IT-Recht und Datenschutz26.11.2020 Newsletter
Neue Guidelines und EU-Standardvertragsklauseln für Datentransfers in Drittländer
Datentransfers in Drittländer außerhalb der EU wurden durch die Schrems II-Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 deutlich erschwert. Während das EU-US Privacy Shield für nichtig erklärt wurde, haben u. a. die EU-Standardvertragsklauseln weiter Bestand, müssen in bestimmten Fällen aber durch zusätzliche Schutzmaßnahmen ergänzt werden. (Hier finden Sie unseren Newsletter vom 16. Juli 2020.)
Der Europäische Datenschutzausschuss, das zentrale Gremium der Aufsichtsbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten (EDSA), hat nun einen Entwurf für ein Empfehlungspapier zu den Voraussetzungen für Datentransfers in Drittländer veröffentlicht (siehe Ziffer 2).
Nahezu zeitgleich hat die EU-Kommission einen Vorschlag für die Neufassung der EU-Standardvertragsklauseln vorgelegt (siehe Ziffer 3).
1. Zusammenfassung der Neuerungen
1.1 Die neuen Guidelines des EDSA lassen sich im Wesentlichen wie folgt zusammenfassen:
Zur Überprüfung der Zulässigkeit von Datentransfers in Drittländer empfiehlt der EDSA die Prüfung von sechs Schritten (siehe Ziffer 2.3).
Der EDSA macht deutlich, dass der Datenexporteur eingehend prüfen muss, ob in dem jeweiligen Drittland Regelugen existieren, die Behörden einen übermäßigen Datenzugriff erlauben (siehe Ziffer 2.4).
Ist dies der Fall, müssten zusätzliche Schutzmaßnahmen getroffen werden. In Betracht kämen hier technische, vertragliche und organisatorische Maßnahmen, wobei letzteren eher eine ergänzende Funktion zukomme (siehe Ziffer 2.5).
In einem Annex der Guidelines stellt der EDSA beispielhaft sieben „Use Cases“ vor. Aus den Ausführungen zu diesen Use Cases ergibt sich, dass der EDSA als technische Schutzmaßnahmen in der Regel eine Verschlüsselung, Pseudonymisierung oder Verteilung der Daten fordert, bevor sie in das Drittland übermittelt werden (siehe Ziffer 2.6).
Der Annex der Guidelines enthält als weitere Schutzmaßnahme zusätzliche Mustervertragsklauseln, die insbesondere sehr weitgehende Informationspflichten des Empfängers über mögliche Behördenzugriffe vorsehen (siehe Ziffer 2.7).
Insgesamt lässt sich aus den Guidelines eine äußerst strikte Haltung des EDSA ablesen, die es Unternehmen in Zukunft insbesondere schwermachen wird, Daten in die USA zu übermitteln (siehe Ziffer 2.8).
1.2 Der Vorschlag einer Neufassung der EU-Standardvertragsklauseln enthält im Wesentlichen folgende Neuerungen:
Neben einer nunmehr modularen Funktionsweise sieht die Neufassung eine deutliche Ausweitung der Anwendungsfälle vor (siehe Ziffern 3.1, 3.2).
Während einige Klauseln sich an der alten Fassung orientieren, sind auch neue Klauseln vorgesehen (siehe Ziffer 3.3).
Der Vorschlag enthält mehrere Klauseln, die explizit der Umsetzung der Schrems-II-Entscheidung dienen. Insbesondere sind Prüfungs- und Dokumentierungspflichten zur Rechtslage und Zugriffsbefugnissen von Behörden im Drittland vorgesehen (siehe Ziffer 3.4).
2. Guidelines zu zusätzlichen Schutzmaßnahmen
Der EDSA hat einen Entwurf für das Empfehlungspapier 1/2020 vom 11. November 2020 zu den Voraussetzungen für Datentransfers in Drittländer veröffentlicht („Guidelines“). Während die Guidelines teilweise für ein höheres Maß an Rechtssicherheit sorgen, bleiben entscheidende Fragen – gerade für die praktisch relevanten Datentransfers in die USA – offen.
2.1 Die Vorgaben des EuGH
Sofern nicht die Angemessenheit eines Drittlands durch einen Beschluss der EU Kommission festgestellt ist, muss bei jeder Datenübermittlung im Einzelfall geprüft werden, ob das Schutzniveau im Empfängerland ausreichend ist und insbesondere einen äquivalenten Rechtsschutz gegen Zugriffe auf Daten durch Sicherheitsbehörden etc. gewährleistet. Die EU-Standardvertragsklauseln als gängigstes Instrument vermögen dies alleine nicht, weil sie nur zwischen den Parteien gelten, nicht jedoch Behörden binden können. Soweit die Rechte der betroffenen Personen auf Basis von Standarddatenschutzklauseln (oder eines anderen Transferwerkzeugs) nicht ausreichend gewahrt werden könnten, forderte der EuGH die Umsetzung „ergänzender Maßnahmen“, die nun Gegenstand der Guidelines sind.
2.2 Vorangegangene Empfehlungen
Zur ersten Orientierung veröffentlichte der EDSA am 24.07.2020 FAQ, welche die Guidelines nun ausführen. Ebenfalls am 11. November 2020 veröffentlichte der EDSA das Empfehlungspapier 2/2020 zu essentiellen Europäischen Garantien für Überwachungsmaßnahmen.
Von den deutschen Datenschutzbehörden waren die Empfehlungen des LDI Baden-Württemberg vom 25.08.2020 besonders detailliert (diese finden sich weitgehend in den Guidelines wieder).
2.3 Das Prüfungsschema nach den Guidelines
Der EDSA empfiehlt für die Prüfung von Datentransfers folgende sechs Schritte:
- Feststellung der Datentransfers in Drittländer („Know your transfers“)
- Identifikation der jeweils verwendeten Transferwerkzeuge (z.B. Angemessenheitsbeschluss der EU, EU Standardvertragsklauseln, Binding Corporate Rules)
- Beurteilung der Wirksamkeit der Transferwerkzeuge und rechtlicher Risiken auf Einzelfallbasis
- Ggfs. Identifizierung angemessener ergänzender Maßnahmen
- Implementierung ergänzender Maßnahmen
- Regelmäßige Evaluierung von Änderungen und Wirksamkeit der Maßnahmen bzw. die Pflicht zur Meldung an Aufsichtsbehörden, wenn keine Schutzmaßnahmen möglich sind
2.4 Prüfung der Risiken des Transfers (Schritt 3)
Der EDSA fordert vom Datenexporteur in Zusammenarbeit mit dem Datenempfänger die rechtlichen Rahmenbedingungen in dem jeweiligen Drittland daraufhin zu untersuchen. Insbesondere sind Gesetze relevant, die es ausländischen Behörden erlauben ohne hinreichend konkretisierte Voraussetzungen und Rechtsbehelfe auf die personenbezogenen Daten zuzugreifen. Der EuGH hat bei Datenübermittlungen in die USA die Regelungen der Sec. 702 FISA oder Executive Order 12333 als nicht vereinbar angesehen. Der EDSA betont, dass bei der Analyse der rechtlichen Rahmenbedingungen der Kontext des jeweiligen Datentransfers zu berücksichtigen sei. Insbesondere seien die Kategorien personenbezogener Daten, die Zwecke der Übermittlung und die Möglichkeit der Übermittlung in weitere Drittländer zu berücksichtigen.
2.5 Zusätzliche Schutzmaßnahmen (Schritt 4)
Nach dem EDSA kommen prinzipiell vertragliche, organisatorische und technische Schutzmaßnahmen in Betracht. Nach Ansicht des EDSA sind aber vertragliche undorganisatorische Maßnahmen alleine grundsätzlich nicht geeignet, den Zugriff durch Behörden des jeweiligen Drittstaats zu verhindern. Insoweit seien technische Maßnahmen erforderlich, vertraglichen und organisatorischen Maßnahmen komme eher eine ergänzende Funktion zu. Bei der Wahl der konkreten Maßnahmen sei wiederum die Begleitumstände wie das Format der Daten und die Komplexität der Verarbeitungskette (insbes. die Zahl der involvierten Parteien) zu berücksichtigen.
2.6 Die geprüften Use Cases
In Annex 2 der Guidelines stellt der EDSA beispielhaft sieben „Use Cases“ vor:
- Beim Use Case 1 („Datenspeicherung für Backup- und andere Zwecke, die keinen Zugriff auf unverschlüsselte Daten erfordern“) und Use Case 3 (Durchleitung bzw. Zwischenspeicherung von Daten) fordert der EDSA eine „starke Verschlüsselung“ beim Transport und während der Speicherung. Die Schlüssel für den Zugriff müssen im Europäischen Wirtschaftsraum oder einem Drittland mit angemessenem Datenschutzniveau gespeichert werden.
- Beim Use Case 2 (Übermittlung für „Analysezwecke“, z. B. zu Forschungszwecken) können Daten ohne Verschlüsselung übermittelt werden, wenn die Daten vor der Übermittlung in der Weise pseudonymisiert werden, dass der Datenimporteur ohne zusätzliche Informationen keine einzelnen Personen identifizieren kann. Beim Use Case 5 (Verteilte Verarbeitung) wird ein ähnlicher Effekt dadurch erzielt, dass jede verarbeitenden Stelle nur Teile der Daten erhält, aber nicht alle notwendigen Informationen zu Identifizierung einzelner Personen.
- Beim Use Case 4 (Übermittlung an Rechtsanwälte oder Ärzte) ergibt sich ein vermindertes Risiko für die Rechte der betroffenen Personen, wenn die Empfänger nach der Rechtordnung des Drittstaates aufgrund besonderer Regelungen nicht verpflichtet sind, die Daten an öffentliche Stellen herauszugeben.
- Beim Use Case 6 (Cloud Computing) geht der EDSA davon aus, dass eine Verschlüsselung nicht möglich ist, wenn der Anbieter die Daten für den Kunden verarbeiten muss. Die dann ggfs. noch mögliche Verschlüsselung durch den Anbieter hält der EDSA für nicht ausreichend, sodass in dieser Fallgruppe keine ausreichenden Schutzmaßnahmen ersichtlich sind.
- Beim Use Case 7 (Konzerninterne Datentransfers) hält der EDSA ebenfalls mögliche Schutzmaßnahmen für nicht ausreichend, sofern aufgrund der konzerninternen Aufgabenverteilung unumgänglich ist, dass Mitarbeiter von Konzernunternehmen in Drittländern unverschlüsselten Zugriff auf die Daten benötigen. Auch für diese Fallgruppe sieht der EDSA keine naheliegende Lösungsmöglichkeit.
2.7 Zusätzliche Vertragsklauseln
Annex 2 der Guidelines enthält außerdem noch beispielhafte zusätzliche Vertragsklauseln, die zu den EU-Standardvertragsklauseln ergänzt werden können (selbst wenn sie alleine keinen ausreichenden Schutz bieten). Die Klauseln umfassen insbesondere sehr weitgehende Informationspflichten des Empfängers über mögliche Behördenzugriffe und umgekehrt Auditrechte, Pflichten zur Anfechtung von behördlichen Informationsanfragen soweit möglich, erweiterte Rechte für betroffene Personen sowie vertragliche Pflichten zur Umsetzung der zusätzlichen Schutzmaßnahmen. Entsprechende Regelungen werden auch für Richtlinien zum konzerninternen Datenaustausch vorgeschlagen.
2.8 Fazit
Die Empfehlungen des EDSA bringen ein wenig Licht in die drängendsten Fragen im Nachgang zur Schrems-II-Entscheidung. Gerade im Hinblick auf die so entscheidenden ergänzenden technischen Maßnahmen lässt sich aber eine äußerst strikte und wenig praxisgerechte Haltung des EDSA ablesen. Diese wird es Unternehmen weiterhin äußerst schwermachen, Daten in Drittländer zu übermitteln. Gerade von führenden US-Technologiekonzernen angebotene und weitverbreitete Cloud-Lösungen erfordern regelmäßig eine Übermittlung von „Klardaten“.
3. Neufassung der EU-Standardvertragsklauseln
Die EU-Standardvertragsklauseln für den Datenschutz der EU-Kommission sind ein Instrument nach Art. 46 Abs. 1 Nr. 2c DSGVO, um zwischen dem Übermittler personenbezogener Daten und dem Empfänger in einem Drittland ein angemessenes Datenschutzniveau sicherzustellen. Insbesondere nach dem EuGH-Urteil (Schrems II), mit dem das EU-US Privacy Shield für ungültig erklärt wurde, ist die Bedeutung der Standardvertragsklauseln für die Praxis noch gewachsen.
Die EU-Kommission hat jetzt am 12.11.2020 einen Vorschlag für eine Neufassung der EU-Standardvertragsklauseln veröffentlicht. Dieser soll sowohl bereits lange bekannte Defizite beheben, als auch den neuen Anforderungen des EuGH Rechnung tragen.
3.1 Modulare Funktionsweise
Bisher gab es drei verschiedene Fassungen der Standardvertragsklauseln (zwei für Übermittlungen an Verantwortliche, eines für Übermittlungen an Auftragsverarbeiter). Nunmehr soll es ein einheitliches Vertragsset mit verschiedenen Modulen für verschiedene Übermittlungsvarianten geben. Die Funktionsweise und der Aufbau werden jedoch gleichbleiben, d.h. geplant sind feste Vertragsklauseln, die ohne Genehmigung der Aufsichtsbehörden nicht geändert werden dürfen und in den Anhängen. Variable Angaben sind in den Anhängen verpflichtend zu ergänzen.
3.2 (Neue) Anwendungsfälle
Die Anwendungsfälle für die Standardvertragsklauseln werden deutlich ausgeweitet.
Bisher gab es Vertragsklauseln für die Übermittlung eines Verantwortlichen an einen anderen Verantwortlichen oder einen Auftragsverarbeiter. Neu sind folgende Fälle:
- Die Übermittlung von einem Auftragsverarbeiter in der EU an einen weiteren Auftragsverarbeiter im Drittland.
- Die Übermittlung von einem Auftragsverarbeiter in der EU an einen Verantwortlichen im Drittland.
- Die Nutzung auch durch Verantwortliche oder Auftragsverarbeiter im Drittland, die nach Art. 3 Abs. 2 DSGVO dem Anwendungsbereich der DSGVO unterfallen.
- Der Einsatz für mehrere Parteien jeweils als Übermittler oder Empfänger
3.3 Änderungen der Klauselinhalte
Grundsätzlich ähneln die Klauseln den bisherigen Standardverträgen. Neu sind:
- Sofern nicht ausdrücklich gesagt, entfalten alle Klauseln drittbegünstigende Wirkung für die betroffenen Personen (Umkehr des Regel-Ausnahmeverhältnisses).
- Im Falle der Übermittlung an Auftragsverarbeiter gilt (a) nach EG (9) der Entscheidung werden die Anforderungen des Art. 28 DSGVO durch die Standardvertragsklauseln erfüllt. Die Ansicht von deutschen Aufsichtsbehörden, dass man ggfs. zusätzliche Klauseln benötigt, sollte dann keinen weiteren Bestand haben. (b) Insbesondere für das Cloud Computing ist relevant, dass ein persönliches Prüfungsrecht durch den Auftraggeber nicht vollständig ausgeschlossen werden kann. (c) Die verschiedenen Klauseln für die Fallgruppe Auftragsverarbeiter in der EU und weitere Auftragsverarbeiter im Drittland definieren nicht ganz eindeutig, wer hier vorrangig den weiteren Auftragsverarbeiter steuert und instruiert.
- Für die Fallgruppe der Übermittlung eines Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland ist wohl vorgesehen, dass der Auftragsverarbeiter in der EU in bestimmten Fällen die Rechtmäßigkeit der Datenverarbeitung prüfen muss, was ihm ggfs. nicht ohne weiteres möglich ist.
- Insbesondere bei der Fallgruppe der Übermittlung von Verantwortlichen in der EU an einen Verantwortlichen im Drittland, muss der Datenimporteur im Wesentlichen die Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO beachten.
- Zwingend ist nunmehr eine Klausel über die Haftung und Freistellung untereinander aufzunehmen (das war bisher optional). Dabei ist unklar, ob noch Haftungsbeschränkungen vereinbart werden können. Denn dies ist nicht vorgesehen und könnte andernfalls eine genehmigungspflichtige Änderung darstellen.
- Der Vertrag muss dem Recht eines EU-Staats unterliegen und dieses Recht muss die Durchsetzbarkeit der drittbegünstigenden Klauseln gewährleisten (ansonsten ist ein anderes EU-Recht zu wählen).
- Der Annex über technisch-organisatorische Maßnahmen enthält jetzt eine Checkliste der zu regelnden Punkte.
3.4 Umsetzung des EuGH-Urteils (Schrems II)
Verschiedene Klauseln dienen der Umsetzung der Vorgaben des EuGH (Schrems II):
- Eine von den EU Datenschutzbehörden vorgegebene Prüfung der Rechtslage und den entsprechenden Risiken, insbesondere durch Zugriffsbefugnisse von Behörden im Drittland, ist verpflichtend vorzunehmen, zu dokumentieren und ggfs. den Aufsichtsbehörden vorzulegen.
- Der Vertrag enthält detaillierte Pflichten des Datenimporteurs, dem Datenexporteur Zugriffe seiner nationalen Behörden zu melden und ggfs. über Rechtsmittel zu bekämpfen.
- Schließlich muss sich der Datenimporteur den Entscheidungen der EU-Aufsichtsbehörden und EU-Gerichte unterwerfen. Dies wirft ggfs. Konflikte mit dem Territorialitätsgrundsatz im Empfängerstaat auf.
- Bei entsprechenden Problemen und Verstößen hat der Datenexporteur das Recht (und die Pflicht), die Datenverarbeitung auszusetzen und ggfs. zu kündigen. Verbunden ist dies wiederum mit einer Meldepflicht an die europäischen Aufsichtsbehörden.
3.5 Umsetzungszeitraum
Derzeit handelt es sich noch um einen Entwurf der EU-Kommission mit der Möglichkeit zur Stellungnahme im Rahmen der öffentlichen Konsultation. Beabsichtigt ist angeblich, die neuen Klauseln im Januar bzw. Februar 2021 zu verabschieden. Ab diesem Zeitpunkt müssen für sämtliche neuen Datentransfers oder Änderungen bestehender Transfers die neuen Standardvertragsklauseln eingesetzt werden. Bisher verabschiedete Vertragsklauseln verlieren ihre Gültigkeit und sind binnen eines Jahres durch die neuen Klauseln zu ersetzen.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994