EDSA ver­öf­fent­licht Leit­li­ni­en für Daten­über­mitt­lun­gen nach Schrems II

Wie bereits ange­kün­digt, hat der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) mit Datum vom 10. Novem­ber 2020 wei­ter­füh­ren­de Emp­feh­lun­gen ver­öf­fent­licht, wie Daten­ex­por­teu­re, die Per­so­nen­da­ten auch künf­tig in Dritt­staa­ten ausser­halb des EWR (Dritt­staa­ten) über­mit­teln wol­len, nach dem Schrems II-Urteil vor­ge­hen sol­len (Recom­men­da­ti­ons 01/2020 on mea­su­res that sup­ple­ment trans­fer tools to ensu­re com­pli­an­ce with the EU level of pro­tec­tion of per­so­nal data).

Im Schrems II-Urteil hat der Euro­päi­sche Gerichts­ho­fes (EuGH) bekannt­lich fest­ge­stellt, dass der EU-US Pri­va­cy Shield hin­fäl­lig ist, dass die Daten­über­mitt­lung in einen Dritt­staat wei­ter­hin auf Grund­la­ge der Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses, SCC) mög­lich bleibt, dass aber ggfs. zusätz­li­che Schutz­mass­nah­men erfor­der­lich sind. Die­se hat er nun in den publi­zier­ten Emp­feh­lun­gen kon­kre­ti­siert.

Vor die­sem Hin­ter­grund emp­fiehlt der EDSA ein sechs­stu­fi­ges Vor­ge­hen:

  • Know your trans­fers“: Bestim­mung der betrof­fe­nen Daten­über­mitt­lun­gen;
  • Veri­fy the trans­fer tool your trans­fer reli­es on: Bestim­mung der Garan­tien, auf wel­cher die betrof­fe­nen Daten­über­mitt­lun­gen erfol­gen;
  • Assess the law or prac­ti­ce of the third coun­try”: Prü­fung der aus­län­di­schen recht­li­chen Bestim­mun­gen und behörd­li­chen Pra­xis, wel­che die Ein­hal­tung der Garan­tien gefähr­den kön­nen (z.B. umfas­sen­de und unver­hält­nis­mä­ssi­ge Zugrif­fe auf Per­so­nen­da­ten durch loka­le Behör­den);
  • Iden­ti­fy and adopt sup­ple­men­tal mea­su­res”: Ermitt­lung der zusätz­li­chen Mass­nah­men, die erfor­der­lich sind, die Vor­ga­ben der DSGVO bei der Daten­über­mitt­lung ein­zu­hal­ten;
  • Take any for­mal pro­ce­du­re steps”: Umset­zung der zusätz­li­chen Mass­nah­men, ggfs. unter Kon­sul­ta­ti­on der zustän­di­gen Auf­sichts­be­hör­den (z.B. Prü­fung, ob die imple­men­tier­ten Ver­schlüs­se­lungs­tech­ni­ken den Anfor­de­run­gen an eine siche­re Über­mitt­lung stand­hal­ten);
  • Re-eva­lua­te your data trans­fer at appro­pria­te inter­vals”: Regel­mä­ssi­ge Prü­fung, ob die getrof­fe­nen Mass­nah­men den Anfor­de­run­gen wei­ter­hin genü­gen.

Im Vor­der­grund steht dabei eine Prü­fung der aus­län­di­schen Rechts­ord­nung (Schritt 3) sowie der dar­auf gestützt zu imple­men­tie­ren­den Mass­nah­men (Schritt 4).

Der EDSA führt im Annex 2 anhand ver­schie­de­ner Sze­na­ri­en (Use Cases) sodann bei­spiel­haft mög­li­che Schutz­mass­nah­men auf, die eine DSGVO-kon­for­me Daten­über­mitt­lung nebst der getrof­fe­nen Garan­tie gemäss Art. 46 DSGVO zusätz­lich sicher­stel­len kön­nen (Kon­kre­ti­sie­rung von Schritt 4 oben; wobei sich dabei auch Hin­wei­se auf US-Recht (Schritt 3) fin­den.

Der EDSA nennt ins­be­son­de­re die fol­gen­den Mass­nah­men, die er teil­wei­se wei­ter aus­führt:

