Ihre Kontakte
Wegen des Schrems II Urteils ist im Anwendungsbereich der EU-DSGVO umstritten, wie und gestützt auf welche Rechtsgrundlagen Personendaten weiterhin legal in Staaten ohne angemessenes Datenschutzniveau, insbesondere in die USA, übermittelt werden können. In der Praxis werden sich Unternehmen bei Datentransfers in solche Staaten meist auf Garantien nach Art. 46 DSGVO stützen, insbesondere auf die revidierten Standardvertragsklauseln. Ob die Garantien den jeweiligen Transfer legitimieren können, müssen Unternehmen aber im Einzelfall prüfen und dokumentieren. Der EDSA hat nun die finale Version der Empfehlungen veröffentlicht, was Unternehmen bei einer derartigen Prüfung (auch als Data Transfer Impact Assessment bezeichnet) berücksichtigen sollen.
Schrems II Urteil des EuGH und die Auswirkungen auf grenzüberschreitende Datentransfers
Mit dem Schrems II Urteil (C-311/18) des EuGH wurde bekanntermassen der EU-US Privacy Shield aufgehoben. Für die Praxis fast noch bedeutender war aber die Feststellung, dass eine Übermittlung von Personendaten in Länder ohne Angemessenheitsbeschluss sich zwar auf andere in Art. 46 Datenschutz-Grundverordnung (DSGVO) vorgesehene Garantien stützen kann, hierbei aber eine Einzelfallprüfung ihrer Eignung und gegebenenfalls eine Ergänzung um zusätzliche Garantien und Massnahmen erfolgen muss. Es blieb aber unklar, wann genau zusätzliche Garantien zu vereinbaren sind und welchen Inhalt diese Garantien haben sollen (siehe dazu MLL-News vom 5. Oktober 2020).
Prüfpflicht im Zusammenhang mit Drittstaatentransfers (Data Transfer Impact Assessment)
Eine derartige Eignungsprüfung, auch Data Transfer Impact Assessment genannt, muss bei jedem Datentransfer gestützt auf Garantien nach Art. 46 DSGVO durchgeführt werden. Bereits im November 2020 legte der EDSA den Entwurf einer Empfehlung zu Massnahmen vor, welche die bei Datentransfers in Drittländer vereinbarten Garantien ergänzen können. In dieser Empfehlung äusserte sich der EDSA auch zu Gegenstand und Details dieser Prüfung.
Im Juni 2021 wurde nun die finale Version der Empfehlungen des EDSA veröffentlicht, ohne dass es jedoch zu signifikanten Abänderungen des ersten Entwurfs kam. Die Empfehlung enthält ein sechststufiges Prüfprogramm, mit dem Verantwortliche beurteilen können, ob nebst den Garantien nach Art. 46 DSGVO – insbesondere nebst Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO – zusätzliche Massnahmen vereinbart werden müssen bzw. ob der Transfer trotz möglicher zusätzlicher Massnahmen zu unterlassen ist. Im Einzelnen müssen Unternehmen Folgendes prüfen und dokumentieren:
- Schritt 1 (Identifikation Auslandstransfer): Die Auslandstransfers müssen bekannt sein und dokumentiert werden. Der EDSA weist zu Recht darauf hin, dass bereits ein vollständiges Mapping der Auslandstransfers eine Herausforderung ist.
- Schritt 2 (Identifikation Rechtsgrundlagen): Es muss evaluiert werden, auf welche Rechtsgrundlage bzw. anerkannte Garantie gemäss Kapitel V DSGVO sich der Transfer stützt. Pro memoria wird daran erinnert, dass bei Transfers in Länder, denen wie der Schweiz ein angemessenes Datenschutzniveau bescheinigt wurde, keine weiteren Massnahmen erforderlich sind.
