Das Thema der internationalen Datentransfers in Drittländer ist ein Dauerbrenner in der datenschutzrechtlichen Beratungspraxis. Bei der Ausgestaltung der eigenen Verarbeitungskette lassen sich die (vermeintlich) besten Dienstleister häufig in den USA finden. Auch ein Rückgriff auf europäische Dienstleister befreit nicht völlig davon, sich mit dieser Thematik auseinanderzusetzen. Häufig tauchen einige US-Dienstleister als Unterauftragsverarbeiter in der Vereinbarung zwischen Verantwortlichem und (Europäischem) Auftragsverarbeiter auf. Frustrierend wird es, wenn der potenzielle Auftragnehmer dann nicht in der Lage ist, die notwendigen Informationen zur Bewertung der Verarbeitungskette zu liefern. Regelmäßig stößt man hier auf Unverständnis, sobald der Terminus „Transfer Impact Assessment“ (kurz: TIA) ins Spiel gebracht wird. Aus diesem Anlass soll dieser Blogbeitrag eine erste Hilfestellung geben.
Der mit einer Übermittlung von personenbezogenen Daten in die USA verbundene Aufwand stellt nicht nur KMU und Startups mit begrenzten Ressourcen vor Herausforderungen. Die Auswirkungen der EuGH-Rechtsprechung zum EU-US Privacy Shield (Schrems II – C‑311/18) gehen an kaum einer Verarbeitungskette vorbei und wirken sich auch auf US-amerikanische Interessen aus. Immerhin lässt der datenschutzrechtliche Mehraufwand europäische Anbieter attraktiver werden. Die Regierung Biden reagierte vergangenes Jahr mit einer Executive Order, welche die vom EuGH in seinem Urteil monierten Datenschutzlücken der USA adressieren soll. Hierauf folgte im Dezember der Entwurf eines Angemessenheitsbeschlusses durch die EU, welcher planmäßig bis schätzungsweise Mitte des Jahres in Kraft treten soll. Jedoch sollten Datenschutzverantwortliche mit den Freudensprüngen aufgrund eines einfacher werdenden Datentransfers in die USA vorsichtig sein. Sollte der Angemessenheitsbeschluss in der jetzigen Form erlassen werden, darf damit gerechnet werden, dass dieser erneut vor dem EuGH landet. So bemängelt beispielsweise noyb, die Datenschutzorganisation rund um Max Schrems, dass das (fehlende) amerikanische Rechtsverständnis des Verhältnismäßigkeitsbegriffs sowie der vorgesehene Beschwerdemechanismus für betroffene EU-Bürger die Executive Order daran hindern, ein mit der DSGVO vergleichbares Datenschutzniveau zu erreichen. Es bleibt also abzuwarten, ob der internationale Datentransfer dieses Jahr durch einen Angemessenheitsbeschluss vereinfacht wird und wenn ja – wie lange dieser standhält.
Bis es zu einem neuen Angemessenheitsbeschluss für die USA kommt, werden Unternehmen ihre Datentransfers in die USA in den meisten Fällen weiterhin auf die Standarddatenschutzklauseln der Europäischen Kommission (Standard Contractual Clauses, kurz: SCC) stützen. Doch mit dem bloßen Abschließen einer Vereinbarung zur Auftragsverarbeitung auf Basis der SCC ist es nicht getan. Denn diese sehen in Klausel 14 die Durchführung eines sog. Transfer Impact Assessments (TIA) vor. Gemäß Klausel 14 verpflichten sich die Parteien, den konkreten Datentransfer unter Berücksichtigung der Rechtslage des Ziellandes sowie der getroffenen Sicherungsmaßnahmen dahingehend zu bewerten, ob das im Rahmen der SCC vereinbarte Datenschutzniveau eingehalten werden kann. Es handelt sich also im Grunde um eine Risikoanalyse bezogen auf den konkreten Einzelfall.
Diese Risikoanalyse stellt Unternehmen häufig vor Herausforderungen, denn ein offizielles Muster hierfür gibt es nicht. Einer bestimmten Form muss das Transfer Impact Assessment ebenfalls nicht unterliegen, solange es rechtssicher dokumentiert ist. Bezüglich des Inhalts kann die oben erwähnte Klausel 14 der SCC einen Anhaltspunkt bieten. In Klausel 14 a) versichern die Vertragsparteien, dass sie „[…] keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.“ Die dieser Zusicherung zugrunde liegende Beurteilung des Datentransfers sollte dabei die besonderen Umstände der Übermittlung (Klausel 14 b) i)), die relevanten Rechtsvorschriften und Gepflogenheiten im Zielland (Klausel 14 b) ii)) sowie die vertraglich vereinbarten technischen und organisatorischen Maßnahmen berücksichtigen (Klausel 14 b) iii)).
Besondere Umstände der Übermittlung
Im Rahmen der konkreten Einzelfallanalyse wird also zunächst die Übermittlung an sich betrachtet. Hierbei wird unter anderem die Länge der Verarbeitungskette (Anzahl der eingesetzten Unterauftragsverarbeiter), der Zweck der Verarbeitung und die Kategorien der verarbeiteten Daten berücksichtigt. Handelt es sich um eine risikobehaftete Datenverarbeitung (beispielsweise aufgrund der Verarbeitung von Gesundheitsdaten i.S.d. Art. 9 Abs. 1 DSGVO) oder werden große Mengen an personenbezogene Daten an eine Vielzahl von Unterauftragsverarbeitern mit Sitz im Drittland weitergegeben, gilt es entsprechend strenge Anforderungen an den Transfer zu stellen.
Rechtsvorschriften und Gepflogenheiten des Ziellandes
Um beurteilen zu können, ob ein Transfer im Einzelfall den Anforderungen der SCC und damit dem Datenschutzniveau der EU entsprechen kann, ist es vor allem erforderlich, die Rechtslage im Zielland zu beurteilen. Eben diese ist im Falle der USA der Grund, weshalb der Angemessenheitsbeschluss auf Grundlage des EU – US Privacy Shields einer Prüfung des EuGH nicht standhielt (Schrems II – C‑311/18). Gemäß dem EuGH handelt es sich bei den einschlägigen US-amerikanischen Gesetzen, die einem DSGVO-konformen Datenaustausch entgegenstehen, insbesondere um Section 702 FISA und die Executive Order 12333. So regelt Section 702 FISA beispielsweise die Überwachung von Nicht-US-Bürgern, die sich außerhalb der USA befinden (also z.B. in der EU). Mithilfe dieser Rechtsgrundlage können US-Geheimdienste bei US-Unternehmen gespeicherte Daten von EU-Bürgern sowohl im Übermittlungsstadium als auch im Ruhezustand erheben. Erschwerend hinzu kommt, dass betroffenen EU-Bürgern gemäß dem EuGH in solchen Fällen keine angemessenen Rechtsbehelfe zur Verfügung stehen, um gegen eine solche Offenlegung ihrer Daten vorzugehen.
In einem Transfer Impact Assessment für eine Datenübermittlung in die USA gilt es also einzuschätzen, wie hoch das Risiko einer Offenlegung der übermittelten Daten auf Basis der oben geschilderten Rechtsgrundlagen ist. Hierbei müssen unter anderem Erfahrungswerte berücksichtigt werden, also beispielsweise, ob, wie häufig und in welchem Umfang der Datenimporteur selbst bereits von Behörden zur Offenlegung aufgefordert wurde.
Vertraglich vereinbarte technische und organisatorische Maßnahmen
Abschließend fließen natürlich auch alle vereinbarten technischen und organisatorischen Maßnahmen in die Bewertung des Drittlandtransfers ein. Im Rahmen einer Vereinbarung zur Auftragsverarbeitung auf Basis der SCC verpflichtet sich der Auftragsverarbeiter zur Einhaltung der angegebenen technischen und organisatorischen Maßnahmen. An dieser Stelle können und sollten auch seitens des Auftraggebers selbst Sicherheitsmaßnahmen ergriffen werden, um das Transfer Impact Assessment zu einem positiven Ergebnis zu führen (Supplementary Measures). Diese Maßnahmen sollten darauf abzielen, eine nach EU-Recht rechtswidrige Offenlegung der Daten auf Grundlage der oben beschriebenen Ermächtigungsgrundlagen der US-Behörden zu verhindern. Denkbar ist hier beispielsweise die Inhaltsverschlüsselung der transferierten Daten, wobei der erforderliche private Key zur Entschlüsselung der Daten außerhalb des Anwendungsbereichs der oben genannten US-Gesetze verwahrt wird (beispielsweise auf einem lokalen Server des in der EU ansässigen Unternehmens). Eine Orientierung, welche Maßnahmen hier infrage kommen, lässt sich zum Beispiel den Empfehlungen des European Data Protection Boards zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten entnehmen.
Schon dieser verkürzte Überblick zeigt, dass die Durchführung eines Transfer Impact Assessments ohne das entsprechende datenschutzrechtliche Know-how kaum möglich ist. Ein Verzicht hierauf stellt jedoch ebenfalls keine Option dar. Die Risikoabschätzung ist gemäß Klausel 14 lit. d) der SCC zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage vorzulegen. Sollte ein Unternehmen dieser Verpflichtung nicht nachkommen, kann darin ein Datenschutzverstoß liegen.
Bayerisches Landesamt für Datenschutzaufsicht beurteilt Mailchimp als unzulässig – wegen unzureichender Prüfung
So hat das BayLDA zum Beispiel bereits den Einsatz des Newsletter-Tools Mailchimp als unzulässig beurteilt, da eine entsprechende Bewertung des Drittlandtransfers ausblieb. Dabei traf das BayLDA keine Aussage zur DSGVO-Konformität des Tools selbst, sondern bemängelte lediglich, dass der Verantwortliche (trotz abgeschlossener SCC) seiner Pflicht zur Überprüfung, ob der Transfer zusätzlicher Maßnahmen bedarf, nicht nachkam. Zwar handelt es sich hierbei nicht um ein rechtskräftiges Urteil, die Entscheidung zeigt jedoch, dass das bloße Abschließen von Standardvertragsklauseln noch keinen DSGVO-konformen Transfer gewährleistet.
Die Durchführung eines Transfer Impact Assessments erfordert umfangreiches juristisches als auch technisches Know-how zur Gewährleistung der korrekten Bewertung des angedachten Datentransfers. Bei Bedarf stehen Ihnen unsere Experten der Rechtswissenschaften sowie der Informatik gerne als Unterstützung zur Verfügung.
Quellen:
• www.activemind.de/magazin/gutachten-us-ueberwachungsrecht
• www.bundestag.de/…/WD-3-181-20-pdf-data.pdf
• diercks-digital-recht.de/…/die-rechtslage-im-transatlantischen-datenverkehr-teil-1…
• curia.europa.eu/juris/document…
• edpb.europa.eu/…supplementarymeasurestransferstools_de.pdf
• noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law
• e-recht24.de/artikel/datenschutz/13085-eu-us-data-privacy-framework.html
