Datentransfer in Drittstaaten nach Schrems II: Entwurf der Empfehlungen des EDSA sowie der revidierten Standardvertragsklauseln


Ihr Kontakt

Nach dem Schrems II Urteil ist im Anwendungsbereich der DSGVO umstritten, in welchen Fällen weitere Massnahmen notwendig sind, um Personendaten weiterhin legal in Staaten ohne Angemessenheitsbeschluss der EU-Kommission, insbesondere in die USA, zu übermitteln. Der EDSA hat hierzu einen Entwurf einer Empfehlung veröffentlicht, während die EU-Kommission einen Entwurf für revidierte Standardvertragsklauseln publizierte. Folgt man den strengen Empfehlungen des EDSA, haben die in den revidierten Standardvertragsklauseln vorgesehenen zusätzlichen Garantien eine verschwindend geringe praktische Einsatzmöglichkeit. Während zu hoffen ist, dass die finalen Versionen beider Dokumente besser aufeinander abgestimmt werden, sollten Unternehmen die notwendigen Anpassungen bereits jetzt einleiten.  

Schrems II Urteil des EuGH

Mit dem Schrems II Urteil (C-311/18) des EuGH wurde der EU-US Privacy Shield aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von Art. 45 Datenschutz-Grundverordnung (DSGVO) geforderten gleichwertigen Schutzniveau führten. Massgebend war, dass die Gesetzgebung der USA unverhältnismässige Überwachungsprogramme ermöglicht und die Zweifel an der Wirksamkeit der Rechtsbehelfe des im Privacy Shield vorgesehenen Mechanismus mit der Ombudsperson nicht ausgeräumt werden konnten.

Unternehmen im Anwendungsbereich der DSGVO müssen daher die Rechtgrundlagen eines Datentransfers in die USA überprüfen. Sofern Personendaten in die USA bisher nur gestützt auf das EU-US Privacy Shield übermittelt wurden, müssen andere geeignete Garantien nach Art. 46 ff. DSGVO vereinbart werden. In der Praxis werden vielfach die von der EU-Kommission erlassenen Standard Contractual Clauses (SCC) als Alternative in Frage kommen, sofern diese nicht bereits zusätzlich vereinbart wurden. Der Schrems II Entscheid stellte aber klar, dass der Einsatz von SCC für Datentransfers in die USA und andere Länder ohne Angemessenheitsbeschluss einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung um zusätzliche vertragliche Garantien bedarf. Es blieb aber unklar, wann genau zusätzliche Garantie zu vereinbaren sind und welchen Inhalt diese Garantien haben sollen (siehe dazu MLL-News vom 5. Oktober 2020).  

EDSA: Entwurf für Empfehlungen zu Datentransfers in Drittländer

Aufgrund dieser Unklarheiten wurde erwartet, dass Aufsichtsbehörden klärende Leitlinien erlassen. Der Europäische Datenschutzausschuss (EDSA) kündigte an, eine gesamteuropäische Position zur Problematik zu entwickeln. Im November 2020, d.h. vier Monate nach dem Schrems II Entscheid, legte der EDSA nun den Entwurf einer Empfehlung zu Massnahmen vor, welche die bei Datentransfers in Drittländer vereinbarten Garantien ergänzen können (EDPB, Draft Recommendations 01/2020). Die Empfehlung enthält ein sechsstufiges Prüfprogramm.

  • Schritt 1 (Identifikation Auslandtransfer): Die Auslandtransfers müssen bekannt sein und dokumentiert werden.
      
  • Schritt 2 (Identifikation Rechtsgrundlagen): Es muss evaluiert werden, auf welche Rechtsgrundlage bzw. anerkannte Garantie gemäss Kapitel V DSGVO sich der Transfer stützt.
      
  • Schritt 3 (Prüfung der Rechtsordnung im Empfängerland): Danach soll geprüft werden, ob Hinweise dafür bestehen, dass die Rechtsordnung und Rechtspraxis des Drittlandes die Wirksamkeit der im Übertragungsinstrument vereinbarten Garantien im konkreten Fall beeinträchtigen könnten. Der EDSA hat hierzu eigene Empfehlungen veröffentlicht, die Essential European Guarantees for surveillance measures (EEG). Es soll geprüft werden, ob in der Rechtsordnung des Empfängerstaates
      • (i) Datenverarbeitungen auf klaren, präzisen und zugänglichen Regeln basieren,
      • (ii) die gesetzlich vorgesehenen Eingriffe auf das notwendige und verhältnismässige Mass beschränkt bleiben,
      • (iii) unabhängige Aufsichtsmechanismen bestehen und
      • (iv) den betroffenen Individuen wirksame Rechtsbehelfe zur Verfügung stehen.
          
