Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
18. November 2020
EDSA Schrems II Datentransfer
Datenschutzrecht

Schrems II: EDSA veröffentlicht Entwurf mit Empfehlungen zum Datentransfer

Reemt Matthiesen und Philippe Heinzke SEITE DRUCKEN   SEITE SCHICKEN

EDSA: Erforderliche Maßnahmen beim Transfer personenbezogener Daten in Drittländer.

Am 11. November 2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA) zwei Empfehlungen zur Beurteilung von Datentransfers nach der Entscheidung des EuGH in der Rechtssache Schrems II :

  • Empfehlungen 01/2020 über Maßnahmen zur Gewährleistung des EU-Schutzniveaus bei der Übertragung von personenbezogenen Daten; dies ist ein Entwurf, der bis zum 30. November 2020 für Kommentare der Öffentlichkeit offensteht (sog. „Supplemental Measures Recommendations″ oder „SMR″);
  • Empfehlungen 02/2020 zu den europäischen wesentlichen Garantien (EEG) für Überwachungsmaßnahmen (sog. „EEG-Empfehlungen“ oder „EEGR″).

Am 12. November veröffentlichte die EU-Kommission ihren Entwurf für Standardvertragsklauseln (SCC), der ebenfalls die Schrems II-Entscheidung berücksichtigt.

EDSA Empfehlungen: Übermittlungen personenbezogener Daten in sechs Schritten prüfen

Die beiden Dokumente (insgesamt > 50 Seiten), insbesondere die Empfehlungen zu ergänzenden Maßnahmen (SMR), beschreiben ausführlich, wie Unternehmen beurteilen und dokumentieren sollten, unter welchen Bedingungen die Übermittlungen personenbezogener Daten nach der Schrems II-Entscheidung durchgeführt werden kann.

Die SMR beschreibt in sechs Schritten, wie Unternehmen vorgehen müssen:

Schritt 1: Daten-Mapping

Unternehmen müssen eine Übersicht über eigene Datenübermittlungen in Drittländer erstellen (einschließlich Weiterübermittlungen und Unterauftragsverarbeiter). Der EDSA betont, dass auch der Fernzugriff in Supportsituationen und die Speicherung in Cloud-Systemen außerhalb des EWR als Übertragung angesehen werden (Randnummer 13 SMR).

Unsere Meinung: Die Behörden haben Unternehmen zu diesem Schritt bereits unmittelbar nach dem Schrems-II-Urteil des EuGH aufgefordert. Der EDSA bekräftigt diese Forderung und betont, dass die Unternehmen die Übersicht

vor der Wiederaufnahme der Übertragungen nach Aussetzung der Datenübertragungsvorgänge

(Randnummer 12) abschließen müssen.

Schritt 2: Identifizieren Sie die geeigneten Transfer-Instrumente

Für jeden Transfer (einschließlich Weitertransfers) müssen die Unternehmen ein geeignetes Transfer-Instrument gemäß Kapitel V DSGVO identifizieren/bestimmen.

Erfolgt die Übertragung aufgrund

  • eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO), oder
  • nach Art. 49 DSGVO (der nach Ansicht des EDSA restriktiv auszulegen ist und sich hauptsächlich [sic!] auf gelegentliche und nicht wiederholende Verarbeitungstätigkeiten beziehen kann).

sind keine zusätzlichen Schritte erforderlich (Randnummern 19, 24 und 25 SMR).

Erfolgt die Übertragung mittels eines Transfer-Instruments nach Art. 46 DSGVO, insbesondere SCC oder über verbindliche Unternehmensvorschriften (BCR), müssen die Unternehmen sicherstellen, dass die übermittelten personenbezogenen Daten insgesamt [sic!] tatsächlich einem im Wesentlichen gleichwertigen Schutzniveau unterliegen. In diesem Fall sind die zusätzlichen Schritte (siehe nachfolgend) zu durchlaufen.