- Schritt 3 (Prüfung der Rechtsordnung im Empfängerland): Danach soll geprüft werden, ob Hinweise bestehen, dass die Rechtsordnung und Rechtspraxis des Drittlandes die Wirksamkeit der im Übertragungsinstrument vereinbarten Garantien im konkreten Fall beeinträchtigen könnte. Der EDSA hat hierzu eigene Empfehlungen veröffentlicht, die Essential European Guarantees for surveillance measures (EEG). Es soll geprüft werden, ob in der Rechtsordnung des Empfängerstaates
- (i) Datenverarbeitungen auf eindeutigen, präzisen und zugänglichen Regeln basieren,
- (ii) die gesetzlich vorgesehenen Eingriffe auf das notwendige und verhältnismässige Mass beschränkt bleiben,
- (iii) unabhängige Aufsichtsmechanismen bestehen und
- (iv) den betroffenen Individuen wirksame Rechtsbehelfe zur Verfügung stehen.
- Schritt 4 (Zusätzliche Garantien): Kommt der Verantwortliche zum Schluss, dass die vereinbarten Garantien für diesen Datentransfer nicht ausreichen könnten, soll er vom Datenempfänger weitere Garantien verlangen. Annex 2 der Empfehlung listet in nicht abschliessender Weise mögliche zusätzliche Massnahmen auf, die vertraglicher, organisatorischer oder technischer Natur sein können. Bei der Beurteilung, ob solche Zusatzmassnahmen notwendig sind, sind folgende Faktoren zu berücksichtigen:
- (i) das Datenformat (Klartext, pseudonymisierte oder verschlüsselte Daten),
- (ii) die Art der Daten,
- (iii) die Dauer und Komplexität des Datentransfers sowie
- (iv) die Möglichkeit einer Weitergabe an weitere Verantwortliche oder Auftragsdatenbearbeiter im Empfängerstaat oder in einem Drittstaat.
- Schritt 5 (Einhalten der Formalitäten): Der Datenexporteur muss die erforderlichen Formalitäten einhalten, die durch die Vereinbarung zusätzlicher Garantien erforderlich werden (insb. allfällige Bewilligungspflichten).
- Schritt 6 (Review): Der Verantwortliche muss seine Datentransfers beobachten und, wo nötig, eingreifen, wenn das angemessene Datenschutzniveau nicht mehr sichergestellt ist.
Dieses Prüfprogramm stellt eine willkommene Orientierungshilfe für die Verantwortlichen dar. Folgende Aspekte sollten aber hervorgehoben werden:
- Prüfung der Rechtsordnung im Empfängerstaat
Die Prüfung der Rechtsordnung im Empfängerstaat (Schritt 3) ist eine kaum zu unterschätzende Herausforderung. Gemäss EDSA kann sich diese Prüfung immerhin auf die auf den konkreten Transfer anwendbaren Rechtsnormen beschränken. Es liege ferner am Datenimporteur die entsprechenden Informationsquellen bereitzustellen, anhand derer die Rechtsordnung geprüft werden könne. In Annex 3 findet sich eine nicht abschliessende Liste von möglichen Informationsquellen, in der unter anderem die Rechtsprechung des EuGH und des EGMR, Rechtsprechung der Gerichte und Behörden im Empfängerstaat, Berichte von staatlichen oder zwischenstaatlichen Behörden, Wirtschaftsverbänden und NGOs, aber in beschränktem Umfang auch interne Dokumente des Importeurs als mögliche Quellen genannt werden.
- Grenzen zusätzlicher vertraglicher Garantien
Kommt der Verantwortliche zum Schluss, dass die Rechtsordnung im Empfängerstaat die vereinbarten Garantien ins Leere laufen lässt, muss er prüfen, ob zusätzliche Garantien Abhilfe schaffen (Schritt 4). Der EDSA listet vertragliche Massnahmen zwar als Garantie auf, stellt aber gleichzeitig klar, dass vertragliche Massnahmen Behörden nicht binden würden und daher mit technischen und organisatorischen Massnahmen kombiniert werden müssen. In Annex 2 führt er beispielhaft auf, welche zusätzlichen Massnahmen für verschiedene Use-Cases in Frage kommen. Mit Bezug auf die praxisrelevanten Beispiele der Nutzung von Cloud-Computing Diensten von Anbietern in Staaten ohne angemessenes Datenschutzniveau (Use Case 6) sowie der Nutzung von Klardaten innerhalb einer Unternehmensgruppe mit Niederlassungen in einem Staat ohne angemessenes Datenschutzniveau (Use Case 7) vertritt der EDSA eine strenge Auslegung: Wenn der Zugriff auf unverschlüsselte personenbezogene Daten für diese Empfänger technisch notwendig ist (was in der Regel der Fall sein dürfte), stellen die Transportverschlüsselung und die Verschlüsselung der Daten im Ruhezustand auch in Kombination keine ausreichenden Massnahmen dar.
Einschätzung
Der EDSA auferlegt Unternehmen strenge Sorgfaltspflichten beim Transfer von Personendaten in Länder ohne Angemessenheitsbeschluss. Gerade auch beim in der Praxis häufig vorkommenden Einsatz der revidierten Standardvertragsklauseln muss das Data Transfer Impact Assessment durchgeführt und dokumentiert werden (siehe dazu: MLL-News vom 20. Juni 2021). Man muss den geforderten Prüfaufwand durchaus kritisch sehen, insbesondere weil die meisten der in Art. 46 DSGVO genannten Garantien ausländische Behörden noch nie binden konnten und sich die Frage stellt, ob der EU-Gesetzgeber diese Unzulänglichkeiten nicht eigentlich in Kauf genommen hat, als er vor fünf Jahren die DSGVO erliess. Aber letztlich bemüht sich der EDSA um eine konsequente Umsetzung des Schrems II Urteils, welches aus grundrechtsdogmatischen Überlegungen Datentransfers in Drittstaaten untersagte, wenn dabei kein der Sache nach gleichwertiges Datenschutzniveau hergestellt wird.
Auch wenn vom EuGH klargestellt wurde, dass zusätzliche Massnahmen einen Transfer in Länder ohne angemessenes Datenschutzniveau legitimieren können, zeigt sich der EDSA diesbezüglich streng. Auch dies ist die Folge der Forderung, dass ein der Sache nach gleichwertiges Datenschutzniveau hergestellt werden muss. Nötig wäre in vielen Konstellationen eine behördensichere Verschlüsselung und diese ist keine Lösung, wenn der Datenempfänger Zugriff auf die Daten im Klartext haben soll, resp. muss. Letzteres ist aber meistens der Fall. Damit ist eigentlich nicht ersichtlich, wie in diesen Konstellationen nach der Auffassung der Datenschutzbehörden ein rechtmässiger Datentransfer von Personendaten noch möglich sein kann.
Wie streng die Praxis in den einzelnen Mitgliedsstaaten sein wird, dürfte sich zeigen, wenn die durch die NGO von Max Schrems (NOYB) eingereichten 101 Beschwerden zur Datenübermittlung in die USA behandelt werden (siehe dazu MLL-News vom 5. Oktober 2020). Erste Aufsichtsbehörden haben bereits festgehalten, dass die sorgfältige Prüfung der Datentransfers eine unabdingbare Voraussetzung ist, um die datenschutzrechtlichen Pflichten einzuhalten und sind diesbezüglich aktiv geworden (siehe MLL-News vom 12. August 2021). Unternehmen sind daher gut beraten, spätestens jetzt ihre Drittstaatentransfers sowie die dabei anwendbaren Garantien zu identifizieren. Angesichts der strengen Haltung des EDSA empfiehlt es sich, zu prüfen, ob diese Datenverarbeitungen nicht in einem EU-Staat oder einem Land mit angemessenem Datenschutzniveau erfolgen können. Bei einem fortgesetzten Transfer in andere Drittstaaten gestützt auf Garantien nach Art. 46 DSGVO muss sichergestellt werden, dass die vom EDSA geforderten Sorgfaltspflichten eingehalten wurden.
Weitere Informationen:
- EDPB: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0, adopted 18 June 2020
- EDPB: Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, adopted on 10 November 2020
- Entwurf eines Durchführungsbeschlusses der Kommission (EU): Datenschutz – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Nicht-EU-Länder
- Urteil des EuGH vom 16. Juli 2020 (C‑311/18)
- Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung (DSGVO)
- MLL-News vom 5. Oktober 2020: «EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II»
- MLL-News vom 23. Dezember 2020: «Datentransfer in Drittstaaten nach Schrems II: Entwurf der Empfehlungen des EDSA sowie der revidierten Standardvertragsklauseln»
- MLL-News vom 20. Juni 2021: «Datentransfer in Drittstaaten nach Schrems II: EU-Kommission verabschiedet revidierte Standardvertragsklauseln»