Schlagwort: Standardvertragsklauseln

Risikoprüfung trotz neuer Standarddatenschutzklauseln

Risikoprüfung trotz neuer Standarddatenschutzklauseln

Neue Standarddatenschutzklauseln

Die EU-Kommission hat am 04.06.2021 neue Standarddatenschutzklauseln veröffentlicht. Diese können hier aufgerufen werden.

Die alten Standardvertragsklauseln waren nur in zwei verschiedenen Versionen verfügbar.  Die neuen Klauseln sind dagegen wie ein Baukasten bestehend aus folgenden Modulen aufgebaut:

  • Modul 1 Controller-to-Controller (Übermittlung an einen eigenständigen Kooperationspartner)
  • Modul 2 Controller to Processor (Übermittlung an einen weisungsgebunden Dienstleister)
  • Modul 3 Processor to Processor (Übermittlung vom EU-Dienstleister an einen Subdienstleister im Drittland)
  • Modul 4 Processor to Controller (Übermittlung vom EU-Dienstleister an den Auftraggeber im
    Drittland)

Der modulare Aufbau macht die künftige Verwendung ein wenig kompliziert. Die Verträge sind händisch anzupassen und die richtigen Module und Optionen auszuwählen. Bei größeren Dienstleistern ist jedoch zu erwarten, dass diese die Arbeit übernehmen.

Bei neuen Verträgen dürfen ab dem 27.09.2021 nur noch die neuen Klauseln benutzt werden. Die bestehenden alten Standardvertragsklauseln können noch bis zum 27.12.2022 verwendet werden.

 

Risikoprüfung trotz neuer Standarddatenschutzklauseln

Der EuGH hatte bereits in seiner Entscheidung vom 16.07.2020 festgestellt, dass Standarddatenschutzklauseln grundsätzlich wirksam sind, da sie wirksame Mechanismen zur Sicherung eines angemessenen Schutzniveaus beim Datenimporteur enthalten. Allerdings reicht der Abschluss der Klauseln nicht in den Fällen, wo im Drittland kein gleichwertiges Schutzniveau gewährleistet werden kann.

Nach der Rechtsprechung des EuGHs müssen Verantwortliche bei der Verwendung der Klauseln daher eine Prüfung der Rechtslage im Drittland durchführen und auch klären, ob zusätzliche Maßnahmen ergriffen werden müssen. Die Vorgaben des EuGH wurden von der Kommission dabei in den  Klausel 14 und 15 umgesetzt.

In Ihrer Pressemitteilung vom 21.06.2021 weist nun die Datenschutzkonferenz (DSK) noch einmal darauf hin, dass sich an der generellen Prüfpflicht, also einer Risikoprüfung trotz neuer Standarddatenschutzklauseln, nichts ändert.

 

Umfang der Prüfung

Weitere Informationen zum Umfang der Prüfung und zu möglichen Maßnahmen finden Sie in meinem Beitrag Maßnahmen bei Standardvertragsklauseln und in den entsprechenden Empfehlungen des Europäische Datenschutzausschusses (EDSA).

 

Stellungnahmen der Aufsichtsbehörden

Die Hessische Beauftragte für Datenschutz weist in seiner Pressemitteilung in diesem Zusammenhang noch einmal darauf hin, dass ohne zusätzliche Schutzmaßnahmen ein Transfer von personenbezogenen Daten in Drittländer wie die USA nicht zulässig ist. Er erwartet konkret, dass Verantwortliche

  • nachweisen können, dass sie die erforderlichen Prüfungen durchgeführt haben und
  • erste Schritte eingeleitet haben, um betreffende Verfahren DSGVO-konform zu gestalten,
  • umgehende Wechsel von Dienstleistern/ Verfahren durchführen, wo funktional gleichwertige, datenschutzgerecht einsetzbare Alternativen existieren,
  • für den Fall komplexerer Verfahren ein Fahrplan für die Umsetzung erstellen.

Auch von der bayerischen Aufsicht (BayLDA) wird die Erwartungshaltung formuliert, dass Übermittlungen ins Drittland, welche nicht die Anforderungen der DSGVO erfüllen, beendet werden müssen. Dies kann vor allem in den Fällen erforderlich sein, wo der Datenempfänger in den Anwendungsbereich des US-Gesetzes FISA 702 fällt und nicht garantiert werden kann, dass US-Behörden keinen Zugang erhalten können.

Rechtsanwalt Robert Harzewski

Standardvertragsklauseln

Maßnahmen bei Standardvertragsklauseln

Nach dem Wegfall des Privacy-Shields bleibt in der Praxis eine große Verunsicherung, wie mit US-Dienstleistern umzugehen ist, die nicht ersetzt werden können. Nach dem Urteil des EuGH (Schrems 2) ist der Datentransfer in die USA allein unter der Verwendung der Standardvertragsklauseln unzulässig. Für die Verarbeitung im Drittland USA braucht es zusätzliche Maßnahmen.

In der Praxis stellt sich daher nun die Frage, welche zusätzlichen Garantien zu Standardvertragsklauseln denn ausreichend währen.

