Bild von OpenClipart-Vectors auf Pixabay

Wir hatten vor einiger Zeit darüber berichtet, wie der Europäische Gerichtshof (EuGH) im sog. Schrems II-Urteil das Privacy Shield Abkommen zwischen der EU und der USA für unwirksam erklärte und somit neue Anforderungen an den Datentransfer in Drittstaaten aufgestellt hat ( https://www.llp-law.de/info-channel-leser/wie-geht-es-weiter-mit-dem-privacy-shield.html ). Dadurch stieg vor allem die Bedeutung von Standardvertragsklauseln (SCC) sowohl für Unternehmen als auch für Aufsichtsbehörden. Doch selbst die Anwendung von SCCs ist an bestimmte Voraussetzungen geknüpft. Trotz konkreter Vorgaben seitens der Aufsichtsbehörden, stellten sich viele die Frage, ob deren Erfüllung überhaupt machbar wäre.

Die SCCs und ihre konkreten Anforderungen

Zukünftig muss der Datenexporteur bewerten, ob die vom Transfer betroffenen Daten ein angemessenes Schutzniveau im Empfängerland genießen. Dabei muss nicht das allgemeine, sondern das konkrete Schutzniveau für die übertragenen Daten geprüft werden.
Die Bewertung umfasst daher folgende Kriterien:

• Prüfen des konkreten Übertragungswegs:
  Können beispielsweise Leitungsnetze durch Geheimdienste überwacht werden, ist ein angemessenes Schutzniveau im Zielland nicht gewährleistet
• Bewertung der Risiken, die sich bei der Speicherung von Daten bei einem spezifischen Empfänger ergeben: Bestimmte Anbieter sind gesetzlich zur Kooperation mit Geheimdiensten gezwungen, andere nicht
• Prüfen, ob es alternativ auch Dienstleister gibt, die nicht auf internationalen Datentransfer angewiesen sind
• Ergibt die Bewertung, dass kein der EU entsprechendes Schutzniveau gewährleistet werden kann, muss der Datenexporteur zusätzliche technische Maßnahmen wie Verschlüsselungen anwenden, um den Schutz der Daten garantieren zu können. Andernfalls darf kein Transfer personenbezogener Daten auf Grundlage der SCCs erfolgen

Stellungnahmen der Aufsichtsbehörden zu den Schutzmaßnahmen

Zunächst kommt eine starke Verschlüsselung sowie eine Pseudonymisierung als technische Maßnahme in Betracht. Laut des EU-Datenschutzausschusses EDSA kann diese nur funktionieren, wenn die Daten bei der Übertragung durchgehend verschlüsselt und pseudonymisiert bleiben. Problematisch dabei ist, dass selbst ein Dienstleister wie Cloud-Anbieter keine Entschlüsselung z. B. zu Supportzwecken vornehmen dürfte. Somit ist es von enormer Bedeutung, das Datenschutzniveaus des Ziellandes richtig zu bewerten. Da sich die Ermittlung durchaus schwierig gestalten kann, ist eine enge Zusammenarbeit mit jeweiligen Vertragspartner des Ziellandes zu empfehlen.

Aktuelle Standardvertragsklauseln (SCCs)

Da die letzten SCCs im Jahre 2010 noch vor dem Inkrafttreten der DSGVO erschienen, ist der Erlass neuer Standardvertragsklauseln durch die EU-Kommission unumgänglich.
Diese wird jegliche Arten von Übermittlungen, sowie den Transfer zweier Auftragsverarbeiter berücksichtigen. Da die Übertragung vom Verantwortlichen für den Datenschutz zum Auftragsverarbeiter im Sinne des Artikels 28 DSGVO ebenfalls geregelt sein wird, entfällt die Notwendigkeit eines Auftragsverarbeitungsvertrags. Da weitere Parteien den SCCs nachträglich beitreten können, schaffen die Klauseln ein Höchstmaß an Flexibilität. Zudem werden die aktuellen Vorgaben aus der Schrems II Entscheidung des EuGH berücksichtigt, wobei die Formulierungen weniger Streng klingen ("soweit wie möglich"). Doch auch die aktualisierten Klauseln müssen eventuell durch technische Maßnahmen unterstützt werden, um einer Sanktion seitens der Aufsichtsbehörden zu entgehen. Bestehende Verträge haben 1 Jahr Zeit, auf die neuen SCCs umzustellen.

Handlungsempfehlung für Unternehmen

Wesentlich für Unternehmen ist somit die Übersicht über ihre Datenströme. Es gilt vor allem zu prüfen, welche externe Verträge mit Dienstleistern existieren (Tools, Clouds und Cookies), sowie welche Datentransfers intern erfolgen. Dem EU-Datenschutzausschuss nach ist es vor allem wichtig, die Wirksamkeit der SCCs im Drittland zu überprüfen. Sind die übermittelten Daten gefährdet, sind unbedingt geeignete Maßnahmen zur Sicherung einzuleiten. Erst dann können zusätzliche vertragliche Maßnahmen erfolgen. Somit genügen SCCs allein nicht, um die Daten vor einem Zugriff seitens der Regierung zu schützen. Sie sind vielmehr als zusätzliches Hilfsinstrument zu den technischen Maßnahmen anzusehen.