Steine statt Brot: Empfehlungen des EDSA zu Datentransfers nach Schrems II
Der Europäische Datenschutzausschuss (EDSA) hat seine lang erwarteten Empfehlungen 1/2020 zur öffentlichen Debatte gestellt, die sich mit der Rechtfertigung von Datentransfers in Drittländer befassen. Das Gremium der europäischen Datenschutzbehörden gibt eine ganze Reihe erwägenswerter Hinweise. Belastbare Lösungen liefert der EDSA indes nicht.
Im Gegenteil: Datentransfers an Dienstleister, die inhaltlich mit den Daten arbeiten, und sogar innerhalb eines Konzerns zur Abwicklung des täglichen Geschäfts seien regelmäßig nicht zu rechtfertigen. Das überzeugt unter Anerkennung der praktischen Notwendigkeiten und unter Berücksichtigung des risikobasierten Ansatzes der DSGVO nicht (siehe konkrete Handlungsoptionen unten).
Hintergrund
In seinem Urteil vom 16. Juli 2020 (EuGH v. 16.7.2020 - C‑311/18, CR 2020, 529 ff.) hat der EuGH nicht nur klargestellt, dass das Privacy Shield unwirksam ist. Bei der Gelegenheit kam er auch zur Einschätzung, dass die Standardvertragsklauseln der EU-Kommission (Standard Contractual Clauses, SCC) allein bei Datentransfers in Drittländer ggf. unzureichend seien.
In den SCC werden dem Datenempfänger im Drittland Pflichten auferlegt, um zwischen den Parteien ein Datenschutzniveau zu etablieren, das jenem in der EU angenähert ist. Für die USA sei das wegen der weitreichenden Zugriffsbefugnisse der dortigen Behörden ohne hinreichenden Rechtsschutz durch Regelungen wie FISA 702 und EO 12333 zweifelhaft, da diese die SCC unterminieren könnten. Eine Rechtfertigung könne daher je nach Einzelfall erst durch „Zusatzmaßnahmen“ erreicht werden.
Wie diese „Zusatzmaßnahmen“ aussehen können, sagte der EuGH nicht. Das ist besonders misslich, da in der Praxis die Lösung über SCC sehr etabliert ist. Zudem stellt sich das Problem nicht nur bei Transfers in die USA, sondern in alle Drittländer und damit auch nach China, Russland und bald wohl auch das Vereinigte Königreich.
Unterschied zum BVerfG: Lejeune, "Die Angemessenheit drittstaatlichen Datenschutzniveaus nach dem BVerfG und die „unangemessenen“ Vorgaben nach EuGH „Schrems II“", CR 2020, 716 - 726
Unsichere Praxis ohne SCC als Standardlösung
Das Urteil des EuGH zieht eine sehr große Zahl von Datentransfers in Zweifel, die notwendig sind, um wirtschaftliche Prozesse aufrecht zu erhalten.
Unternehmenspraxis: Die Reaktion im Markt orientierte sich an geübten datenschutzrechtlichen Vorgehensweisen: Die Datentransfers werden identifiziert, es wird in Anlehnung an das Konzept der Datenschutz-Folgenabschätzung eine Risikoanalyse vorgenommen (Transfer Impact Assessment, TIA) und es werden ggf. technische und vertragliche Zusatzmaßnahmen implementiert, z.B. durch die Verschlüsselung der Daten oder die Vereinbarung ergänzender Verpflichtungen über die SCC hinaus (z.B. weitergehende Transparenzpflichten). Allerdings stehen diese selbst entwickelten Lösungen immer vor dem Problem, dass sie (noch) nicht von Behörden oder Gerichten bestätigt wurden. Da sie gleichzeitig hohe Aufwände auslösen, wurde gerade auf die Empfehlungen des EDSA gewartet, um sich daran orientieren zu können.
