Takea­ways (AI):
  • EDSA gibt Emp­feh­lun­gen für Daten­ex­por­teu­re zur Daten­schutz­kon­for­mi­tät nach dem Schrems II-Urteil.
  • Behör­den­zu­grif­fe müs­sen bei Daten­über­mitt­lun­gen in Dritt­staa­ten ein­ge­hend beur­teilt wer­den, um DSGVO-Stan­dards zu wahren.
  • Zusätz­li­che Schutz­mass­nah­men sind erfor­der­lich, um per­so­nen­be­zo­ge­ne Daten aus­rei­chend zu schüt­zen und Com­pli­ance zu gewährleisten.

Wie bereits ange­kün­digt, hat der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) mit Datum vom 10. Novem­ber 2020 wei­ter­füh­ren­de Emp­feh­lun­gen ver­öf­fent­licht, wie Daten­ex­por­teu­re, die Per­so­nen­da­ten auch künf­tig in Dritt­staa­ten ausser­halb des EWR (Dritt­staa­ten) über­mit­teln wol­len, nach dem Schrems II-Urteil vor­ge­hen sol­len (Recom­men­da­ti­ons 01/2020 on mea­su­res that sup­ple­ment trans­fer tools to ensu­re com­pli­ance with the EU level of pro­tec­tion of per­so­nal data).

Im Schrems II-Urteil hat der Euro­päi­sche Gerichts­ho­fes (EuGH) bekannt­lich fest­ge­stellt, dass der EU-US Pri­va­cy Shield hin­fäl­lig ist, dass die Daten­über­mitt­lung in einen Dritt­staat wei­ter­hin auf Grund­la­ge der Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses, SCC) mög­lich bleibt, dass aber ggfs. zusätz­li­che Schutz­mass­nah­men erfor­der­lich sind. Die­se hat er nun in den publi­zier­ten Emp­feh­lun­gen konkretisiert.

Vor die­sem Hin­ter­grund emp­fiehlt der EDSA ein sechs­stu­fi­ges Vorgehen:

  • Know your trans­fers“: Bestim­mung der betrof­fe­nen Datenübermittlungen;
  • Veri­fy the trans­fer tool your trans­fer reli­es on: Bestim­mung der Garan­tien, auf wel­cher die betrof­fe­nen Daten­über­mitt­lun­gen erfolgen;
  • Assess the law or prac­ti­ce of the third coun­try”: Prü­fung der aus­län­di­schen recht­li­chen Bestim­mun­gen und behörd­li­chen Pra­xis, wel­che die Ein­hal­tung der Garan­tien gefähr­den kön­nen (z.B. umfas­sen­de und unver­hält­nis­mä­ssi­ge Zugrif­fe auf Per­so­nen­da­ten durch loka­le Behörden);
  • Iden­ti­fy and adopt sup­ple­men­tal mea­su­res”: Ermitt­lung der zusätz­li­chen Mass­nah­men, die erfor­der­lich sind, die Vor­ga­ben der DSGVO bei der Daten­über­mitt­lung einzuhalten;
  • Take any for­mal pro­ce­du­re steps”: Umset­zung der zusätz­li­chen Mass­nah­men, ggfs. unter Kon­sul­ta­ti­on der zustän­di­gen Auf­sichts­be­hör­den (z.B. Prü­fung, ob die imple­men­tier­ten Ver­schlüs­se­lungs­tech­ni­ken den Anfor­de­run­gen an eine siche­re Über­mitt­lung standhalten);
  • Re-eva­lua­te your data trans­fer at appro­pria­te inter­vals”: Regel­mä­ssi­ge Prü­fung, ob die getrof­fe­nen Mass­nah­men den Anfor­de­run­gen wei­ter­hin genügen.

Im Vor­der­grund steht dabei eine Prü­fung der aus­län­di­schen Rechts­ord­nung (Schritt 3) sowie der dar­auf gestützt zu imple­men­tie­ren­den Mass­nah­men (Schritt 4).

Der EDSA führt im Annex 2 anhand ver­schie­de­ner Sze­na­ri­en (Use Cases) sodann bei­spiel­haft mög­li­che Schutz­mass­nah­men auf, die eine DSGVO-kon­for­me Daten­über­mitt­lung nebst der getrof­fe­nen Garan­tie gemäss Art. 46 DSGVO zusätz­lich sicher­stel­len kön­nen (Kon­kre­ti­sie­rung von Schritt 4 oben; wobei sich dabei auch Hin­wei­se auf US-Recht (Schritt 3) finden.

Der EDSA nennt ins­be­son­de­re die fol­gen­den Mass­nah­men, die er teil­wei­se wei­ter ausführt:

