitgeteilt, die eine andere rechtliche Bewertung zuließen. Die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO ist daher ein folgerichtiger Schritt.“

In der nächsten Woche folgt nun der Rückblick auf die Monate September bis Dezember 2021. In dem letzten Beitrag unseres Jahresrückblickreihe widmen wir uns dann den Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten und der im Dezember 2021 aufgetretenen Log4j-Sicherheitslücke sowie einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS SIND STANDARDVERTRAGSKLAUSELN?

Im Falle einer Übermittlung personenbezogener Daten an ein datenschutzrechtliches Drittland – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) – oder an internationale Organisationen, richtet sich die Rechtmäßigkeit der Verarbeitung neben den allgemeinen Grundsätzen ebenfalls nach den besonderen Bestimmungen des Kapitel V der Datenschutz-Grundverordnung (DS-GVO). Die Übermittlung kann nach diesem Kapitel unter anderem dann zulässig sein, sofern geeignete Garantien nach Art. 46 DS-GVO vorliegen. Hierzu gehören gemäß Art. 46 Abs. 2 lit. c DS-GVO die sogenannten Standarddatenschutzklauseln, auch Standardvertragsklauseln genannt. Diese werden in einem Prüfverfahren durch die Europäische Kommission erlassen.

Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Als gängiges Beispiel ist hierbei die Gewährleistung der Verschlüsselung personenbezogener Daten zu nennen.

In der Praxis stieß die Anforderung an weitere geeignete Garantien auf allgemeine Verunsicherung, solche lassen sich nur sehr schwer oder kaum umsetzen. Zu Teilen ist gänzlich unklar, ob und wie ein rechtskonformer Einsatz von entsprechenden Dienstleistern erfolgen kann. Doch die neuen Standardvertragsklauseln sollen  genau an diesem Punkt ansetzen, sodass ein „höchstmögliches Niveau an Rechtssicherheit“ erreicht werden kann.

WAS BEINHALTEN DIE NEUEN STANDARDVERTRAGKLAUSELN?

Mit Veröffentlichung der neuen Standardvertragsklauseln durch die Europäische Kommission, treten diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914 der Kommission). Neben den Standardvertragsklauseln für Datenübermittlungen an Drittländer wurde ebenfalls eine Version für Datenübermittlungen innerhalb der EU und des EWR bereitgestellt. Die Nutzung dieser bietet sich beispielsweise an, wenn sowohl Verantwortlicher als auch Auftragsverarbeiter auf den Abschluss eines „neutralen“ Vertrages zur Auftragsverarbeitung bestehen (vgl. Erwägungsgrund 81 Satz 4 zur DS-GVO).

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils des EuGH gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation hinsichtlich der beteiligten Akteure, der Art und Sensibilität der zu verarbeitenden personenbezogenen Daten, der jeweiligen rechtlichen Rahmenbedingungen im Drittland sowie die diesbezüglich getroffenen vertraglichen, technischen oder organisatorischen Garantien, vorzunehmen. Zu letztgenannten Punkt sind die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu „Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus von personenbezogenen Daten“ vom 10. November 2020 lesenswert. Derartige Garantien müssen grundsätzlich geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den bzw. die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.  

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können.

WIE KANN EINE UMSETZUNG ERFOLGEN?

Im Rahmen von neuen Vertragsschlüssen dürfen die bisherigen Standardvertragsklauseln nur noch bis September 2021 verwendet werden (vgl. Art. 4 Abs. 2, 3 des Durchführungsbeschluss 2021/914 der Kommission). Bis Dezember 2022 sind darüber hinaus in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen (vgl. Art. 4 Abs. 4 des Durchführungsbeschluss 2021/914 der Kommission). Für verantwortliche Stellen ergibt sich somit eine maximale Umsetzungsfrist von 18 Monaten. Hierbei empfehlen wir folgendes Vorgehen:

– Evaluierung eingesetzter Dienstleister mit Bezug zu einem Drittland. Dieser kann bereits dann gegeben sein, wenn es sich bei dem Dienstleister um ein Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens handelt;

– Durchführung einer Risikoabschätzung für den jeweiligen Einzelfall unter Beachtung der oben aufgeführten Kriterien. Fällt diese positiv aus, kann ein Abschluss der neuen Standardvertragsklauseln erfolgen;

– Auswahl der erforderlichen Module sowie gegebenenfalls Ergänzung von vertraglichen Regelungen und Zusendung der Standardvertragsklauseln an den Dienstleister im Drittland zur Unterzeichnung.

ÜBERPRÜFUNG DURCH AUFSICHTSBEHÖRDEN

Auch wenn den verantwortlichen Stellen eine Übergangsfrist von 18 Monaten gewährt wird, empfiehlt sich die zeitnahe Anwendung der neuen Standardvertragsklauseln unter Durchführung des dargestellten Verfahrens. Eine Vielzahl datenschutzrechtlicher Aufsichtsbehörden überprüfen derzeit bundesländerübergreifend bei verantwortlichen Stellen die Gewährleistung einer rechtskonformen Übermittlung personenbezogener Daten in Drittländer. Hierbei werden insbesondere die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil sowie hinsichtlich der oben genannten empfohlenen Maßnahmen des EDSA überprüft.

FAZIT

Zusammenfassend lässt sich festhalten, dass die neuen Standardvertragsklauseln das in den letzten Monaten bereits etablierte Vorgehen im Zusammenhang mit einem Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern aufgreift und in einen (zunächst) rechtssicheren Rahmen packt. Der bisherige Aufwand wird hierdurch jedoch keinesfalls reduziert, die Verpflichtung zur Erstellung einer umfangreichen Dokumentation verbleibt. Unklar bleibt jedoch, für welchen Zeitraum die neuen Standardvertragsklauseln tatsächlich Rechtssicherheit bringen. Die Organisation noyb des Gründers Max Schrems äußerte sich hierzu bereits teilweise kritisch.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.

RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
– Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
– genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.

DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.

UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“

FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 

WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  

WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 

FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.

WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).

WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.