  • Schritt 4 (Zusätzliche Garantien): Kommt der Verantwortliche zum Schluss, dass die vereinbarten Garantien nicht ausreichen könnten, soll er vom Datenempfänger weitere Garantien verlangen. Annex 2 der Empfehlung listet in nicht abschliessender Weise zusätzliche Massnahmen auf, die vertraglicher, organisatorischer oder technischer Natur sein können. Bei der Beurteilung, ob solche Garantien notwendig sind, sind folgende Faktoren zu berücksichtigen:
      • (i) das Datenformat (Klartext, pseudonymisierte oder verschlüsselte Daten),
      • (ii) die Art der Daten,
      • (iii) die Dauer und Komplexität des Datentransfers sowie
      • (iv) die Möglichkeit einer Weitergabe an weitere Verantwortliche oder Auftragsdatenbearbeiter im Empfängerstaat oder in einem Drittstaat.
          
  • Schritt 5 (Einhalten der sich aus den zusätzlichen Garantien ergebenden formellen Anforderungen): Der Datenexporteur muss die formellen Anforderungen einhalten, die sich aus der Vereinbarung zusätzlicher Garantien ergeben (insb. Bewilligungspflichten).
      
  • Schritt 6 (Review): Der Verantwortliche muss seine Datentransfers beobachten und, wo nötig eingreifen, wenn das angemessene Datenschutzniveau nicht mehr sichergestellt ist.
      

Der EDSA stellt aber klar, dass vertragliche Massnahmen Behörden nicht binden würden und daher mit technischen und organisatorischen Massnahmen kombiniert werden müssen. In Annex 2 führt er beispielhaft auf, welche zusätzlichen Massnahmen für verschiedene Use-Cases in Frage kommen. Mit Bezug auf die praxisrelevanten Beispiele der Nutzung von Cloud-Computing Diensten von Anbietern in Staaten ohne angemessenes Datenschutzniveau (Use Case 6) sowie der Nutzung von Klardaten innerhalb einer Unternehmensgruppe mit Niederlassungen in einem Staat ohne angemessenes Datenschutzniveau (Use Case 7) vertritt der EDSA eine strenge Auslegung: Wenn der Zugriff auf unverschlüsselte personenbezogene Daten für diese Empfänger technisch notwendig ist, stellen die Transportverschlüsselung und die Verschlüsselung der Daten im Ruhezustand auch in Kombination keine ausreichenden Massnahmen dar.  

Entwurf revidierter Standardvertragsklauseln

Im Schrems II Urteil hat der EuGH bestätigt, dass der EU-Beschluss von 2010 über die unter der RL 95/46/EG erlassenen SCC für Auftragsdatenverarbeiter ausserhalb der EU weiterhin gültig ist. Obwohl die unter der RL 95/46/EG erlassenen SCC weiterhin Bestand haben (siehe auch Art. 46 Abs. 5 DSGVO), hat die EU Kommission nun im November 2020 einen neuen Beschluss-Entwurf zu den Standardvertragsklauseln veröffentlicht, mit dem die SCC angepasst werden sollen. Die revidierten SCC umfassen mehrere Module, die von den Unternehmen je nach Übertragungsszenario zu verwenden sind, nämlich Übertragungen für die Verarbeitung (i) Controller-Controller, (ii) Controller-Processor, (iii) Processor-Processor und (iv) Processor-Controller.

Mit Bezug auf die Kernproblematik der Schrems II Entscheidung sollen Datenempfänger und -exporteur modulübergreifend folgende Regeln zum lokalen Recht des Empfängers und zu an ihn gerichteten Behördenanfragen vereinbaren:

  • Allgemeine Prüf- und Informationspflichten: Beide Parteien sichern sich zu, dass sie davon ausgehen, dass die Gesetzgebung des Empfängerstaates dem Einhalten der SCC nicht entgegensteht und sie die Rechtsordnung entsprechend geprüft haben. Zudem garantiert der Datenimporteur, dass er dem Exporteur für diese Prüfung ausreichende Informationen bereitgestellt habe und ihn darüber informieren wird, wenn Gesetze auf ihn anwendbar werden, die nicht mehr dem Angemessenheitsstandard entsprechen, oder wenn er seine Pflichten nicht mehr einhalten könne.
      