  • Tech­ni­sche Mass­nah­men, die aller­dings nicht unbe­dingt aus­rei­chen, bspw. dann nicht, wenn ein Cloud­pro­vi­der in oder aus einem Staat mit über­schie­ssen­den Zugriffs­mög­lich­kei­ten auf Klar­da­ten zugrei­fen muss oder wenn ein aus­län­di­sches Kon­zern­un­ter­neh­men für gemein­sa­me Geschäfts­zwecke Klar­da­ten benö­tigt. Bei­spie­le sol­cher Mass­nah­men sind: 
    • robu­ste und kor­rekt imple­men­tier­te sta­te-of-the-art-Ver­schlüs­se­lung, bspw.
      • von Daten vor ihrer Über­mitt­lung an einen aus­län­di­schen Hosting­pro­vi­der, wobei der EDSA zu ver­lan­gen scheint, dass der Schlüs­sel vom Kun­den oder einem im EWR bzw. einem Staat mit ange­mes­se­nem Schutz ver­wal­tet wird;
      • von Daten auf dem Trans­port­weg (ggf. in Kom­bi­na­ti­on mit einer end-to-end-Ver­schlüs­se­lung der Daten), wenn sie durch ein Dritt­land ledig­lich durch­ge­lei­tet werden;
    • Pseud­ony­mi­sie­rung der Daten vor ihrer Über­mitt­lung (z.B. für For­schungs­zwecke), sofern für die Re-Iden­ti­fi­zie­rung aus­rei­chen­de Infor­ma­tio­nen aus­schliess­lich dem Expor­teur – und nicht auch etwa aus­län­di­schen Behör­den – zur Ver­fü­gung ste­hen, in einem EWR-Staat oder einem Staat mit ange­mes­se­nem Schutz­ni­veau auf­be­wahrt wer­den und durch aus­rei­chen­de Mass­nah­men geschützt sind.
  • Ver­trag­li­che Mass­nah­men, die etwa auf Fol­gen­des abzie­len und die jeweils davon abhän­gig sind, dass das loka­le Recht die Erfül­lung die­ser Pflich­ten nicht verhindert: 
    • die Pflicht, beson­de­re tech­ni­sche Mass­nah­men zu treffen;
    • Infor­ma­ti­ons­pflicht des Impor­teurs im Fall von Behör­den­zu­grif­fen (die aller­dings dem Risi­ko nicht begeg­nen kön­nen, sofern das loka­le Recht die “Euro­pean Essen­ti­al Gua­ran­tees” einhält);
    • Zusi­che­run­gen des Impor­teurs, z.B. dass er kei­ne Back­doors ein­ge­baut hat, dass er den Zugriff auf Per­so­nen­da­ten nicht erleich­tert hat oder dass sein loka­les Recht nicht ver­langt, Back­doors ein­zu­bau­en oder auf ande­re Wei­se Zugang zu Per­so­nen­da­ten zu gewäh­ren (z.B. durch Her­aus­ga­be eines Schlüssels);
    • erwei­ter­te Prüf­rech­te des Epor­teurs (Audit);
    • die Pflicht, über Behör­den­zu­grif­fe zu infor­mie­ren bzw. dass bis zu einem bestimm­ten Zeit­punkt kei­ne Zugrif­fe erfolgt sind (“War­rant Cana­ry”);
    • Pflich­ten des Impor­teurs zu bestimm­ten Hand­lun­gen, z.B. den Rechts­weg gegen Her­aus­ga­be­be­feh­le aus­zu­schöp­fen, die anfra­gen­de Behör­de über die Schran­ken nach der DSGVO hin­zu­wei­sen und den Impor­teur über Zugrif­fe zu informieren;
    • Mass­nah­men zum Schutz der Betrof­fe­nen, z.B. den Vor­be­halt, dass ein Klar­da­ten­zu­griff z.B. in War­tungs­fäl­len nur mit der Ein­wil­li­gung des Betrof­fe­nen zuläs­sig ist; die Pflicht, die Betrof­fe­nen über Behör­den­zu­grif­fe zu infor­mie­ren; den Betrof­fe­nen bei der Gel­tend­ma­chung sei­ner Rech­te zu unterstützen.
  • Orga­ni­sa­to­ri­sche Mass­nah­men: z.B. Imple­men­tie­rung von Poli­ci­es, Pro­zes­sen und Stan­dards des Daten­ex­por­teurs, die auch der Daten­im­por­teur ein­zu­hal­ten hat, etwa wie folgt: 
    • Kon­zern­in­ter­ne Poli­ci­es mit Bezug auf grenz­über­schrei­ten­de Übermittlungen;
    • Doku­men­ta­ti­on der Zugrif­fe bzw. Anfra­gen durch den Impor­teur und ent­spre­chen­de Infor­ma­ti­on des Expor­teurs (und auf Anfra­ge auch der Betroffenen);
    • regel­mä­ssi­ge Ver­öf­fent­li­chung von Trans­pa­ren­cy Reports;
    • Ver­stär­kung bestehen­der Mass­nah­men zur Datenminimierung;
    • Pro­zes­se zum Ein­be­zug des Daten­schutz­be­auf­trag­ten, der Rechts­ab­tei­lung und der inter­nen Revi­son, falls vorhanden;
    • Anwen­dung strik­ter Daten­si­cher­heits- und Daten­schutz­stan­dards (z.B. ISO-Normen);
    • Ver­ab­schie­dung und regel­mä­ssi­ge Prü­fung inter­ner Richt­li­ni­en zur Beur­tei­lung der Eig­nung der Maßnahmen.

Die Anfor­de­run­gen an die zusätz­li­chen Garan­tien sind mit ande­ren Wor­ten hoch. Vor allem aber bleibt offen, wel­che Mass­nah­men bzw. wel­che Kom­bi­na­tio­nen von Mass­nah­men unter wel­chen Umstän­den aus­rei­chen­den Schutz bie­ten kön­nen. Damit hel­fen die Emp­feh­lun­gen des EDSA der Pra­xis kaum weiter.

AI-generierte Takeaways können falsch sein.