- Bei der Übermittlung von Personendaten sind Standardvertragsklauseln allein nicht ausreichend; eine Risikoprüfung ist erforderlich.
- Das Schrems II-Urteil verlangt, lokale Gesetze und deren Einfluss auf die Effektivität von SCC zu bewerten.
- Die Empfehlungen des Europäischen Datenschutzausschusses legen vier Kerngarantien für den Zugriff durch Behörden fest.
- Ein Transfer Impact Assessment muss vor der Übermittlung prüfen, ob Daten im Ausland zugänglich sind und potenziellen Risiken ausgesetzt werden.
Bei der Bekanntgabe von Personendaten an Empfänger in einem Staat ohne angemessenes Datenschutzniveau ist es bekanntlich nicht mehr ausreichend, nur die Standardvertragsklauseln (SCC) zu schliessen. Der EuGH verlangte im Schrems II-Urteil vielmehr, eine Prüfung durchzuführen, ob das lokale Recht des Empfängers – oder der Empfänger – die Wirksamkeit der SCC unterläuft. Der Europäische Datenschutzausschuss hat dazu Empfehlungen veröffentlicht, die dem Exporteur ein Vorgehen in sechs Schritten nahelegen. Schritt 3 besteht in der entsprechenden Risikoprüfung:
A third step is to assess if there is anything in the law and/or practices in force of the third country that may impinge on the effectiveness of the appropriate safeguards of the transfer tools you are relying on, in the context of your specific transfer.
Allerdings sind Zugriffsrechte nach dem lokalen Recht des Empfängers nicht immer problematisch, denn auch in Staaten mit ausgebautem Rechtsschutz können bestimmte Behörden selbstverständlich auf Daten zugreifen. Bedenklich sind nur potentielle Zugriffe, die bestimmte Kerngarantien missachten. Der Europäische Datenschutzausschuss hat diese Garantien in den “Recommendations 02/2020 on the European Essential Guarantees for surveillance measures” zusammengefasst:
7. The aim of the updated European Essential Guarantees is to provide elements to examine, whether surveillance measures allowing access to personal data by public authorities in a third country, being national security agencies or law enforcement authorities, can be regarded as a justifiable interference or not.
Der EDÖB, der sich diese Sicht zu eigen gemacht hat, hat analoge Anforderungen in seiner Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG) aufgestellt (Prüfung, ob etwaige Zugriffe durch lokale Behörden vier Kerngarantien eingehalten).
Eine entsprechende Prüfung ist nicht nur eine Anforderung des materiellen Datenschutzrechts, sondern auch eine vertragliche Anforderung (mit Drittschutzwirkung) der neuen Standardvertragsklauseln, die der EDÖB mit bestimmten Auflagen vor kurzem auch für Exporte unter dem DSG anerkannt hat. Klausel 14 sieht für alle vier Module der neuen SCC vor:
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben: […]
Diese Risikoprüfung vor Auslandsübermittlungen – das “Transfer Impact Assessment” – muss berücksichtigen, ob Daten im Ausland belegen oder vom Ausland aus erreichbar sind. Im Fall der USA läuft das auf die Frage hinaus, ob
- ein Unternehmen der US-Gerichtsbarkeit untersteht,
- ob es einer problematischen Gesetzgebung (in erster Linie FISA Section 702) untersteht (d.h. ob es ein “electronic communication service provider” i.S.v. § 1881(b)(4) FISA ist),
- ob dieses Unternehmen auf Daten zugreifen kann,
- ob sich diese Daten auf Personen ausserhalb der USA beziehen (§ 1881a(a) FISA),
- und wie wahrscheinlich ein solcher Zugriff ist, was u.a. von den getroffenen technischen Massnahmen abhängig ist, aber auch vom Appetit einer lokalen Behörde, über eine problematische Gesetzgebung auf die betroffenen Daten zuzugreifen.
Für diese Prüfung hat David Rosenthal kürzlich ein Formular veröffentlicht, das die IAPP nun übernommen und ihrerseits veröffentlicht hat.
Anzumerken bleibt, dass die Prüfung bei Daten, die einem besonderen Geheimnis unterstehen (d.h. einer beruflichen Schweigepflicht; Art. 35 DSG/Art. 62 revDSG genügt nicht) etwas anders ausfällt. Unterstellt man, dass jeder Zugriff durch eine ausländische Behörde den objektiven Tatbestand einer Offenbarung vollendet – was nicht immer der Fall ist –, muss das Risiko eines solchen Zugriffs überhaupt geprüft werden, nicht nur eines Zugriffs unter Verletzung der Kerngarantien. Hier – aber eben auch nur hier – sind Bestimmungen auf der Grundlage bzw. nach dem Muster von Art. 18 der Cybercrime Convention beachtlich, z.B. der US Stored Communication Act (SCA; mit den Änderungen durch den US CLOUD Act). Auch für diese, umfassendere Prüfung hat David Rosenthal ein Formular bereitgestellt, das die IAPP übernommen hat.