Aufsichtsbehördliche Hilfestellungen: Bereits vor dessen Empfehlungen hatten der EDSA FAQs und die deutschen Datenschutzbehörden gewisse Hilfestellungen veröffentlicht. Dies waren allerdings in der Regel Prüfungsschemata (vgl. zuletzt jene des BfDI und des LfDI RLP), die im Wesentlichen die Rechtslage und das Urteil des EuGH nur wiedergaben. Oder Handreichungen, die zwar konkrete Empfehlungen enthielten, gleichzeitig aber klarmachten, dass hierauf eher keine im großen Maßstab ausgerollte Lösung basieren sollte (vgl. die Orientierungshilfe des LfDI BW).
Praktikabilität: Dementgegen sind verbindliche und im Unternehmensalltag umsetzbare Vorgaben in der Praxis unabdingbar – die SCC waren und sind gerade deshalb wichtig, weil sie Standardlösungen sind.
Empfehlungen des EDSA
Die Hoffnungen, dass der EDSA mit seinen Empfehlungen verlässliche Lösungen bringen würde, wurden im Ergebnis enttäuscht. Dabei ist das Dokument beeindruckend, zeigt es doch eine sehr tiefgehende Befassung mit den Herausforderungen durch die Rechtslage. Zudem enthält sein Annex 2 mit den dort behandelten Use Cases Beispiele mit konkreten Lösungsansätzen für bestimmte Szenarien. Obwohl diese nicht neu sind, sondern längst Teil der datenschutzrechtlichen Debatte und Umsetzung waren, erfolgt immerhin eine Rückkopplung zwischen Praxis und Aufsichtsbehörden.
Praxisferne Verschärfung: Allerdings verschärft der EDSA mit seinen Empfehlungen die Lage in einigen Konstellationen, zu denen er Stellung bezieht. So habe er keine geeigneten technischen Zusatzmaßnahmen zur Rechtfertigung von Datentransfers identifiziert, wenn Dienstleister mit Klardaten arbeiten und wenn im Konzern internationale Zugriffsberechtigungen bestehen (Rz. 88 ff.). Auch wenn nach hier vertretener Ansicht damit die Rechtfertigung auf Basis der SCC im Einzelfall noch nicht ausgeschlossen ist (siehe Handlungsoptionen unten), sind diese Einschätzungen für die Praxis eine Zumutung.
Hier eine Auswahl der Aspekte, die für den EDSA bei der Bewertung und Rechtfertigung von Datentransfers auf Grundlage der SCC maßgeblich sind:
- Erweiterung des Verständnisses von Datentransfers: Rechtfertigungsbedürftige Datentransfers seien auch Weitergaben von Auftragsverarbeitern im Drittland zu deren Subdienstleistern in einem anderen Drittland. Zudem seien Zusatzmaßnahmen bereits erforderlich, wenn Daten lediglich durch Drittländer geleitet werden und sogar dann, wenn die Daten nie die EU verlassen, hier aber einem Zugriff unterliegen könnten (Rz. 10, 13, 78, 84). Kritik: Diese Positionen passen nicht zu den verfügbaren Fassungen der SCC, die dem Datenübermittler direkt nur die Sicherung der ersten Übermittlung in ein Drittland aufgeben. Und sie verwischen das Konzept der Art. 44 ff. DSGVO, wenn Zugriffe auf Daten in der EU zweckgerichteten Datentransfers in Drittländer gleichgestellt werden.
- Datenschutzniveau im Drittland: Bei der Ermittlung der Risiken durch die Rechtslage im Drittland verweist der EDSA auf seine ebenfalls frisch veröffentlichten Empfehlungen 2/2020 zu grundlegenden Garantien, die immer gewährleistet werden müssen. Zudem seien gemäß Annex 3 u.a. die Rechtsprechung des EGMR und des EuGH, Berichte internationaler Organisationen und die jeweilige nationale Rechtsprechung auszuwerten. Kritik: Praktisch ist diese Vorgabe nur für internationale Konzerne mit entsprechenden Ressourcen oder für Datenübermittlungen in Einzelfällen erfüllbar.
