Datenschutz und Standardvertragsklauseln Ergänzenden Maßnahmen für Datenübermittlungen in Drittländer

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Wer die Übermittlung personenbezogener Daten in die USA auf die Standardvertragsklauseln der EU stützen will, muss sich mit den notwendigen, ergänzenden Maßnahmen befassen. Ohne die ergänzenden Maßnahmen können die Standardvertragsklauseln das ungültige Privacy-Shield-Abkommen nicht ersetzen. Wir zeigen, wie man die richtige Wahl der Schutzmaßnahmen trifft, wenn es denn eine gibt.

Firmen zum Thema

Aufsichtsbehörden für den Datenschutz betonen: Ohne Zusatzmaßnahmen für die Datensicherheit ist eine Datenübermittlung in die USA nicht möglich!
Aufsichtsbehörden für den Datenschutz betonen: Ohne Zusatzmaßnahmen für die Datensicherheit ist eine Datenübermittlung in die USA nicht möglich!
(© mixmagic - stock.adobe.com)

Über das Ende des Privacy-Shield-Abkommens zwischen der EU und den USA wurde schon viel berichtet und diskutiert. Bei den Übermittlungen personenbezogener Daten in die USA passiert ist dagegen wenig, wenn es um Veränderungen geht. Dabei müssen seit dem Urteil des EuGH (Europäischer Gerichtshof) zur Ungültigkeit von Privacy Shield für viele Datenübermittlungen neue Rechtsgrundlagen gefunden werden.

Selbst für die Datenübermittlungen in die USA, die nicht auf Privacy Shield aufgebaut waren, sondern die sich auf die Standardvertragsklauseln der EU beziehen, besteht dringender Handlungsbedarf. Viele Berichte waren hier missverständlich, indem ausgesagt wurde, dass die Standardvertragsklauseln nun die gültige Rechtsgrundlage bilden könnten.

Tatsächlich aber gilt: Die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (auch Standarddatenschutzklauseln) sind weiterhin gültig (und werden gegenwärtig überarbeitet). Aber: Es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.

Ohne Zusatzmaßnahmen für die Datensicherheit ist dies für eine Datenübermittlung in die USA aber nicht möglich, wie auch die Aufsichtsbehörden für den Datenschutz betonen. Nur: Welche Zusatzmaßnahmen sind hier geeignet?

Standardvertragsklauseln brauchen für USA ergänzende Maßnahmen

Leider besteht nicht die Möglichkeit, einen einheitlichen Katalog von Maßnahmen zu nennen, an den sich ein Unternehmen halten kann, um die Standardvertragsklauseln dem Urteil des EuGH entsprechend anwenden zu können. Vielmehr muss jedes Unternehmen für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Für die USA als Drittland wurde entschieden, dass ergänzende Maßnahmen notwendig sind, welche jedoch, muss man als Unternehmen festlegen bzw. vereinbaren.

Wichtig dabei ist: Findet die verantwortliche Stelle, also die Geschäftsleitung im Unternehmen keine ergänzenden Maßnahmen, mit denen ein angemessenes Datenschutzniveau gewährleistet werden kann, muss die Datenübermittlung unterbleiben. Man kann also nicht sagen, man sei nicht fündig geworden und mache deshalb ohne Zusatznahmen auf Basis der Standardvertragsklauseln mit der Übermittlung personenbezogener Daten in die USA weiter.

Aufsichtsbehörden geben Empfehlungen

Doch es gibt eine wichtige Unterstützung. Der Europäische Datenschutzausschuss (EDSA) hat ein Papier mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer veröffentlicht. Wohlgemerkt sind es Empfehlungen und keine Vorgabe, genau diese oder jene Maßnahmen umzusetzen. Ein Unternehmen, das zum Beispiel personenbezogene Daten in die Cloud eines US-Betreibers übermitteln möchte, kommt um die Einzelfallprüfung und um die eigenverantwortliche Festlegung der Maßnahmen nicht herum.

Trotzdem sind die Empfehlungen der Aufsichtsbehörden natürlich mehr als hilfreich und willkommen. Der EDSA gibt Anwenderunternehmen zum einen wichtige Hinweise dazu, welche Gesichtspunkte sie im Rahmen der vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigen müssen.

Zudem gibt der EDSA für eine Reihe typischer „Use Cases“ Hinweise dazu, inwieweit es möglich ist, überhaupt mit Hilfe zusätzlicher Maßnahmen das geforderte Schutzniveau zu erreichen, und inwieweit dies ggf. für bestimmte Fallgruppen nicht möglich ist.

Aufsichtsbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) raten Unternehmen dringend, die Empfehlungen des EDSA genau zu lesen.

Geeignete Maßnahmen als Ergänzung der Standardvertragsklauseln finden

Wie aber geht man vor, um ergänzende Maßnahmen zu finden, die für ein angemessenes Schutzniveau sorgen? Hierzu empfehlen die Aufsichtsbehörden einen Prozess, der damit beginnt, dass man zuerst alle stattfindenden und geplanten Übermitlungen personenbezogener Daten in das Drittland USA ermittelt. Dann muss für jede Datenübermittlung die Rechtsgrundlage gesucht und gefunden werden. Im Idealfall hilft hier das bestehende Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO.

Normalerweise folgt nun die Prüfung, wie es um die Rechtssituation in dem Zielland bestellt ist. Wichtig ist dabei der Hinweis der Aufsichtsbehörden: Die Standardvertragsklauseln können die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar. Wie zuvor erwähnt, ist dies für die USA der Fall, wie das Urteil des EuGH besagt.

Welche Maßnahmen den angemessenen Schutz herstellen können, hängt insbesondere von dem Schutzbedarf der Daten und der vorgesehenen Verarbeitung ab. Nicht alle möglichen Schutzmaßnahmen machen Sinn je nach Art der Datenverarbeitung. So kann eine Verschlüsselung, die weder der US-Betreiber noch die US-Behörde, die einen Datenzugriff wünscht, umgehen könnte, zwar einen Schutz für sensible Daten darstellen. Wenn sich verschlüsselte Daten aber nicht für die geplante Verarbeitung eignen, ist der Schutz für den Zweck nicht möglich. Werden die verschlüsselten Daten dagegen für die weitere Verarbeitung zum Beispiel in der US-Cloud entschlüsselt, liegt kein entsprechender Schutz mehr durch die Verschlüsselung vor.

Ergänzende Maßnahmen können auch dann nicht zum Ziel führen, wenn die gewählten Schutzmaßnahmen in dem Drittland nicht erlaubt wird. Finden sich keine Maßnahmen, die sich umsetzen lassen, gelingt es auch nicht, das angemessene Schutzniveau zu erreichen, und entsprechend darf die Übermittlung in das Drittland nicht (mehr) erfolgen.

Die Bedeutung der technischen Datensicherheit

Doch es gibt auch andere Empfehlungen für ergänzende Schutzmaßnahmen, die sich eignen könnten, je nach Risikoanalyse und vorgesehene Datenverarbeitung, nicht nur Verschlüsselung. Die Empfehlung der Aufsichtsbehörden hat einen entsprechenden Anhang dazu. Diesen gilt es durchzugehen und die Möglichkeiten, die die Maßnahmen bieten können, im konkreten Fall zu hinterfragen.

Generell gilt: Sinnvolle, ergänzende Maßnahmen können abhängen von

  • Format der zu übertragenden Daten (in Klartext / pseudonymisiert oder verschlüsselt),
  • Kategorie und Schutzbedarf der Daten,
  • der Art der Datenverarbeitung,
  • der Anzahl der an der Verarbeitung beteiligten Akteure und der Beziehung zwischen ihnen und
  • der Möglichkeit, dass die Daten innerhalb desselben Drittlandes weitergegeben werden können oder sogar in andere Drittländer (z. B. Einbeziehung von Unterverarbeitern)

Ergänzende Maßnahmen können grundsätzlich vertraglichen, technischen oder organisatorischen Charakter haben. Die Kombination verschiedener Maßnahmen, die sich unterstützen und aufeinander aufbauen, kann das Schutzniveau verbessern und somit zur Erreichung der EU-Standards beitragen, so die Aufsichtsbehörden.

Doch der Technik kommt eine besondere Stellung zu: Vertragliche und organisatorische Maßnahmen allein werden den Zugang der Behörden des Drittlandes zu personenbezogenen Daten im Allgemeinen nicht überwinden. Es wird deshalb Situationen geben, in denen nur technische Maßnahmen den Zugang zu personenbezogenen Daten behindern oder bewirken könnten, dass der Zugang von Behörden in Drittländern zu personenbezogenen Daten, insbesondere zu Überwachungszwecken, nicht möglich ist.

Wenn aber selbst keine technische Maßnahme helfen kann, um das notwendige Datenschutzniveau zu erreichen, kann auch auf Basis der Standardvertragsklauseln keine Rechtsgrundlage für die Übermittlung in die USA gefunden werden. Dann gilt es, andere Grundlagen in Augenschein zu nehmen, die die DSGVO in Kapitel V aufführt.

(ID:47384415)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research