- EDSA gibt Empfehlungen für Datenexporteure zur Datenschutzkonformität nach dem Schrems II-Urteil.
- Behördenzugriffe müssen bei Datenübermittlungen in Drittstaaten eingehend beurteilt werden, um DSGVO-Standards zu wahren.
- Zusätzliche Schutzmassnahmen sind erforderlich, um personenbezogene Daten ausreichend zu schützen und Compliance zu gewährleisten.
Wie bereits angekündigt, hat der Europäische Datenschutzausschuss (EDSA) mit Datum vom 10. November 2020 weiterführende Empfehlungen veröffentlicht, wie Datenexporteure, die Personendaten auch künftig in Drittstaaten ausserhalb des EWR (Drittstaaten) übermitteln wollen, nach dem Schrems II-Urteil vorgehen sollen (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data).
Im Schrems II-Urteil hat der Europäische Gerichtshofes (EuGH) bekanntlich festgestellt, dass der EU-US Privacy Shield hinfällig ist, dass die Datenübermittlung in einen Drittstaat weiterhin auf Grundlage der Standardvertragsklauseln (Standard Contractual Clauses, SCC) möglich bleibt, dass aber ggfs. zusätzliche Schutzmassnahmen erforderlich sind. Diese hat er nun in den publizierten Empfehlungen konkretisiert.
Vor diesem Hintergrund empfiehlt der EDSA ein sechsstufiges Vorgehen:
- „Know your transfers“: Bestimmung der betroffenen Datenübermittlungen;
- „Verify the transfer tool your transfer relies on“: Bestimmung der Garantien, auf welcher die betroffenen Datenübermittlungen erfolgen;
- „Assess the law or practice of the third country”: Prüfung der ausländischen rechtlichen Bestimmungen und behördlichen Praxis, welche die Einhaltung der Garantien gefährden können (z.B. umfassende und unverhältnismässige Zugriffe auf Personendaten durch lokale Behörden);
- „Identify and adopt supplemental measures”: Ermittlung der zusätzlichen Massnahmen, die erforderlich sind, die Vorgaben der DSGVO bei der Datenübermittlung einzuhalten;
- „Take any formal procedure steps”: Umsetzung der zusätzlichen Massnahmen, ggfs. unter Konsultation der zuständigen Aufsichtsbehörden (z.B. Prüfung, ob die implementierten Verschlüsselungstechniken den Anforderungen an eine sichere Übermittlung standhalten);
- „Re-evaluate your data transfer at appropriate intervals”: Regelmässige Prüfung, ob die getroffenen Massnahmen den Anforderungen weiterhin genügen.
Im Vordergrund steht dabei eine Prüfung der ausländischen Rechtsordnung (Schritt 3) sowie der darauf gestützt zu implementierenden Massnahmen (Schritt 4).
Der EDSA führt im Annex 2 anhand verschiedener Szenarien (Use Cases) sodann beispielhaft mögliche Schutzmassnahmen auf, die eine DSGVO-konforme Datenübermittlung nebst der getroffenen Garantie gemäss Art. 46 DSGVO zusätzlich sicherstellen können (Konkretisierung von Schritt 4 oben; wobei sich dabei auch Hinweise auf US-Recht (Schritt 3) finden.
Der EDSA nennt insbesondere die folgenden Massnahmen, die er teilweise weiter ausführt:
- Technische Massnahmen, die allerdings nicht unbedingt ausreichen, bspw. dann nicht, wenn ein Cloudprovider in oder aus einem Staat mit überschiessenden Zugriffsmöglichkeiten auf Klardaten zugreifen muss oder wenn ein ausländisches Konzernunternehmen für gemeinsame Geschäftszwecke Klardaten benötigt. Beispiele solcher Massnahmen sind:
- robuste und korrekt implementierte state-of-the-art-Verschlüsselung, bspw.
- von Daten vor ihrer Übermittlung an einen ausländischen Hostingprovider, wobei der EDSA zu verlangen scheint, dass der Schlüssel vom Kunden oder einem im EWR bzw. einem Staat mit angemessenem Schutz verwaltet wird;
- von Daten auf dem Transportweg (ggf. in Kombination mit einer end-to-end-Verschlüsselung der Daten), wenn sie durch ein Drittland lediglich durchgeleitet werden;
- Pseudonymisierung der Daten vor ihrer Übermittlung (z.B. für Forschungszwecke), sofern für die Re-Identifizierung ausreichende Informationen ausschliesslich dem Exporteur – und nicht auch etwa ausländischen Behörden – zur Verfügung stehen, in einem EWR-Staat oder einem Staat mit angemessenem Schutzniveau aufbewahrt werden und durch ausreichende Massnahmen geschützt sind.
- robuste und korrekt implementierte state-of-the-art-Verschlüsselung, bspw.
- Vertragliche Massnahmen, die etwa auf Folgendes abzielen und die jeweils davon abhängig sind, dass das lokale Recht die Erfüllung dieser Pflichten nicht verhindert:
- die Pflicht, besondere technische Massnahmen zu treffen;
- Informationspflicht des Importeurs im Fall von Behördenzugriffen (die allerdings dem Risiko nicht begegnen können, sofern das lokale Recht die “European Essential Guarantees” einhält);
- Zusicherungen des Importeurs, z.B. dass er keine Backdoors eingebaut hat, dass er den Zugriff auf Personendaten nicht erleichtert hat oder dass sein lokales Recht nicht verlangt, Backdoors einzubauen oder auf andere Weise Zugang zu Personendaten zu gewähren (z.B. durch Herausgabe eines Schlüssels);
- erweiterte Prüfrechte des Eporteurs (Audit);
- die Pflicht, über Behördenzugriffe zu informieren bzw. dass bis zu einem bestimmten Zeitpunkt keine Zugriffe erfolgt sind (“Warrant Canary”);
- Pflichten des Importeurs zu bestimmten Handlungen, z.B. den Rechtsweg gegen Herausgabebefehle auszuschöpfen, die anfragende Behörde über die Schranken nach der DSGVO hinzuweisen und den Importeur über Zugriffe zu informieren;
- Massnahmen zum Schutz der Betroffenen, z.B. den Vorbehalt, dass ein Klardatenzugriff z.B. in Wartungsfällen nur mit der Einwilligung des Betroffenen zulässig ist; die Pflicht, die Betroffenen über Behördenzugriffe zu informieren; den Betroffenen bei der Geltendmachung seiner Rechte zu unterstützen.
- Organisatorische Massnahmen: z.B. Implementierung von Policies, Prozessen und Standards des Datenexporteurs, die auch der Datenimporteur einzuhalten hat, etwa wie folgt:
- Konzerninterne Policies mit Bezug auf grenzüberschreitende Übermittlungen;
- Dokumentation der Zugriffe bzw. Anfragen durch den Importeur und entsprechende Information des Exporteurs (und auf Anfrage auch der Betroffenen);
- regelmässige Veröffentlichung von Transparency Reports;
- Verstärkung bestehender Massnahmen zur Datenminimierung;
- Prozesse zum Einbezug des Datenschutzbeauftragten, der Rechtsabteilung und der internen Revison, falls vorhanden;
- Anwendung strikter Datensicherheits- und Datenschutzstandards (z.B. ISO-Normen);
- Verabschiedung und regelmässige Prüfung interner Richtlinien zur Beurteilung der Eignung der Maßnahmen.
Die Anforderungen an die zusätzlichen Garantien sind mit anderen Worten hoch. Vor allem aber bleibt offen, welche Massnahmen bzw. welche Kombinationen von Massnahmen unter welchen Umständen ausreichenden Schutz bieten können. Damit helfen die Empfehlungen des EDSA der Praxis kaum weiter.