- (Nur) objektive Rechtslage entscheidend: Es sei die objektive Rechtslage im Drittland maßgeblich. Wie wahrscheinlich es im konkreten Fall ist, dass die übermittelten Daten auch tatsächlich einem Zugriffsinteresse der Behörden im Drittland unterliegen, sei nachrangig (Rz. 42). Kritik: Diese Einschätzung erscheint zweifelhaft, da sie den risikobasierten Ansatz der DSGVO außer Acht lässt.
- Technische Zusatzmaßnahmen können insbesondere im Bereich der Verschlüsselung wirksam sein, solange der Schlüssel vor Drittzugriff geschützt ist. Zudem könne auch die Pseudonymisierung bzw. Auftrennung von Datenbeständen zur Auflösung des direkten Personenbezugs Teil wirksamer Zusatzmaßnahmen sein (Rz 79 ff.). Kritik: Der EDSA setzt hier allerdings hohe Standards an („flawless implementation“).
- Vertragliche Zusatzmaßnahmen werden ausführlich vorgestellt. Sie ergänzen im Grunde die bereits in den SCC angelegten Konzepte durch Transparenz- und Mitteilungspflichten, Pflichten zur Gewährleistung bestimmter Sicherheitsstandards beim Datenempfänger, Auditrechte des Datenübermittlers und drittbegünstigende Klauseln zugunsten der Betroffenen (Rz. 97 ff.) Kritik: Auch hier gießt der EDSA Wasser in den Wein. Denn die eigentlich naheliegenden Klauseln, denen zufolge der Datenempfänger sich gegen Zugriffsbegehren der lokalen Behörden bis zur letzten Instanz wehren soll, seien regelmäßig unzureichend, da dies schließlich nach dem Recht des Drittlands und nicht im Sinne der DSGVO entschieden werde.
- Keine Genehmigungspflicht: Es sei keine behördliche Genehmigung erforderlich, wenn vertragliche Zusatzmaßnahmen neben den SCC vereinbart werden, die nicht im Widerspruch hierzu stehen (Rz. 56). Kritik: Das ist ohne Einschränkung erfreulich, da so der abschreckende Effekt in Bezug auf die Ergänzung der SCC gelindert wird.
- Notwendige Kombination der Zusatzmaßnahmen: Vertragliche Zusatzmaßnahmen seien regelmäßig allein nicht ausreichend, um Zugriffe durch Behörden im Drittland auszuschließen, so dass in solchen Fällen nur die Kombination mit technischen Zusatzmaßnahmen zielführend sei (Rz. 48, 93). Kritik: Dieses Problem wird seit dem Urteil des EuGH thematisiert (Lejeune, CR 2020, 522, 527 Rz. 19 https://online.otto-schmidt.de/db/dokument?id=cr.2020.08.i.0522.01.a). Es ist nicht aufzulösen, wenn der Datenempfänger Zugriff auf Klardaten benötigt und daher vertragliche oder organisatorische Zusatzmaßnahmen Abhilfe schaffen müssten.
- Organisatorische Zusatzmaßnahmen wie interne Richtlinien und Zertifizierungen seien in der Regel nur geeignet, die technischen (und ggf. vertraglichen) Zusatzmaßnahmen zu ergänzen (Rz. 122).
Fazit
Bloße Denkanstöße: Leider liefert der EDSA nicht den erhofften Mehrwert durch klar umsetzbare Vorgaben. Vielmehr veröffentlicht er 38 Seiten mit Problemen, Vorschlägen und Ideen, verbunden mit dem Hinweis, dies bitte selbst auf jeden Einzelfall anzuwenden und angemessene Lösungen zu finden. Selbstverständlich seien die Maßnahmen je nach Konstellation auch zu variieren und zu kombinieren. Diese Anforderungen sind im Endeffekt ohne aufwendige Rechtsberatung nicht zu leisten, Restrisiken sind selbst dann kaum auszuschließen.
Quadratur der Datentransfer-Kreise: Der EDSA war allerdings auch nicht zu beneiden. Das Urteil des EuGH lässt praktisch kaum Optionen neben der Vorgabe einer Einzelfallbewertung zu. Dass das Urteil indes Datentransfers innerhalb internationaler Konzerne unterbinden wollte, mag bezweifelt werden.