  • Informationspflicht bei behördlichem Zugriff: Der Datenimporteur wird den Datenexporteur und, wo möglich, die betroffene Person informieren, wenn er eine rechtlich verpflichtende Aufforderung zur Offenlegung der unter den SCC transferierten Daten erhält oder ihm bekannt wird, dass Behörden sich rechtmässigen direkten Zugang zu den unter den SCC transferierten Daten verschafft haben. Ist ihm diese Notifikation verboten worden, soll er sich darum bemühen («use best efforts»), eine Ausnahme von diesem Verbot zu erwirken. Der Datenimporteur soll, soweit zulässig, regelmässig über diese Zugriffe informieren, Statistiken hierüber führen und auf Verlangen der zuständigen Aufsichtsbehörde herausgeben.
      
  • Anfechtungspflicht: Der Datenimporteuer verpflichtet sich, die Rechtmässigkeit der Aufforderung zur Offenlegung zu überprüfen und sie unter Ausschöpfung des Instanzenzugs anzufechten, wenn er Gründe hierfür als gegeben erachtet. Zudem verpflichtet sich der Datenimporteur, so wenig Informationen wie rechtlich zulässig offenzulegen. Diese Anfechtungspflicht wird als vertragliches Recht zugunsten der betroffenen Personen ausgestaltet, das in einem EU-Mitgliedsstaat eingeklagt werden kann.
      

Anhang II der revidierten SCC verlangt von den Unternehmen zudem umfassende Informationen über ihre technischen und organisatorischen Massnahmen – insbesondere in Bezug auf die Datensicherheit – und verpflichtet sie, diese Informationen regelmässig zu aktualisieren. Die revidierten SCC enthalten aber keine besonderen Standards oder Bedingungen für den Einsatz von Verschlüsselung als technische Massnahme.  

Einschätzung

Sofern die revidierten SCC so verabschiedet werden, stellt sich für Unternehmen vor allem die Frage, ob die revidierten SCC für Datentransfers in Drittstaaten ohne Angemessenheitsbeschluss der EU Kommission ohne weiteres eingesetzt werden können. Dem Prüfprogramm der Draft Recommendations 01/2020 lassen sich Anhaltspunkte entnehmen, wie der EDSA dies beurteilen dürfte: Falls die Rechtsordnung im Empfängerstaat die Wirksamkeit der Garantien der SCC beeinträchtigt (Schritt 3), weil z.B. die gesetzlich vorgesehenen Datenzugriffe der Behörden nicht auf das erforderliche Mass beschränkt sind, müssen zusätzliche Garantien geprüft werden (Schritt 4). Zusätzliche Garantien können vertraglicher, technischer oder organisatorischer Natur sein. Die revidierten SCC sehen neu eine vertragliche Anfechtungspflicht des Datenimporteurs vor und greifen damit die Forderungen des Schrems II Entscheids auf, der wirksame Rechtsbehelfe für betroffene Personen in der EU verlangte. Gemäss EDSA reichen vertragliche Massnahmen alleine tendenziell aber nicht aus, wenn im Empfängerstaat gesetzlich vorgesehene Datenzugriffe nicht auf das erforderliche Mass beschränkt sind. Von daher dürften aus Sicht des EDSA die rein vertraglichen Anfechtungspflichten der revidierten SCC in so einem Fall für sich allein keine ausreichende Garantie darstellen.

Die Beispiele der Draft Recommendations 01/2020 lassen den Schluss zu, dass die einzige zusätzliche Garantie, die für sich genommen eine Datenübermittlung in Länder legitimiert, die wie die USA weitgehende behördliche Zugriffsrechte kennen und daher nicht für einen Angemessenheitsbeschluss der EU Kommission qualifizieren, eine Verschlüsselung ist, die dem Datenimporteur und damit auch Behörden in diesem Land den Zugriff auf Personendaten verunmöglicht. Eine solche Verschlüsselung umzusetzen bedingt, dass der Importeur den Schlüssel nicht kennt, damit er auch nicht von einer Behörde zu dessen Herausgabe gezwungen werden kann. Gerade für die Nutzung von Softwarelösungen von US-Anbietern ist dies nach momentanen Stand der Technik oftmals keine Lösung, weil die Anbieter regelmässig Zugriff auf die Daten im Klartext benötigen. Zudem stehen regelmässig bei vollständiger Verschlüsselung nicht mehr alle Funktionalitäten zur Verfügung.