Unsere Meinung: Dies steht im Einklang mit der Schrems II-Entscheidung. Obwohl sich der EuGH nicht direkt mit den BCR befasst hat, ist klar, dass die Begründung der Entscheidung auch für die BCR und die anderen Übertragungsinstrumente in Art. 46 DSGVO gilt.

Schritt 3: Im Falle einer Art. 46 DSGVO-Übermittlung – ist der Schutz der Personendaten wirksam (d.h. im Wesentlichen gleichwertig)?

Die Unternehmen müssen bei jeder Übermittlung (einschließlich Weiterübermittlung) prüfen, ob die übermittelten personenbezogenen Daten in dem Drittland einem dem EWR

im Wesentlichen gleichwertigen

Schutzniveau unterliegen, d.h. das Schutzniveau muss im Wesentlichen dem Schutz im Europäischen Wirtschaftsraum gleichwertig sein (Randnummer 29 SMR).

Nach Auffassung des EDSA erfordert dies eine Überprüfung,

ob in den Rechtsvorschriften oder der Praxis des Drittlandes irgendetwas [sic!] vorhanden ist, das die Wirksamkeit der entsprechenden Schutzmaßnahmen beeinträchtigen könnte

(Randnummer 30 SMR). Die Überprüfung muss mit Unterstützung des Datenimporteurs und öffentlich zugänglicher Quellen erfolgen.

Die folgenden Aspekte sind von zentraler Bedeutung (und greifen etablierte Kriterien aus der Rechtsprechung des EuGH und frühere EDSA-Leitlinien auf):

  • Überprüfung von Gesetzen, die eine Offenlegung gegenüber Behörden in Drittländern vorschreiben oder Behörden in Drittländern Zugang gewähren. Beschränken sich Gesetze, die den Zugang gestatten, auf das, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, und stehen den Betroffenen wirksame Rechtsmittel zur Verfügung?
  • Überprüfung, wie ein Drittland die Rechtsstaatlichkeit und die Achtung der Menschenrechte einhält (Art. 45 (2) a) DSGVO).
  • Prüfung der Möglichkeit von Rechtsbehelfen von Einzelpersonen gegen den Zugang von Behörden oder (allgemeine Gesetze und Gesetze, die Anforderungen zur Offenlegung persönlicher Daten gegenüber Behörden festlegen).
  • Können die betroffenen Personen ihre Rechte (Zugang usw.) im Drittland gemäß den Bestimmungen des Transfer-Instruments (Randnummer 34 SMR) ausüben?

Wenn öffentlich zugängliche Daten keine ausreichenden Informationen liefern, müssen andere objektive Faktoren berücksichtigt werden (Randnummer 42 ff. SMR). Solche objektiven Faktoren sind „Elemente″ (Beweise, Hinweise), dass eine Drittlandbehörde im Lichte

gemeldeter Präzedenzfälle, rechtlicher Befugnisse sowie technischer, finanzieller und personeller Ressourcen

versucht oder in der Lage sein wird, auf die Daten zuzugreifen (beispielsweise durch Abhören, wie dies für die USA durch die Enthüllungen von Edward Snowden öffentlich geworden ist).

Der EDSA betont auch, dass subjektive Faktoren bei der Beurteilung keine Rolle spielen, z.B. die Wahrscheinlichkeit, dass personenbezogene Daten von einer Behörde abgefangen werden oder auf sie zugegriffen wird (Randnummer 42 SMR).

Das EEGR liefert zusätzliche Details, wie zu beurteilen ist, ob Zugangs-/Abhörrechte von Drittlandbehörden den europäischen Standards entsprechen. Es nimmt insbesondere Bezug auf die Rechtsprechung des EuGH (seine Überprüfung der FISA-Regeln in Schrems II und seine Regeln für Verpflichtungen zur Vorratsspeicherung von Verkehrsdaten in der EU) und erläutert (ausführlich) die Kriterien zur Einschränkung der Rechte auf Datenschutz und Privatsphäre gemäß der Charta:

  • Die Verarbeitung sollte auf klaren, präzisen und zugänglichen Regeln beruhen.
  • Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die verfolgten legitimen Ziele müssen nachgewiesen werden.
  • Es sollte ein unabhängiger Überwachungsmechanismus bestehen.
  • Dem Einzelnen müssen wirksame Rechtsmittel zur Verfügung stehen.

Wenn die auf eine Überstellung anwendbaren Gesetze diese Kriterien nicht erfüllen, besteht kein im Wesentlichen gleichwertiger Schutz und es sind zusätzliche Maßnahmen erforderlich (Schritt 4).

Unsere Meinung: Wenn nach der Rechtsordnung des Drittlandes der Zugang zu oder das Abfangen von personenbezogenen Daten durch staatliche Stellen erlauben ist, sind strenge Anforderungen einzuhalten. Ein im Wesentlichen gleichwertiger Schutz ist gewährleistet, wenn die Zugriffsbefugnisse im Drittland im Einklang mit der Charta der Grundrechte der Europäischen Union stehen. Hierfür muss eine objektive Bewertung der Rechtsordnung des Drittlandes durchgeführt werden, bloße Wahrscheinlichkeitsbetrachtungen reichen nicht aus. Fehlt es an einem gleichwertigen (rechtlichen) Schutzniveau, besteht die einzige verfügbare Sicherheitsmaßnahme in der Verschlüsselung oder Anonymisierung/Pseudonymisierung der übertragenen Daten.

Schritt 4: Implementierung zusätzlicher Maßnahmen (falls erforderlich)

Wenn zusätzliche Maßnahmen erforderlich sind (Bewertung nach Schritt 3), so müssen diese wirksam implementiert werden. Eine Wirksamkeit wird in aller Regel nur bei technischen Schutzmaßnahmen gegeben sein, die den Zugang zu personenbezogenen Daten entweder durch die Empfänger und/oder Behörden in Drittländern verhindern (Randnummer 48, 79 bis 87 SMR).

Insbesondere die vom EDSA erläuterten Beispielfälle 6 und 7 zeigen, dass der Zugriff auf unverschlüsselte Daten durch Cloud-Anbieter und der Fernzugriff zu Geschäftszwecken durch den Datenimporteur nach Ansicht des EDSA immer dazu führt, dass die personenbezogenen Daten nicht im Wesentlichen gleichwertig geschützt sind. Dies soll selbst dann gelten, wenn eine gewisse Verschlüsselung besteht, solange eine Entschlüsselung durch den Datenimporteur möglich ist (Erwägungsgründe 86 bis 91 SMR).

Unsere Meinung: Zusätzliche Vertragsklauseln oder Maßnahmen können bei der ursprünglichen Bewertung gemäß Schritt 3 hilfreich sein (Erwägungsgründe 99, 105, 107 SMR). Gelangt der Datenexporteuer – trotz dieser Maßnahmen – zu dem Ergebnis, dass der Schutz nicht ausreichend ist, verbleiben nur noch wirksame technische Maßnahmen zur Absicherung gegen den Zugang von Behörden aus Drittländern.

Schritt 5: Verfahrensschritte, falls zusätzliche Maßnahmen identifiziert wurden

Alle zusätzlichen Schritte bedürfen keiner vorherigen Genehmigung durch eine Datenschutzbehörde, sofern sie nicht im Widerspruch zu den Regelungen der SCC oder der BCR stehen oder das durch diese Mechanismen geschaffene Schutzniveau nachteilig beeinträchtigen.

Unsere Meinung: Es ist schwer vorstellbar, wie eine Maßnahme, die einen wirksamen Schutz gemäß SMR gewährleistet, den Schutz gemäß SCC beeinträchtigen könnte.

Schritt 6 – Neuevaluierungen in angemessenen Abständen

Datenexporteure müssen laufend überwachen, wie sich aktuelle Entwicklungen auf die anfängliche Bewertung auswirken und diese bei Bedarf aktualisieren.

Unsere Meinung: Die Pflicht zur regelmäßigen Überwachung und ggf. Anpassung der getroffenen Maßnahmen trifft den Verantwortlichen ohnehin im Hinblick auf alle zur Implementierung der DSGVO ergriffenen Maßnahmen.

Technischer Datenschutz gewinnt an Gewicht / Neue SCC alleine bieten keine Lösung

Vor dem Hintergrund der Schrems II-Entscheidung des EuGH ist der Ansatz des EDSA verständlich, wenn auch für die Praxis sehr misslich. Entspricht das in einem Drittland anwendbare Recht nicht im Wesentlichen den sehr hohen europäischen Standards, wird dem Verantwortlichen faktisch ein Rückgriff auf die Transfer-Instrumente nach Art. 46 DSGVO (vor allem SCC und BCR) versagt, es sei denn technische Sicherheitsvorkehrungen verhindern den Zugriff durch Behörden auf diese Daten.

Es bleibt wie immer abzuwarten, inwieweit die Aufsichtsbehörden nun die Überprüfung der Datentransfers aufgreifen und mit der Durchsetzung des Schrems II-Entscheidung beginnen werden. Aber eines scheint sicher: Unternehmen, die noch nicht mit dem Daten-Mapping (Schritt 1) und der Überprüfung der Transfers-Instrumente (Schritte 2 und 3) begonnen haben, müssen jetzt damit anfangen.

Es ist unklar, wann die Aufsichtsbehörden erwarten, dass die Bewertungen abgeschlossen sind. Der Europäische Datenschutzbeauftragte forderte die EU-Institutionen auf, Transfer Impact Assessments bis zum Frühjahr 2021 abzuschließen (dieses Dokument wurde jedoch offenbar nach der Veröffentlichung der SMR zurückgezogen). Es scheint naheliegend anzunehmen, dass die Unternehmen bis dahin auch ihre Überprüfungen und Bewertungen durchgeführt sowie etwaige weitere Schutzmaßnahmen ergriffen haben sollten.

Daten, die sich auf dem Transportweg befinden, sollten immer mit dem neuesten Stand der Technik verschlüsselt werden. Selbst wenn dies einen Austausch der Schlüssel zwischen Datenimporteur und Datenexporteur erfordert, kann dies die Unternehmen von der Überprüfung weiterer Gesetze bzw. Praktiken von Drittländern befreien, die auf Daten im Transit zugreifen können (z.B. keine Überprüfung der GCHQ-Praktiken erforderlich, wenn Daten über Großbritannien von Deutschland in die USA übertragen werden).

Die rechtliche Analyse, welche Gesetze im Drittstaat für die personenbezogenen Daten anwendbar sein werden, ist sehr wichtig. Wenn Sicherheitsgesetze gelten, wird es angesichts der strengen Anforderungen des EuGH in Schrems II und der Empfehlungen des EDSA ohne detaillierte rechtliche Analyse schwierig sein, zu argumentieren, dass die Sicherheitsgesetze den EU-Standards entsprechen.

Der SCC-Entwurf bietet keine Lösung für die nach der Schrems II Entscheidung bestehenden Probleme. Stattdessen verlangt sein Abschnitt II Absatz 2 vom Datenimporteur und -exporteur die Einschätzung, dass die auf

die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbaren Gesetze des Drittlandes, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur an der Erfüllung seiner Verpflichtungen aus diesen Absätzen hindern. Dies beruht auf dem Verständnis, dass Gesetze, die das Wesen der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 DSGVO aufgeführten Ziele zu schützen, nicht im Widerspruch zu den Klauseln stehen.

Interessant ist hier, dass die Klausel keinen Hinweis auf „wirksame Rechtsbehelfe″ für betroffene Personen oder eine unabhängige Aufsicht enthält. Es wird interessant sein zu sehen, ob dies in einen späteren Entwurf aufgenommen wird oder ob dies nicht eine Anforderung nach dem neuen SCC ist und wie dies mit den Anforderungen des EuGH in Übereinstimmung gebracht werden kann.

Tags: Datentransfer DSGVO EDSA Empfehlung Schrems II


Avatar-Foto

Reemt Matthiesen

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Philippe Heinzke

weitere Artikel des Autors
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024