Grundlegende Probleme: Die aus dem Urteil im Endeffekt abgeleitete und nun praktisch auch vom EDSA getragene Forderung, die USA und andere Drittländer sollten ihre Behördenbefugnisse an den EU-Grundrechten ausrichten, hat insofern drei Probleme:
- Einseitiger Fokus: Sie konzentriert sich nur auf die Rechte der von der Datenverarbeitung Betroffenen und vernachlässigt die Interessen der den Datentransfer aus operativen Gründen vornehmenden Unternehmen.
- Falsche Prämisse: Sie vernachlässigt, dass auch innerhalb der EU durchaus vergleichbare Datenzugriffe der hiesigen Behörden möglich sind und überschätzt damit das bei Datenexport aufrechtzuerhaltende Datenschutzniveau in der EU.
- Mittelbare Politik: Und vor allem beschwert sie europäische Unternehmen mit der aufgezwungenen Aufgabe, diese eigentlich politische Forderung durch Druck auf ihre Geschäftspartner geltend zu machen.
Der EDSA hätte mit mehr Mut zu praxisnahen Standardlösungen helfen können, diese Fehlentwicklungen zu relativieren. Im Ergebnis sind die Empfehlungen aber nur eine ausführliche Zusammenfassung der bereits im Markt entwickelten Maßnahmen. So verstanden ist das Dokument zumindest eine gute Zusammenfassung der Anforderungen und Möglichkeiten. Die neuen Hoffnungen liegen nun auf den von der EU-Kommission noch für dieses Jahr angekündigten neuen Fassungen der SCC.
[Update: Der Entwurf der neuen SCC wurde überraschend bereits einen Tag nach den Empfehlungen des EDSA veröffentlicht. Die Klauseln sind nun modular aufgebaut und erfassen alle relevanten Konstellationen: Controller-to-Controller, Controller-to-Processor und endlich auch Processor-to-Processor und Processor-to-Controller. Sie enthalten diverse Regelungen, die vertragliche Zusatzmaßnahmen über die bestehenden SCC hinaus wären. Aber auch sie können nicht die Rechtslage bzw. Behördenbefugnisse in Drittländern ändern. Die weitere Entwicklung bleibt also spannend.]
Handlungsoptionen
Unter Berücksichtigung der Empfehlungen des EDSA sollten Datentransfers in Drittländer ohne angemessenes Datenschutzniveau auf Grundlage von SCC (oder anderer Mechanismen nach Art. 46 DSGVO) derzeit wie folgt gehandhabt werden:
- Ermittlung, welche Datentransfers an welche Empfänger in Drittländern zu welchen Zwecken erfolgen.
- Ermittlung, ob die Datentransfers ggf. ohne Rückgriff auf SCC gerechtfertigt werden können, insbesondere durch die Erlaubnistatbestände in Art. 49 DSGVO.
- Ermittlung der potentiellen Risiken für die Betroffenen durch die Rechtslage im jeweiligen Drittland und ggf. beim konkreten Datenempfänger (Zugriffsbefugnisse im Drittland richten sich ggf. nur gegen bestimmte Unternehmen).
- Ableitung der Risiken für die Betroffenen im konkreten Fall, nach hier vertretener Auffassung auch unter Berücksichtigung der Interessen des Datenübermittlers und ggf. Dritter am Datentransfer (insbesondere Berücksichtigung, ob der Datenübermittler auf den Transfer mangels Alternativen angewiesen ist).
- Ggf. Implementierung von Zusatzmaßnahmen zur Herstellung eines angemessenen Schutzniveaus, wobei vor allem technische Maßnahmen wirksam sein können (oder Einstellen des Datentransfers, wenn erforderliche Zusatzmaßnahmen nicht implementiert werden können).
- Regelmäßige Verifikation, dass weiterhin ein angemessenes Schutzniveau sichergestellt ist.
- Dokumentation aller Schritte und ergriffenen Maßnahmen im Rahmen von TIAs.