Der EuGH brachte zwar in der Tat zum Ausdruck, dass er in den Überwachungsmassnahmen der USA einen Widerspruch zur europäischen Datenschutzordnung erkennt, liess aber gleichzeitig die Möglichkeit offen, ob ein Transfer bei zusätzlichen Garantien dennoch möglich sein könnte. Dass solche Garantien nur technischer Natur sein können, wie dies der EDSA vertritt, ergibt sich nicht explizit aus dem Schrems II Urteil. Aus dem Schrems II Urteil lässt sich aber auch nicht ausdrücklich entnehmen, dass die Auffassung des EDSA falsch wäre. Vielmehr war der EuGH wegen grundrechtlicher Überlegungen nicht bereit, Abstriche bei der Gleichwertigkeit des durch Garantien hergestellten Schutzniveaus zu machen. Rein vertragliche Massnahmen ändern an den vom EuGH als massgeblich erachteten grundrechtlichen Problemen nichts; insbesondere würden sie nichts an der grundsätzlichen Möglichkeit von unverhältnismässigen Behördenzugriffen und den fehlenden rechtsstaatlichen Verteidigungsmitteln gegen solche Zugriffe ändern. Verlangt man absoluten Schutz vor unverhältnismässiger behördlicher Überwachung, ist die Position des EDSA letztlich konsequent. Für Risikoüberlegungen gäbe es bei einer solchen Betrachtungsweise auf Stufe der Prüfung der Angemessenheit von zusätzlichen Garantien keinen Spielraum. Risikoüberlegungen würden sich in diesem Fall einzig auf die Wahrscheinlichkeit beziehen, ob ein Datenexporteur wegen dieses Datentransfers rechtliche Probleme erhalten könnte, der Transfer also z.B. von einer Datenschutzbehörde oder betroffenen Person beanstandet wird. Die Tatsache, dass z.B. US-Behörden selten auf Personendaten von EU-Bürgern zugreifen, würde formell aber nichts am fehlenden wirksamen Rechtsschutz ändern.

Dies käme einer weitreichenden Praxisänderung gleich und würde die Einsatzmöglichkeiten von Garantien nach Art. 46 DSGVO gravierend einschränken. Die von der EU Kommission verfolgte Idee, mit den revidierten SCC den betroffenen Personen indirekte Rechtsbehelfe über Anfechtungspflichten des Datenimporteurs zur Verfügung zu stellen, wurde in der Praxis bereits bei risikoreichen Transfers angewandt. Aufgrund der Stellungnahme des EDSA sind nun aber Zweifel angebracht, ob eine Anfechtungspflicht des Datenimporteurs, welche eine rein vertragliche Massnahme darstellt, ohne weitere technische Massnahmen den Aufsichtsbehörden genügt. Es ist zu hoffen, dass der EDSA in seiner Stellungnahme zu den revidierten SCC Bedingungen auf diese Frage eingeht. Es dürfte sich hierbei insbesondere die Frage stellen, ob die indirekte Anfechtungspflicht über den Datenimporteur die rechtsstaatlichen Garantien, welche der EuGH als wichtig erachtete, besser absichert als der Ombudsmann-Mechanismus im Privacy Shield Framework – der betreffende Mechanismus sollte die Anforderung des Vorhandenseins eines wirksamen Rechtbehelfs nach Art. 46(1) DSGVO sicherstellen. Diesen Ombudsmann-Mechanismus hat der EuGH letztlich als zu wenig wirksam erachtet. Daran müssen sich die Rechtsbehelfe im revidierten SCC messen lassen.