  • Tech­ni­sche Mass­nah­men, die aller­dings nicht unbe­dingt aus­rei­chen, bspw. dann nicht, wenn ein Cloud­pro­vi­der in oder aus einem Staat mit über­schie­ssen­den Zugriffs­mög­lich­kei­ten auf Klar­da­ten zugrei­fen muss oder wenn ein aus­län­di­sches Kon­zern­un­ter­neh­men für gemein­sa­me Geschäfts­zwecke Klar­da­ten benö­tigt. Bei­spie­le sol­cher Mass­nah­men sind:
    • robu­ste und kor­rekt imple­men­tier­te sta­te-of-the-art-Ver­schlüs­se­lung, bspw.
      • von Daten vor ihrer Über­mitt­lung an einen aus­län­di­schen Hosting­pro­vi­der, wobei der EDSA zu ver­lan­gen scheint, dass der Schlüs­sel vom Kun­den oder einem im EWR bzw. einem Staat mit ange­mes­se­nem Schutz ver­wal­tet wird;
      • von Daten auf dem Trans­port­weg (ggf. in Kom­bi­na­ti­on mit einer end-to-end-Ver­schlüs­se­lung der Daten), wenn sie durch ein Dritt­land ledig­lich durch­ge­lei­tet wer­den;
    • Pseud­ony­mi­sie­rung der Daten vor ihrer Über­mitt­lung (z.B. für For­schungs­zwecke), sofern für die Re-Iden­ti­fi­zie­rung aus­rei­chen­de Infor­ma­tio­nen aus­schliess­lich dem Expor­teur – und nicht auch etwa aus­län­di­schen Behör­den – zur Ver­fü­gung ste­hen, in einem EWR-Staat oder einem Staat mit ange­mes­se­nem Schutz­ni­veau auf­be­wahrt wer­den und durch aus­rei­chen­de Mass­nah­men geschützt sind.
  • Ver­trag­li­che Mass­nah­men, die etwa auf Fol­gen­des abzie­len und die jeweils davon abhän­gig sind, dass das loka­le Recht die Erfül­lung die­ser Pflich­ten nicht ver­hin­dert:
    • die Pflicht, beson­de­re tech­ni­sche Mass­nah­men zu tref­fen;
    • Infor­ma­ti­ons­pflicht des Impor­teurs im Fall von Behör­den­zu­grif­fen (die aller­dings dem Risi­ko nicht begeg­nen kön­nen, sofern das loka­le Recht die “Euro­pean Essen­ti­al Gua­ran­tees” ein­hält);
    • Zusi­che­run­gen des Impor­teurs, z.B. dass er kei­ne Back­doors ein­ge­baut hat, dass er den Zugriff auf Per­so­nen­da­ten nicht erleich­tert hat oder dass sein loka­les Recht nicht ver­langt, Back­doors ein­zu­bau­en oder auf ande­re Wei­se Zugang zu Per­so­nen­da­ten zu gewäh­ren (z.B. durch Her­aus­ga­be eines Schlüs­sels);
    • erwei­ter­te Prü­f­rech­te des Epor­teurs (Audit);
    • die Pflicht, über Behör­den­zu­grif­fe zu infor­mie­ren bzw. dass bis zu einem bestimm­ten Zeit­punkt kei­ne Zugrif­fe erfolgt sind (“War­rant Cana­ry”);
    • Pflich­ten des Impor­teurs zu bestimm­ten Hand­lun­gen, z.B. den Rechts­weg gegen Her­aus­ga­be­be­feh­le aus­zu­schöp­fen, die anfra­gen­de Behör­de über die Schran­ken nach der DSGVO hin­zu­wei­sen und den Impor­teur über Zugrif­fe zu infor­mie­ren;
    • Mass­nah­men zum Schutz der Betrof­fe­nen, z.B. den Vor­be­halt, dass ein Klar­da­ten­zu­griff z.B. in War­tungs­fäl­len nur mit der Ein­wil­li­gung des Betrof­fe­nen zuläs­sig ist; die Pflicht, die Betrof­fe­nen über Behör­den­zu­grif­fe zu infor­mie­ren; den Betrof­fe­nen bei der Gel­tend­ma­chung sei­ner Rech­te zu unter­stüt­zen.
  • Orga­ni­sa­to­ri­sche Mass­nah­men: z.B. Imple­men­tie­rung von Poli­ci­es, Pro­zes­sen und Stan­dards des Daten­ex­por­teurs, die auch der Daten­im­por­teur ein­zu­hal­ten hat, etwa wie folgt:
    • Kon­zern­in­ter­ne Poli­ci­es mit Bezug auf grenz­über­schrei­ten­de Über­mitt­lun­gen;
    • Doku­men­ta­ti­on der Zugrif­fe bzw. Anfra­gen durch den Impor­teur und ent­spre­chen­de Infor­ma­ti­on des Expor­teurs (und auf Anfra­ge auch der Betrof­fe­nen);
    • regel­mä­ssi­ge Ver­öf­fent­li­chung von Trans­pa­ren­cy Reports;
    • Ver­stär­kung bestehen­der Mass­nah­men zur Daten­mi­ni­mie­rung;
    • Pro­zes­se zum Ein­be­zug des Daten­schutz­be­auf­trag­ten, der Rechts­ab­tei­lung und der inter­nen Revi­son, falls vor­han­den;
    • Anwen­dung strik­ter Daten­si­cher­heits- und Daten­schutz­stan­dards (z.B. ISO-Nor­men);
    • Ver­ab­schie­dung und regel­mä­ssi­ge Prü­fung inter­ner Richt­li­ni­en zur Beur­tei­lung der Eig­nung der Maß­nah­men.

Die Anfor­de­run­gen an die zusätz­li­chen Garan­tien sind mit ande­ren Wor­ten hoch. Vor allem aber bleibt offen, wel­che Mass­nah­men bzw. wel­che Kom­bi­na­tio­nen von Mass­nah­men unter wel­chen Umstän­den aus­rei­chen­den Schutz bie­ten kön­nen. Damit hel­fen die Emp­feh­lun­gen des EDSA der Pra­xis kaum wei­ter.