Zusätzliche Schutzmaßnahmen bei Datentransfers in Drittländer

Im viel beachteten Schrems II-Urteil vom 16.07.2020 (Az: C-311/18) hat der EuGH zwar die Zulässigkeit der Verwendung sog. EU-Standardvertragsklauseln im Zusammenhang mit der Datenübermittlung in Drittländer festgestellt, jedoch deren alleinigen Abschluss als nicht ausreichend erachtet. Aus Sicht des EuGH bedarf es darüber hinaus zusätzliche Schutzmaßnahmen, um die tatsächliche Einhaltung, des in den EU-Standardvertragsklauseln garantierten angemessenen Schutzniveaus sicherzustellen. Vor diesem Hintergrund hat der Europäische Datenschutzausschuss am 10.11.2020 eine Empfehlung herausgegeben, wie diese Schutzmaßnahmen konkret aussehen könnten.

Vorgehensweise

Zur Feststellung der erforderlichen Schutzmaßnahmen sind nach Ansicht des Europäischen Datenschutzausschusses sechs Schritte erforderlich.

Erster Schritt: Identifizierung der betreffenden Datentransfers und Überprüfung dieser auf Angemessenheit und Notwendigkeit

Zweiter Schritt: Überprüfung des verwendeten Transferinstruments (Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder Einwilligung).

Dritter Schritt: Prüfung des nationalen Rechts des betroffenen Drittlandes insbesondere auf behördliche Zugriffsbefugnisse.

Vierter Schritt: Ermittlung und Dokumentation der notwendigen zusätzlichen Schutzmaßnahmen.

Fünfter Schritt: Einhaltung aller formellen Voraussetzungen der gewählten Schutzmaßnahmen unter Berücksichtigung des angewendeten Transferinstruments.

Sechster Schritt: Regelmäßige Überprüfung der Voraussetzungen des Datentransfers und sämtlicher relevanter Entwicklungen.

Ermittlung der erforderlichen Schutzmaßnahmen

Es kommen vertragliche, technische und organisatorische Maßnahmen in Betracht. Allein vertragliche und organisatorische Maßnahmen reichen nach Auffassung des Europäischen Datenschutzausschusses in der Regel nicht aus, um den Zugriff auf personenbezogene Daten zu verhindern. Bei der Ermittlung der erforderlichen Schutzmaßnahmen sind sämtliche Faktoren der betroffenen Datentransfers zu berücksichtigen, wie z.B. das Format und die Art der zu übertragenden Daten, Länge und Komplexität des Datenverarbeitungsprozesses, Anzahl der an der Verarbeitung beteiligten Akteure etc.

Technische Maßnahmen

Unter Umständen können, je nach Einzelfall, nach Ansicht des Europäischen Datenschutzausschusses folgende Maßnahmen in Frage kommen:

  • Transport- und Inhaltsverschlüsselung oder Pseydonymisierung

Dies kommt z.B. dann in Betracht, wenn der Empfänger der Daten keinen Zugriff auf die Daten im Klartext benötigt. Die Verschlüsselung kommt darüber hinaus auch dann in Frage, wenn die Daten durch ein Drittland hindurch in ein sicheres Zielland übrtragen werden sollen oder der Empfänger per Gesetz besonders geschützt ist, wie dies beispeilsweise bei Berufsgeheimnisträgern der Fall ist.

  • Getrennte Verarbeitung

Sie spielt insbesondere dann eine Rolle, wenn die Daten durch mindestens zwei unabhängige Verarbeiter aus unterschiedlichen Ländern verarbeitet werden sollen und ein Zugriff auf die Daten als Ganzes nicht erforderlich ist.

Zu beachten ist jedoch, dass es nach Ansicht des Europäischen Datenschutzausschusses derzeit auch Fälle gibt, für die es aktuell keine geeigneten technischen Maßnahmen gibt. Dies ist z.B: der Fall bei Übertragungen an Cloud-Dienstanbieter oder andere Auftragsverarbeiter, die Zugriff auf die zu verarbeitenden Daten im Klartext benötigen oder bei einem Fernzugriff auf Daten für gemeinsame geschäftliche Zwecke, wie er oft bei Unternehmensgruppen praktiziert wird.

Vertragliche Maßnahmen

Da vertragliche Regelungen nur die Vertragsparteien selbst binden und nicht die Behörden, sollten diese Maßnahmen nach Ansicht des Europäischen Datenschutzausschusses mit anderen technischen und organisatorischen Maßnahmen kombiniert werden, um das erforderliche Datenschutzniveau zu gewährleisten. Es kommen folgende Vereinbarungen in Betracht.

  • Verpflichtung zur Anwendung bestimmter technischer Maßnahmen
  • Verpflichtung zur Mitteilung von Informationen über behördliche Zugriffsmöglichkeiten

Hier bietet sich nach Auffassung des Europäischen Datenschutzausschusses die Verwendung von Fragebögen an, die durch die vertragliche Verpflichtung des Importeurs ergänzt werden können, etwaige Änderungen innerhalb einer bestimmten Frist mitzuteilen, wie dies bei Due-Diligence-Verfahren bereits gängige Praxis ist.

  • Klauseln, wonach der Importeur bescheinigt, dass er keien Hintertüren für einen behördlichen Zugang geschaffen hat und seine Geschäftsprozesse einen solchen Zugang nicht erleichtern
  • Erweiterung der Befugnis des Exporteurs zur Durchführung von Audits oder Inspektionen zur Kontrolle etwaiger Weitergaben von Daten an die Behörden
  • Mitteilungspflicht im Fall des Unvermögens der Einhaltung der Vertragsklauseln
  • Vereinbarung von strengen Fristen und Verfahren für die rasche Aussetzung des Datentransfers und/oder die Beendigung des Vertrags und die Rückgabe oder Löschung der erhaltenen Daten durch den Importeur.
  • „Warrant Canary“-Methode
  • Pflicht zur Überprüfung behördlicher Anordnungen und ggf. Anfechtung derselben einschließlich einstweiliger Maßnahmen
  • Pflicht zur Aufklärung der anfragenden Behörde über den hieraus resultierenden Verpflichtungskonflikt sowie Mitteilung an den Exporteur und/oder die zuständige Aufsichtsbehörde aus dem EWR
  • Klausel, wonach der Zugriff nur mit Zustimmung des Exporteurs und/oder der betroffenen Person möglich ist
  • Unverzügliche Mitteilung des Zugriffs an die betroffene Person, um deren wirksame Rechtsausübung zu ermöglichen
  • Pflicht zu Unterstützung der betroffenen Person bei der Ausübung ihrer Rechte

Organisatorische Maßnahmen

Zusätzliche organisatorische Maßnahmen können aus internen Richtlinien, organisatorischen Methoden und Standards bestehen.

  • Interne Richtlinien für die Steuerung von Transfers, insbesondere mit Unternehmensgruppen
    • Verabschiedung angemessener interner Richtlinien mit klarer Aufteilung der Zuständigkeiten für Datentransfers, Berichtskanälen und Standardarbeitsanweisungen für Fälle behördlicher Zugriffsanordnungen.
    • Entwicklung und regelmäßige Aktualisierung spezifischer Schulungsverfahren für das zuständige Personal
  • Maßnahmen zur Transparenz und Rechenschaftspflicht
    • Dokumentierung und Protokollierung der erhaltenen behördlichen Zugriffsanordnungen, der erteilten Antwort sowie die rechtliche Begründung und die beteiligten Akteure
    • Regelmäßige Veröffentlichung von Transparenzberichten oder Zusammenfassungen zu behördlichen Anfragen
  • Organisationsmethoden und Maßnahmen zur Datenminimierung
    • Richtlinien für den Datenzugriff und die Vertraulichkeit sowie bewährte Verfahren, die auf einem strengen Need-to-know-Prinzip beruhen – durch regelmäßige Audits überwacht und durch Disziplinarmaßnahmen durchgesetzt
    • Entwicklung bewährter Verfahren, um den Datenschutzbeauftragten, sofern vorhanden, sowie die Rechts- und Innenrevisionsdienste in Fragen der internationalen Übermittlung personenbezogener Daten angemessen und rechtzeitig einzubeziehen und ihnen Zugang zu Informationen zu gewähren.
  • Übernahme von Standards und Best Practices

Einführung strenger Datenschutz- und Datensicherheitsrichtlinien, basierend auf EU-Zertifizierungen oder Verhaltenskodizes oder auf internationalen Standards (z. B. ISO-Normen) und bewährter Verfahren (z. B. ENI-SA).

Folgen für die Praxis

Auch wenn die Empfehlungen des Europäischen Datenschutzausschusses ein Bild davon vermitteln, wie die erforderlichen Schutzmaßnahmen aussehen könnten, bleibt festzuhalten, dass die Entscheidung darüber, welche Maßnahmen jeweils zu treffen sind, stets einzelfallabhängig unter Berücksichtigung der konkreten Umstände zu fällen ist. Die Empfehlungen des Europäischen Datenschutzausschusses stellen somit keine Blaupause für sämtliche Datentransfers in Drittländer dar.

Weiterer interessanter Artikel zum Thema: Das Erfordernis zusätzlicher Schutzmaßnahmen bei Drittstaatentransfers – Prüfung der Rechtslage in Drittländern