Die Datenimporteure in den USA, d.h. die IT-Dienstleistungsanbieter, haben zwar durchaus ein Interesse daran, Behördenzugriffe abzuwehren. Ob sie jedoch geeignet sind, als Stellvertreter der betroffenen Personen für wirksamen Rechtsschutz zu sorgen, ist zumindest fraglich. Der EDSA ist diesbezüglich aus grundrechtlicher Sicht ehrlicher als der EuGH, wenn er feststellt, dass rein vertragliche Massnahmen für ausländische Behörden nicht bindend sind und daher betreffend Datentransfers in die USA alleine nicht ausreichen. Der EuGH hat mit seinen Schrems-Urteilen eine Pandora-Büchse geöffnet, indem er bei der Prüfung der Datentransfers über das Datenschutzrecht im engeren Sinne hinausgegangen ist und die Datentransfers einer weitergehenden, auch grundrechtlichen Beurteilung unterzogen hat. Der EuGH hat damit die sich daraus ergebenden rechtspolitischen Diskussionen in Kauf genommen. Sollen die vom EuGH angesprochenen grundrechtlichen Konflikte auf eine Art gelöst werden, welche für die datenbearbeitenden Unternehmen zu hoher Rechtsicherheit führen, wären (in den USA) Änderungen auf Gesetzesebene oder ein neues Privacy Shield Framework mit einem wirksameren Rechtsbehelf notwendig. Wäre die EU-Kommission mutiger, würde sie zumindest prüfen, ob es politischen Spielraum für solche Lösungen gibt.  

Was Unternehmen jetzt tun können

Wichtig ist zunächst festzuhalten, dass die Überlegungen aus den Schrems-Urteilen nicht für alle Länder relevant sind, welche nicht über ein angemessenes Datenschutzniveau verfügen. Es gibt zahlreiche Länder, bei denen die revidierten SCC ausreichend und auch praktikabel sein werden. Probleme ergeben sich bei Ländern, in denen die Behörden relativ expansive Möglichkeiten zum Zugriff auf Personendaten haben und den Betroffenen keine oder nur wenig wirksame Rechtsbehelfe zur Verfügung stehen; hierzu gehören unseres Erachtens z.B. auch Länder wie China oder Russland, welche in der Diskussion beinahe untergehen, aber aufgrund der politischen Systeme aus grundrechtlicher Sicht noch weitaus problematischer sind als die USA.

Die in den Empfehlungen des EDSA enthaltenen Leitlinien zur Bewertung der Datenübermittlung und der ergänzenden Massnahmen stellen Unternehmen vor Herausforderungen, die in der Praxis kaum lösbar scheinen. Sie sind aber eine konsequente Weiterführung der Schrems II Rechtsprechung, die aus grundrechtlichen Überlegungen sehr hohe Anforderungen an geeignete Garantien für Drittstaatentransfers stellt. Diese grundrechtlichen Überlegungen des EuGH lassen sich nicht einfach durch möglichst pragmatische Interpretationen lösen, auch wenn dies für Unternehmen wünschbar wäre. Es ist hierbei auch zu betonen, dass die EU-Kommission nicht mit der Durchsetzung der DSGVO beauftragt ist. Die Datenschutzbehörden der EU-Mitgliedstaaten, welche im EDSA vertreten sind, untersuchen potenzielle Datenschutzverstösse – auch im Zusammenhang mit Datentransfers ins Ausland – und sanktionieren entsprechende Verstösse. Bei der Beurteilung, ob ein Datentransfer DSGVO-compliant ist, hat daher die Auffassung des EDSA aus rein praktischen Überlegungen grösseres Gewicht als die Erwägungen der EU-Kommission.

Es bleibt abzuwarten, wie die finalen Versionen der revidierten SCC und die Empfehlungen des EDSA in der Praxis zusammenwirken werden. Unternehmen sollten aber schon jetzt ihre Drittstaatentransfers sowie die dabei anwendbaren Garantien identifizieren. Da unwahrscheinlich ist, dass alle Widersprüche ausgeräumt werden, empfiehlt es sich auch, schon jetzt zu prüfen, ob diese Datenverarbeitungen nicht in einem EU-Staat oder einem Land mit angemessenem Datenschutzniveau erfolgen können. Wie mit Fällen umgegangen werden soll, in denen dies keine Option ist, muss entschieden werden, wenn die finalen Empfehlungen und die finalen SCC vorliegen. Dies sollte bis Anfang / Mitte 2021 der Fall sein.

 

Weitere Informationen:


Artikel teilen



Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führende Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug , Lausanne, London und Madrid. Wir sind auf die Vertretung und Beratung von Mandanten an der Schnittstelle von High-Tech-, IP-reichen und regulierten Industrien spezialisiert.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 03/21 mit Beiträgen zum VDSG-Entwurf, Datentransfers, XBorder u.v.m.!

Zugang MLL-News 03/21

Jetzt anmelden!

Events

Im Moment haben wir keine weiteren Events geplant.

 

 

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information