Zulässigkeit der Datenverarbeitung im Drittstaat

Nachfolgende Übersicht zeigt noch einmal auf welcher Grundlage eine Datenverarbeitung im Drittstaat zulässig sein kann. Im Fall der Standardvertragsklauseln oder Standarddatenschutzklauseln muss zudem überprüft werden, ob ein gleichwertiges Schutzniveau bei der Verarbeitung im Drittland existiert.

Standardvertragsklauseln

Stellungnahme des Europäische Datenschutzausschusses (EDSA)

Zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können, hat sich nun auch der Europäische Datenschutzausschuss (EDSA) geäußert. Die Empfehlung kann hier abgerufen werden.

Der Europäische Datenschutzausschuss stellt, wenig hilfreich fest, dass:

- die ergänzenden Maßnahmen grundsätzlich vertraglicher, technischer oder organisatorischer Art sein können.
- vertragliche und organisatorische Maßnahmen aber allein nicht ausreichen, um den Zugriff von Behörden aus dem Drittland zu verhindern.
- es Fälle gibt, in denen nur technische Maßnahmen diesen Zugriff verhindern können.

Sie müssen daher von Fall zu Fall ermitteln, welche zusätzlichen Maßnahmen wirksam sein könnten.

In seiner Empfehlung vom 10.11.2020 gibt der EDSA weitere Beispiele für zusätzliche Maßnahmen:

 

Technische Maßnahmen

- starke Verschlüsselung von personenbezogenen Daten vor der Übermittlung bei Datenspeicherung zu Sicherungszwecken (kein Zugriff des Dienstleisters erforderlich)
- Übertragung ausschließlich pseudonymisierter Daten, so dass Zuordnung zu bestimmten Personen im Drittland nicht möglich ist
- Verschlüsselung von Daten, die lediglich Drittländer durchqueren
Bei Cloud-Anbietern, die Zugriff auf die Daten benötigen, um ihre Dienstleistung überhaupt ausführen zu können oder bei Fernzugriffen soll es dagegen keine wirksamen technischen Maßnahmen geben.

 

Vertragliche Maßnahmen

- Verpflichtung des Dienstleisters auf die Einhaltung bestimmter technischer Maßnahmen
- Information/ Auskunft über das Recht des Zugriffs auf Daten im Drittland von Seiten der Behörden
- Klauseln die bestätigen, dass keine Hintertüren für den Zugriff auf das System existieren
- Vereinbarung von Vertragsstrafen, außerordentlichen Kündigungsrechten bei Nichteinhaltung der zusätzlichen Maßnahmen
- Stärkung der Kontrollrechte
- Mitteilungspflicht des Dienstleister, bevor sich Änderungen durch Gesetzgebung oder Praxis des Drittlandes ergeben mit Klauseln, die dann eine Aussetzung/ Rückgabe der verarbeiteten Daten möglich machen
- Verpflichtung des Dienstleisters, behördliche Anordnungen zunächst anzufechten und auszusetzen sowie wenn mögliche eine gerichtliche Entscheidung zu erwirken
- Mitteilungspflichten, wenn Anfragen von Behörden erfolgen

 

Organisatorische Maßnahmen

 

- Richtlinien für Fälle verdeckter oder behördlicher Anfragen, um auf Daten zuzugreifen
- Verfahren zur Schulung für Personal, welches bei diesen Anfragen zuständig ist
- Protokollierung eingegangener behördlicher Anfragen und des weiteren Verfahrens
- Datenminimierung z.B. durch eingeschränkte Zugriffsrechte bei Supportfällen
- Einhaltung von Zertifizierungen und Standards

 

Prüfschritte

Wenn ein Wechsel des US-Dienstleisters für Sie nicht in Betracht kommt, dann sollten Sie die in meinem Beitrag "Privacy Shield ist ungültig" aufgezählten Prüfschritte durchgehen.

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski

Privacy Shield ist ungültig

Privacy Shield ist ungültig

Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.

 

Hintergrund

Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.

 

Angemessenheitsbeschluss

Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.

 

Standardvertragsklauseln

Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.

 

Das Urteil des EuGH

Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.

Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“

Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“

Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082

 

Praktische Folgen

[Aktualisiert am 11.09.2020]

Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.

Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.

Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:

 

Schritt 1: Bestandsaufnahme

Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.

 

Schritt 2: Prüfen der Rechtsgrundlage

Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.

 

Schritt 3: Anfrage beim Dienstleister

Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.

 

Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen

Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits

 

Schritt 5: Weitere Nutzung oder Einstellung

Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.

 

Schritt 6: Anpassung der Hinweise und des Verzeichnisses

Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.

 

Update vom 20.11.2020

Inzwischen gibt es eine Stellungnahme des Europäische Datenschutzausschusses (EDSA) zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können. Hierzu lesen mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/massnahmen-bei-standardvertragsklauseln/.

 

Die Organisation von Max Schrems (noyb) hat inzwischen Beschwere gegenüber 101 europäischen Unternehmen erhoben. Hierunter zählen Firmen wie TV Spielfilm, Lieferando und chefkoch, die ihre Websites noch immer unter Verwendung von Facebook Connect und Google Analytics betreiben. Die Übersicht aller Unternehmen finden Sie hier: https://noyb.eu/en/eu-us-transfers-complaint-overview.

Zum Nachlesen: Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems: abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski