Nachdem wir letzte Woche den Handlungsbedarf auf Webseiten erörtert haben, zeigt dieser Sondernewsletter den Handlungsbedarf sowie die dazugehörigen Optionen bei allen Verarbeitungstätigkeiten, an denen Auftragsverarbeiter und/oder Subauftragnehmer in Drittländern beteiligt sind.
Hinweis: Die folgenden Fragen konzentrieren sich auf die zwei wichtigsten Rechtsgrundlagen des Datenexports im Rahmen einer Auftragsverarbeitung, einerseits den EU-Angemessenheitsbeschluss für ein Drittland (wie den mittlerweile unzureichenden EU-US-Privacy-Shield) und anderseits die Standardvertragsklauseln (von der EU-Kommission definierte „Datenschutz-AGB“).
Hierbei wird der Fokus nicht nur auf US-Dienstleister gelegt, da die Rechtmäßigkeit des Datenexports in ein Drittland auf Grundlage eines Angemessenheitsbeschlusses oder der Standardvertragsklauseln global betrachtet werden muss. Der EuGH hat in seiner Entscheidung zum EU-US-Privacy Shield betont, dass die Standardvertragsklauseln zwar weiterhin Gültigkeit besitzen, jedoch die nationalen Gesetze im Zielland des datenimportierenden Verantwortlichen bzw. Auftragsverarbeiters genauer betrachtet werden müssen.
Wie kann ich prüfen, ob Handlungsbedarf besteht?
Um zu überprüfen, ob Handlungsbedarf besteht, sollten Sie folgende Prüfreihenfolge für Ihre Verarbeitungstätigkeiten vornehmen.
1. Findet eine Übermittlung in ein Drittland außerhalb der EU statt?
Als Drittländer werden in der DSGVO alle Länder bezeichnet, die nicht Mitglied der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) sind.
Falls ja: Identifizieren Sie alle Drittländer, in denen Sie personenbezogene Daten exportieren
Bedenken Sie bitte, dass sich hinter jeder Cloud-Anwendung, die vermeintlich in DE oder der EU betrieben wird, auch ein Subdienstleister in einem Drittland verbergen könnte (in der Regel große Cloud-Anbieter, wie Amazon, Microsoft oder Google als Plattform- bzw. Infrastrukturbetreiber). Schauen Sie also genau in die Verträge zur Auftragsverarbeitung (AV-Verträge) und/oder kontaktieren Sie Ihre Auftragnehmer (AV-Verträge sind teilweise unvollständig bzw. nicht aktuell oder Ansprechpartner bei Anbietern von Cloud-Anwendungen „aus der EU“ wissen gar nicht was im Hintergrund passiert).
Falls nein: Es besteht kein Handlungsbedarf
2. Besteht für das Land ein Angemessenheitsbeschluss der EU-Kommission?
Ein Angemessenheitsbeschluss ist ein Beschluss der Europäischen Kommission, der gem. Art. 45 DSGVO vorgenommen wird. Er legt fest, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für die Verarbeitung von personenbezogenen Daten bietet. Ein solcher Beschluss stellt eine der Rechtsgrundlagen für den Datenexport in ein Drittland dar (personenbezogene Daten dürfen z.B. in einer Cloud-Anwendung verarbeitet werden). Für folgende Drittländer existieren Angemessenheitsbeschlüsse [1]: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay.
Falls ja: Es besteht kein Handlungsbedarf
Falls nein: Siehe 3.
3. Ist der Datenempfänger im Drittland im Rahmen nationaler Gesetze potenziell zur Herausgabe der aus der EU empfangenen personenbezogenen Daten an Behörden verpflichtet?
Im EuGH-Urteil (Schrems II) wurde nochmals deutlich, dass nationale Gesetzgebungen in den jeweiligen Drittländern (z.B. FISA 702 in den USA) dort ansässige Unternehmen dazu verpflichten können, personenbezogene Daten an Behörden herauszugeben. Verantwortliche bzw. verantwortliche Stellen sind daher aufgefordert, die nationalen Gesetzgebungen der eingebundenen Dienstleister im jeweiligen Drittland zu prüfen.
Falls ja: Siehe 4.
Falls nein: Abschluss von „normalen“ Standardvertragsklauseln ist ausreichend.
4. Sind die nationalen Rechtsvorschriften, denen der Datenempfänger unterliegt (Drittland) mit den Beschränkungen der DSGVO [2] vereinbar?
Falls ja: Die Datenübermittlung kann auf Grundlage „normaler“ Standardvertragsklauseln zulässig sein.
Falls nein: Siehe 5.
5. Hat der Datenempfänger andere Garantien umgesetzt, die ein angemessenes Datenschutzniveau sicherstellen sollen?
Sofern Sie bis hierher zu dem Schluss kommen, dass:
- Eine Übermittlung in ein Drittland stattfindet,
- kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt,
- der Datenempfänger aufgrund nationaler Rechtsvorschriften potenziell dazu verpflichtet ist, personenbezogene Daten an Behörden herauszugeben und
- die nationalen Rechtsvorschriften nicht mit den Beschränkungen der DSGVO vereinbar sind,
sind vom Datenempfänger, zusätzlich zu den Standardvertragsklauseln, weitere Maßnahmen (sog. Garantien) umzusetzen, die den Schutz der personenbezogenen Daten gewährleisten sollen. Diese zusätzlichen Maßnahmen können bestehen aus:
- Verschlüsselung der personenbezogenen Daten
- Pseudonymisierung der personenbezogenen Daten
- Anonymisierung der personenbezogenen Daten
- Offline-Speicherung der personenbezogenen Daten
- Zusätzliche vertragliche Verpflichtungen zum Schutz der personenbezogenen Daten (z.B. vor willkürlichen Zugriff durch Behörden)
Was für Optionen habe ich, wenn die Prüfung meines Dienstleisters negativ ausfällt?
Option 1: Untätig bleiben
Vorteil: Es entsteht kein Aufwand
Nachteil: Bei einer Prüfung durch eine Behörde ist ein Bußgeld wahrscheinlich, da gegen die DSGVO verstoßen wird.
Option 2: Datenübermittlung abstellen bzw. Dienstleister wechseln
Vorteil: Rechtssicherheit
Nachteil: Wirtschaftlichkeit könnte beeinträchtigt werden, ggf. praxisfern oder unmöglich
Option 3: Einwilligung der betroffenen Personen einholen
Vorteil: Rechtssicherheit
Nachteil: Praxisfern, oftmals nicht umsetzbar
Was ist insb. bei US-Dienstleistern zu beachten?
Wenn es sich bei dem Auftragsverarbeiter oder einem Subdienstleister des Auftragsverarbeiters (Unterauftragsverarbeiter sind auch Auftragsverarbeiter) um ein US-Unternehmen handelt, sollte beim Abschluss von Standardvertragsklauseln genau hingeschaut werden.
Viele US-Dienstleister (insb. IT-Dienstleister) fallen z.B. unter FISA 702, PPD-28 oder E.O. 12333. Diese nationalen Gesetzgebungen räumen amerikanischen Behörden weitreichende Rechte ein, personenbezogene Daten von EU-Bürgern bei US-Unternehmen (oder solchen, die durch ein US-Unternehmen geführt werden) abzufragen. Laut EuGH gehen diese Befugnisse zu weit, da sie keine verhältnismäßigen Maßnahmen (Eingriffe des Staates in die Rechte und Freiheiten von betroffenen Personen) darstellen.
[1] Siehe https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschl%C3%BCsse, zuletzt abgerufen am 18.08.2020
[2] Siehe Art. 23 Abs. 1 DSGVO