Umsetzung des EuGH-Urteils in die Praxis

I             Die Entscheidung

Der EuGH hat mit Urteil vom 16.07.2020 (C-311/18) das EU-US-Privacy Shield für ungültig erklärt, da es nicht die Anforderungen für einen dem Unionsrecht gleichwertigen Datenschutz erfülle.

Im gleichen Urteil bestätigte der EuGH aber die grundsätzliche Gültigkeit der sog. Standardvertragsklauseln der Europäischen Kommission. So sei eine Übermittlung von personenbezogenen Nutzerdaten in einen Drittstaat außerhalb der EU/des EWR weiterhin auf Grundlage der Standardvertragsklauseln möglich.

Aber die Anwender der Klauseln müssen ein Schutzniveau für die personenbezogenen Daten sicherstellen, das dem der Europäischen Union entspricht, so die neue zusätzliche Voraussetzung. Es bedarf also neben der Vereinbarung der Standardvertragsklauseln für einen legalen Datentransfer zukünftig „zusätzlicher Maßnahmen“ des Vertragspartners, soweit die Behörden (beispielsweise Geheimdienste) des Drittlandes – wie im Falle der USA – Zugriff auf Daten von EU-Bürgern erlangen können. Diese Regelung wird u.U. sogar noch ergänzt durch ein Verbot des Dienstleisters, den Verantwortlichen über den Zugriff auch nur informieren zu können.

Da es momentan (noch) keine Nachfolgeregelung zum Privacy Shield gibt und viele Daten-transfers durchaus auf Grundlage von Standardvertragsklauseln laufen könnten, müssen Unternehmen nun diese zusätzliche Voraussetzung „zusätzliche Maßnahmen“ zu den Standardvertragsklauseln installieren bzw. überprüfen, wenn sie Daten in sog. unsichere Drittstaaten wie die USA übermitteln wollen.

Dazu wollen wir Ihnen hiermit eine Hilfestellung geben.

 

II           Umsetzung des Urteils in die Praxis

Neu ist also, dass jedes Unternehmen, welches Daten in unsichere Drittstaaten exportiert, selbst den eigenen Datentransfer auf Rechtmäßigkeit prüfen muss. Es ist davon auszugehen, dass Dienstleister nicht selbstständig Ihre Kunden über den Sachverhalt informieren.

Auf den ersten Blick sicherlich für viele Unternehmen eine kaum zu bewältigende Aufgabe. Mittlerweile sind viele Hinweise und Vorschläge im Umlauf, wir empfehlen unseren Kunden ein unkompliziertes Vorgehen mit dem Thema durch eine strukturierte Prüfung in wenigen Schritten wie folgt:

 

  1. Datentransfers auflisten

Zunächst einmal sollten Sie alle Dienstleister identifizieren, bei denen ein Transfer in Dritt-staaten erfolgt. Zu beachten ist, dass in die Liste auch Dienstleister aus der EU bzw. dem EWR inklusive deren Subdienstleister aufgenommen werden müssen, da es auch sein kann, dass ein Datenabfluss über diese Subdienstleister erfolgt. Erforderlich ist die Auflistung aller Dienstleister, egal welcher Vertrag zugrunde liegt, also ein Vertrag zur Auftragsverarbeitung, eine gemeinsame Verantwortlichkeit oder eine eigenverantwortliche Dienstleistung.

 

  1. Alternativen prüfen

Weiter sollte geprüft werden, ob es alternative Verarbeitungsmöglichkeiten innerhalb der EU, innerhalb des EWR oder in Staaten mit angemessenem Datenschutzniveau gibt. Diese Alternativen sollten aber gleichwertig sein, wobei insbesondere folgende Faktoren berücksichtig werden sollten:

  • Usability
  • Funktionalität und Funktionsumfang
  • Kosten
  • Sicherheitsrisiko

 

  1. Rechtsgrundlage ermitteln

Als dritter Schritt halten Sie fest, basierend auf welcher Rechtsgrundlage der Datentransfer stattfindet. In Betracht kommen seit Wegfall des Privacy Shields insbesondere:

  • Standardvertragsklauseln
  • Binding Corporate Rules
  • erforderlicher Datentransfer i.S.d. Art. 49 Ziff. 1b u. c DSGVO
  • Einwilligung i.S.d. Art. 49 Ziff. 1a DSGVO
  • weitere Ausnahmen des Art. 49 DSGVO (selten)

Meistens dürften hier zumindest zurzeit die Standardvertragsklauseln genannt werden müs-sen.

 

  1. Anschreiben der Dienste

Wenn diese Auflistung vorliegt, sollten Sie jeden Dienstleister anschreiben und insbesondere nach den zusätzlichen Maßnahmen zur Sicherstellung des Datenschutzniveaus fragen.

 

  1. Bestimmung des Risikos

Im Anschluss bewerten Sie individuell im jeweiligen Einzelfall das Risiko des Betroffenen hinsichtlich einer Datenverarbeitung in dem jeweiligen Staat. Dabei ist zu beurteilen, welche möglichen Folgen für die Betroffenen bei einem Zugriff durch US-Behörden eintreten könnten. Grundsätzlich muss dabei gelten: Je sensibler die verarbeiteten Daten, desto höher das Risiko.

 

  1. Bewertung der Schutzmaßnahmen

Schließlich ist für jeden Einzelfall zu bewerten, ob das Datenschutzniveau bei den Anbietern hinreichend ist. Dabei können Maßnahmen zur Steigerung der Datensicherheit folgende sein (Aufzählung ist nicht abschließend):

  • ausschließlicher Einsatz von EU-Servern
  • Verschlüsselung
  • Keine Existenz von Hintertüren zu verschlüsselter Software
  • Zusicherung der Information über Behördenanfragen
  • Nachweis durch Audits
  • Verpflichtung zur Zahlung einer Vertragsstrafe

 

  1. Ergebnis

Sollten Sie zu dem Ergebnis kommen, dass ein angemessenes Schutzniveau besteht, dann können Sie die Nutzung des Dienstes aufrechterhalten.

Sollten Sie feststellen, dass das Datenschutzniveau nicht aufrechterhalten werden kann, gibt es die Optionen der Einstellung der Verarbeitung, der Meldung bei der Aufsichtsbehörde von Datenverarbeitungen, die nicht dem geforderten Datenschutzniveau genügen, nach der Vorgabe des Europäischen Datenschutzausschusses und der Akzeptanz des Risikos.

 

Dieser Prüfkatalog ist ein Beispiel dafür, wie Sie mit der neuen Anforderung hinsichtlich zusätzlicher Maßnahmen zum Datentransfer sinnvoll und pragmatisch umgehen können.

Egal, ob Sie diese Prüfung übernehmen oder einen anderen Weg finden, das Thema intern zu behandeln – jedenfalls sollten Sie sich nun der beschriebenen Prüfung widmen und die Ergebnisse umsetzen, um die DSGVO-Konformität Ihres Datentransfers auch weiterhin gewährleisten zu können.

Wir unterstützen Sie mit unserem Fachwissen gern bei der konkreten Realisierung.