Vor wenigen Tagen wurde bekannt, dass deutsche Datenschutzaufsichtsbehörden unter Leitung von Hamburg und Berlin eine Task Force einsetzen möchten. Ziel der Task Force sollen Kontrollen wegen des Transfers personenbezogener Daten in die USA sein, um einen Vollzug der Anforderungen des Schrems-II-Urteils zu koordinieren. Hinweise zu potenziellen Fragestellungen der Aufsichtsbehörden sind fast zeitgleich veröffentlicht wurden. Wir erklären Ihnen, welche Schritte nun von Unternehmen in Deutschland einzuleiten sind.
Hintergrund
Im Juli 2020 erklärte der Europäische Gerichtshof das Datenschutzabkommen „Privacy Shield“ für ungültig. Wir berichteten damals ausführlich.
Das Urteil hat Verunsicherungen bei europäischen Unternehmen hinterlassen. Auch wenn die Standarddatenschutzklauseln als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten weiterhin (eingeschränkt) Gültigkeit besitzen, ist doch eine zentrale Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in Drittstaaten über Nacht verschwunden. Die Unternehmen wurden gezwungen, jeglichen Einsatz von Dienstleistern außerhalb der Europäischen Union (und des EWR) kritisch zu hinterfragen. Die Berliner Aufsichtsbehörde begrüßte das EuGH-Urteil und forderte einen Tag später dazu auf, dass gespeicherte personenbezogene Daten in den USA zurück nach Europa geholt werden müssen.
Doch die reale Welt sieht anders aus: US-Cloudanbieter besitzen einen enormen Marktanteil. Viele Lösungen existieren in Europa schlichtweg nicht oder bieten einen geringeren Funktionsumfang. Insbesondere in Zeiten von Corona haben sich die Cloud-Anbieter etabliert, die Ihre Kapazitäten von heute auf morgen massiv hoch skalieren konnten. Und diese Anbieter kamen meist aus den USA (Microsoft, Zoom, etc.). Dieser Umstand lässt sich durch das EuGH-Urteil nicht beschönigen.
Vielmehr haben insbesondere die US-Cloudanbieter in den vergangenen Wochen und Monaten nachgebessert. Microsoft und Co. bieten Verantwortliche Stellen Standarddatenschutzklauseln an. Teilweise wurden diese um weitere Garantien ergänzt, um dem Urteil gerecht zu werden. Gerade deshalb kommt die Ankündigung einer Task Force überraschend.
Was planen die Aufsichtsbehörden?
Medienberichten zufolge planen Aufsichtsbehörden anlassbezogen und stichprobenartig Unternehmen in Deutschland zur konkreten Nutzung von Cloud-Diensten und damit der Drittlandsübermittlung zu befragen. Konkrete Auswahlkriterien scheint es noch nicht zu geben und die Aktion sei noch in Vorbereitung. Einen Eindruck, welche konkreten Fragen auf Unternehmen in Deutschland zukommen könnten, kann man jedoch bereits jetzt gewinnen. Durch eine Anfrage auf „Frag-den-Staat“ hat die Hamburgische Datenschutzaufsicht einen Fragebogen veröffentlicht. Darin enthaltene Fragestellungen:
- Nutzt Ihr Unternehmen Office 365?
- Welche personenbezogenen Daten werden dort eingefügt?
- Zu welchen Zwecken geschieht die Nutzung von Office 365?
- Aufgrund welcher Rechtsgrundlage (erster Stufe) geschieht die Nutzung von Office 365?
- Seit wann werden diese Verarbeitungen vorgenommen?
- Werden die Daten nach Ziff. 2 in die USA oder andere Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt?
- Auf welche rechtlichen Vorkehrungen im Sinne des Kapitel V der DSGVO werden die Drittstaatenübermittlungen nach Ziff. 5 gestützt?
- Für den Fall, dass die Standardvertragsklauseln der Europäischen Kommission genutzt werden: Welche zusätzlichen Maßnahmen im Sinne der o.g. Entscheidung des Europäischen Gerichtshofs haben Sie unternommen?
- Bitte nennen Sie auch vorbereitende Schritte im Hinblick auf ggfs. noch nicht vollständig umgesetzte Maßnahmen nach Ziff. 7.
- Für den Fall, dass die Umstellung auf andere Systeme geplant ist, teilen Sie uns bitte die erwogenen Lösungen und den Stand der Umsetzung mit.
- Bitte lassen Sie uns die den Einsatz von Office 365 betreffenden Teile Ihres Verzeichnisses der Verarbeitungstätigkeiten zukommen.
Den angeschriebenen Unternehmen werde ca. einen Monat Zeit gegeben, Stellungnahme zu beziehen und die Fragen zu beantworten. Insofern eine Task Force tatsächlich gegründet wird, sollten sich Unternehmen auf solche Art von Fragen einstellen und bereits jetzt Antworten finden.
Bewertung
Die Einhaltung datenschutzrechtlicher Vorgaben ist richtig und wichtig. Doch wäre es nicht zielgerichteter, mit den großen Dienstleistern wie Microsoft und Co. Lösungen zu entwickeln und den Unternehmen in Deutschland damit Unterstützung anzubieten, um einen rechtssicheren Rahmen zu schaffen? Die Ankündigung einer Task Force baut weiter Unsicherheiten auf und wird den eigentlichen Problemen nicht gerecht: Es mangelt an praxistauglichen europäischen Alternativen und an rechtskonformen Konstrukten. Die längst überfällige Überarbeitung der Standarddatenschutzklauseln könnten Unsicherheiten abbauen, sind bisher aber noch nicht final veröffentlicht. Zudem darf die europäische Herangehensweise bei der Durchsetzung des Schrems II-Urteils nicht von Land zu Land unterschiedlich ausfallen. Ansonsten schadet es am Ende der Akzeptanz des Datenschutzes und wirft die Frage auf, ob Deutschland einen wirtschaftlichen Nachteil für Unternehmen bietet, wenn hierzulande restriktiver vorgegangen wird als in anderen europäischen Staaten.
Bis es für deutsche Unternehmen jedoch mehr Rechtssicherheit gibt, empfehlen wir, sich des EuGH-Urteils anzunehmen und vorbeugende Maßnahmen zu treffen. Setzen Sie Dienstleistungen von Anbietern aus Drittstaaten ein? Dann sollten Sie sich mit den oben gestellten Fragen beschäftigen und Antworten finden. Gerne unterstützen wir Sie hierbei.
Weiterführende Informationen
Wir haben in Kooperation mit der SoCura eine Orientierungshilfe Microsoft 365 in Kirche & Wohlfahrt veröffentlicht. Viele der angesprochenen Themen sind allgemeingültig, sodass diese Orientierungshilfe auch für Organisationen außerhalb von Kirche & Wohlfahrt hilfreich ist. Sie steht zum kostenfreien Download zur Verfügung: https://www.althammer-kill.de/microsoft-365-in-kirche-wohlfahrt
Quellen:
- https://www.golem.de/news/datenschutz-task-force-will-nutzung-von-us-clouddiensten-pruefen-2102-154206.html
- https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf
- https://fragdenstaat.de/anfrage/fragebogen-zur-umsetzung-des-schrems-ii-urteils-bei-verantwortlichen/569819/anhang/3090-2020StellungnahmeAufforderung_geschwaerzt.pdf
- https://www.handelsblatt.com/technik/it-internet/datenschutz-die-cloud-wird-zum-risiko-deutschen-konzernen-drohen-millionenschwere-strafen/26894742.html?ticket=ST-1305658-sT3FkdKPc4J3xoq6gL77-ap2