Stellungnahme des Europäische Datenschutzausschusses (EDSA)

Zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können, hat sich nun auch der Europäische Datenschutzausschuss (EDSA) geäußert. Die Empfehlung kann hier abgerufen werden.

Der Europäische Datenschutzausschuss stellt, wenig hilfreich fest, dass:

- die ergänzenden Maßnahmen grundsätzlich vertraglicher, technischer oder organisatorischer Art sein können.
- vertragliche und organisatorische Maßnahmen aber allein nicht ausreichen, um den Zugriff von Behörden aus dem Drittland zu verhindern.
- es Fälle gibt, in denen nur technische Maßnahmen diesen Zugriff verhindern können.

Sie müssen daher von Fall zu Fall ermitteln, welche zusätzlichen Maßnahmen wirksam sein könnten.

In seiner Empfehlung vom 10.11.2020 gibt der EDSA weitere Beispiele für zusätzliche Maßnahmen:

Technische Maßnahmen

- starke Verschlüsselung von personenbezogenen Daten vor der Übermittlung bei Datenspeicherung zu Sicherungszwecken (kein Zugriff des Dienstleisters erforderlich)
- Übertragung ausschließlich pseudonymisierter Daten, so dass Zuordnung zu bestimmten Personen im Drittland nicht möglich ist
- Verschlüsselung von Daten, die lediglich Drittländer durchqueren
Bei Cloud-Anbietern, die Zugriff auf die Daten benötigen, um ihre Dienstleistung überhaupt ausführen zu können oder bei Fernzugriffen soll es dagegen keine wirksamen technischen Maßnahmen geben.

Vertragliche Maßnahmen

- Verpflichtung des Dienstleisters auf die Einhaltung bestimmter technischer Maßnahmen
- Information/ Auskunft über das Recht des Zugriffs auf Daten im Drittland von Seiten der Behörden
- Klauseln die bestätigen, dass keine Hintertüren für den Zugriff auf das System existieren
- Vereinbarung von Vertragsstrafen, außerordentlichen Kündigungsrechten bei Nichteinhaltung der zusätzlichen Maßnahmen
- Stärkung der Kontrollrechte
- Mitteilungspflicht des Dienstleister, bevor sich Änderungen durch Gesetzgebung oder Praxis des Drittlandes ergeben mit Klauseln, die dann eine Aussetzung/ Rückgabe der verarbeiteten Daten möglich machen
- Verpflichtung des Dienstleisters, behördliche Anordnungen zunächst anzufechten und auszusetzen sowie wenn mögliche eine gerichtliche Entscheidung zu erwirken
- Mitteilungspflichten, wenn Anfragen von Behörden erfolgen

Organisatorische Maßnahmen

- Richtlinien für Fälle verdeckter oder behördlicher Anfragen, um auf Daten zuzugreifen
- Verfahren zur Schulung für Personal, welches bei diesen Anfragen zuständig ist
- Protokollierung eingegangener behördlicher Anfragen und des weiteren Verfahrens
- Datenminimierung z.B. durch eingeschränkte Zugriffsrechte bei Supportfällen
- Einhaltung von Zertifizierungen und Standards

Prüfschritte

Wenn ein Wechsel des US-Dienstleisters für Sie nicht in Betracht kommt, dann sollten Sie die in meinem Beitrag "Privacy Shield ist ungültig" aufgezählten Prüfschritte durchgehen.

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski