Schlagwort: Drittland

Standardvertragsklauseln

Maßnahmen bei Standardvertragsklauseln

Nach dem Wegfall des Privacy-Shields bleibt in der Praxis eine große Verunsicherung, wie mit US-Dienstleistern umzugehen ist, die nicht ersetzt werden können. Nach dem Urteil des EuGH (Schrems 2) ist der Datentransfer in die USA allein unter der Verwendung der Standardvertragsklauseln unzulässig. Für die Verarbeitung im Drittland USA braucht es zusätzliche Maßnahmen.

In der Praxis stellt sich daher nun die Frage, welche zusätzlichen Garantien zu Standardvertragsklauseln denn ausreichend währen.

Zulässigkeit der Datenverarbeitung im Drittstaat

Nachfolgende Übersicht zeigt noch einmal auf welcher Grundlage eine Datenverarbeitung im Drittstaat zulässig sein kann. Im Fall der Standardvertragsklauseln oder Standarddatenschutzklauseln muss zudem überprüft werden, ob ein gleichwertiges Schutzniveau bei der Verarbeitung im Drittland existiert.

Standardvertragsklauseln

Stellungnahme des Europäische Datenschutzausschusses (EDSA)

Zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können, hat sich nun auch der Europäische Datenschutzausschuss (EDSA) geäußert. Die Stellungnahme kann hier abgerufen werden.

Er stellt, wenig hilfreich fest, dass:
- die ergänzenden Maßnahmen grundsätzlich vertraglicher, technischer oder organisatorischer Art sein können.
- vertragliche und organisatorische Maßnahmen aber allein nicht ausreichen, um den Zugriff von Behörden aus dem Drittland zu verhindern.
- es Fälle gibt, in denen nur technische Maßnahmen diesen Zugriff verhindern können.

Sie müssen daher von Fall zu Fall ermitteln, welche zusätzlichen Maßnahmen wirksam sein könnten.

In seiner Empfehlung vom 10.11.2020 gibt der EDSA weitere Beispiele für zusätzliche Maßnahmen:

 

Technische Maßnahmen

- starke Verschlüsselung von personenbezogenen Daten vor der Übermittlung bei Datenspeicherung zu Sicherungszwecken (kein Zugriff des Dienstleisters erforderlich)
- Übertragung ausschließlich pseudonymisierter Daten, so dass Zuordnung zu bestimmten Personen im Drittland nicht möglich ist
- Verschlüsselung von Daten, die lediglich Drittländer durchqueren
Bei Cloud-Anbietern, die Zugriff auf die Daten benötigen, um ihre Dienstleistung überhaupt ausführen zu können oder bei Fernzugriffen soll es dagegen keine wirksamen technischen Maßnahmen geben.

 

Vertragliche Maßnahmen

- Verpflichtung des Dienstleisters auf die Einhaltung bestimmter technischer Maßnahmen
- Information/ Auskunft über das Recht des Zugriffs auf Daten im Drittland von Seiten der Behörden
- Klauseln die bestätigen, dass keine Hintertüren für den Zugriff auf das System existieren
- Vereinbarung von Vertragsstrafen, außerordentlichen Kündigungsrechten bei Nichteinhaltung der zusätzlichen Maßnahmen
- Stärkung der Kontrollrechte
- Mitteilungspflicht des Dienstleister, bevor sich Änderungen durch Gesetzgebung oder Praxis des Drittlandes ergeben mit Klauseln, die dann eine Aussetzung/ Rückgabe der verarbeiteten Daten möglich machen
- Verpflichtung des Dienstleisters, behördliche Anordnungen zunächst anzufechten und auszusetzen sowie wenn mögliche eine gerichtliche Entscheidung zu erwirken
- Mitteilungspflichten, wenn Anfragen von Behörden erfolgen

 

Organisatorische Maßnahmen

 

- Richtlinien für Fälle verdeckter oder behördlicher Anfragen, um auf Daten zuzugreifen
- Verfahren zur Schulung für Personal, welches bei diesen Anfragen zuständig ist
- Protokollierung eingegangener behördlicher Anfragen und des weiteren Verfahrens
- Datenminimierung z.B. durch eingeschränkte Zugriffsrechte bei Supportfällen
- Einhaltung von Zertifizierungen und Standards

 

Prüfschritte

Wenn ein Wechsel des US-Dienstleisters für Sie nicht in Betracht kommt, dann sollten Sie die in meinem Beitrag "Privacy Shield ist ungültig" aufgezählten Prüfschritte durchgehen.

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski

Privacy Shield ist ungültig

Privacy Shield ist ungültig

Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.

 

Hintergrund

Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.

 

Angemessenheitsbeschluss

Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.

 

Standardvertragsklauseln

Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.

 

Das Urteil des EuGH

Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.

Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“

Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“

Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082

 

Praktische Folgen

[Aktualisiert am 11.09.2020]

Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.

Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.

Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:

 

Schritt 1: Bestandsaufnahme

Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.

 

Schritt 2: Prüfen der Rechtsgrundlage

Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.

 

Schritt 3: Anfrage beim Dienstleister

Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.

 

Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen

Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits

 

Schritt 5: Weitere Nutzung oder Einstellung

Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.

 

Schritt 6: Anpassung der Hinweise und des Verzeichnisses

Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.

 

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski