Das Datenschutzrecht ist so konzipiert, dass Verantwortliche, bevor Sie personenbezogene Daten verarbeiten d\u00fcrfen, erstmal die Rechtm\u00e4\u00dfigkeit der Verarbeitung und den Schutz der Daten sicherstellen m\u00fcssen. Als Folge von diesem Grundsatz sind Verantwortliche gezwungen, auch das Datenschutzniveau bei Dritten, denen sie Daten \u00fcbermitteln wollen, zu pr\u00fcfen. Innereurop\u00e4isch gelingt das noch recht einfach, da f\u00fcr alle Beteiligten mit der Datenschutz-Grundverordnung (DSGVO) ein einheitliches gesetzliches Rahmenwerk besteht, das den Betroffenen, deren Daten verarbeitet werden, umfassende Schutzmechanismen bietet. Die Durchsetzungskraft dieses Regelwerks endet allerdings weitestgehend an den Grenzen der Europ\u00e4ischen Union, da ausl\u00e4ndische Unternehmen erstmal nicht der Hoheit der hiesigen Staatsmacht unterliegen. Die DSGVO hat verschiedene Instrumente geschaffen, um die \u00dcberleitung ad\u00e4quater Schutzmechanismen auch ins internationale Ausland zu bewerkstelligen.<\/p>\n
Eine M\u00f6glichkeit, den Datenschutz auch im Drittland, also einem Land, das nicht der Europ\u00e4ischen DSGVO unterliegt, sicherzustellen, ist es, das Datenschutzniveau des Empf\u00e4ngerlandes erstmal grundlegend zu pr\u00fcfen und begutachten. Da dies ein zentrales Thema ist, das viele Unternehmen gleicherma\u00dfen betrifft, sieht die DSGVO die M\u00f6glichkeit vor, dass die Europ\u00e4ische Kommission stellvertretend f\u00fcr alle den Datenschutz im Empf\u00e4ngerland \u00fcberpr\u00fcft und die Angemessenheit des Datenschutzniveaus des Drittlandes durch einen Beschluss feststellen kann. Auf diesen sogenannten Angemessenheitsbeschluss d\u00fcrfen sich Unternehmen dann grunds\u00e4tzlich verlassen, so dass diese Pr\u00fcfung nicht mehr durch jedes Unternehmen einzeln durchzuf\u00fchren ist.<\/p>\n
Angemessenheitsbeschluss:<\/strong><\/p>\n Ausgangslage Amerika \u2013 Sturz des Privacy Shields:<\/strong><\/p>\n Den Angemessenheitsbeschluss f\u00fcr unseren gr\u00f6\u00dften Handelspartner, den USA, hatte der Europ\u00e4ische Gerichtshof (EuGH) im vergangenen Jahr f\u00fcr unwirksam erkl\u00e4rt. Die gel\u00e4ufige Bezeichnung \u201eEU-US-Privacy-Shield\u201c resultiert aus der in diesem Angemessenheitsbeschluss vorgesehenen Voraussetzung, dass sich das amerikanische Unternehmen, dem die Daten \u00fcbermittelt werden sollen, dem im amerikanischen Rechtsraum bestehenden Regelwerk des Privacy-Shields freiwillig unterwerfen.<\/p>\n Anlass f\u00fcr die Aufhebung dieses Angemessenheitsbeschlusses waren haupts\u00e4chlich die \u00fcberbordenden, schrankenlosen \u00dcberwachungsm\u00f6glichkeiten amerikanischer Ermittlungsbeh\u00f6rden ohne Rechtsschutzm\u00f6glichkeiten f\u00fcr nicht-amerikanische B\u00fcrger. \u00dcber den Umweg \u00fcber amerikanische Unternehmen und Dienstleister hat sich der Staat einen Weg geschaffen – jenseits von irgendwelchen internationalen Rechtshilfe- oder Auslieferungsabkommen – massenhaft und anlasslos Daten von Menschen weltweit einzusehen und zu nutzen. Diese Handhabung entspricht nicht dem Europ\u00e4ischen Verst\u00e4ndnis von Datenschutz, insbesondere nicht in der Funktion als Beschr\u00e4nkung hoheitlicher Eingriffsbefugnisse zur Wahrung von B\u00fcrgerrechten, und war damit auch nicht vereinbar mit den Grunds\u00e4tzen der DSGVO.<\/p>\n Seither besteht f\u00fcr Europ\u00e4ische Unternehmen ein erhebliches Rechtsrisiko, amerikanische Dienste zu nutzen. Denn Fakt ist auch, ein Vertrag zwischen zwei Parteien ist nicht in der Lage, Ermittlungst\u00e4tigkeiten amerikanischer Beh\u00f6rden zu unterbinden. Dadurch haben es Europ\u00e4ische Verantwortliche zu vertreten, wenn sie in Kenntnis der Rechtslage dennoch Daten \u00fcbermitteln und somit die Betroffenen dem Risiko einer willk\u00fcrlichen Staatsmacht aussetzen. In der praktischen Folge bedeutet dies, dass ein nicht unerhebliches Haftungsrisiko besteht. Betroffene k\u00f6nnten ggf. Schadensersatzanspr\u00fcche geltend machen, die Aufsichtsbeh\u00f6rden k\u00f6nnten Unterlassungen und Bu\u00dfgelder aussprechen.<\/p>\n Letztendlich wird es erst dann wieder einen klaren Rechtsrahmen geben, wenn auf politischer Ebene eine Einigung gefunden wird, so dass ein neuer Angemessenheitsbeschluss erlassen werden kann. Gespr\u00e4che wurden bereits aufgenommen, der Ausgang der Verhandlungen ist ungewiss.<\/p>\n Technische Schutzma\u00dfnahmen:<\/strong><\/p>\n Bis dahin sind Europ\u00e4ische Verantwortliche gezwungen, zus\u00e4tzliche Ma\u00dfnahmen neben dem Abschluss datenschutzrechtlicher Vertr\u00e4ge zu ergreifen.<\/p>\n Ausschlie\u00dfen l\u00e4sst sich der Zugriff f\u00fcr amerikanische Beh\u00f6rden nur dadurch, wenn dem amerikanischen Unternehmen selbst der Zugriff gar nicht erst m\u00f6glich ist. Dies k\u00f6nnte in der Gestalt gel\u00f6st werden, dass nur verschl\u00fcsselte Daten auf amerikanischem Boden landen, wobei der Schl\u00fcssel zum Entschl\u00fcsseln der Daten nur dem Verantwortlichen selber zur Verf\u00fcgung steht.<\/p>\n M\u00f6glich ist dies nat\u00fcrlich nur bei Empf\u00e4ngern, die die betroffenen Personen zur Erf\u00fcllung der Zusammenarbeit nicht kennen m\u00fcssen. Um ein plakatives (wenn auch etwas abwegiges) Beispiel zu nennen: ein externer Kuvertierdienst ist sinnlos, wenn der Dienstleister nicht den konkreten Empf\u00e4nger auf den Umschlag drucken kann.<\/p>\n Anders sieht es aus bei reinem Speicherplatz in einem Cloud-Dienst. Die enthaltenen Informationen sind f\u00fcr den Cloud-Anbieter irrelevant. Die Dienstleistung besteht in der reinen Bereitstellung von Speicherplatz. Hierf\u00fcr ist die Kenntnis der Inhalte nicht notwendig. Bei solcherlei \u00dcbermittlungen k\u00f6nnten kurzfristig umzusetzende Verschl\u00fcsselungs-L\u00f6sungen gefunden werden.<\/p>\n In Software-as-a-Service-Umgebungen, also Software, die innerhalb einer Cloud betrieben wird, d\u00fcrfte die Verschl\u00fcsselung einen erheblichen Programmieraufwand nach sich ziehen, da oftmals die komplette Software-Architektur daf\u00fcr angepasst werden muss. Soll der Schl\u00fcssel ausschlie\u00dflich beim Auftraggeber liegen, muss der Schl\u00fcssel irgendwo in der Hardware des Auftraggebers platziert werden und ein Teil der Rechenleistung auf Client-Seite erfolgen. Die meisten Dienste d\u00fcrften diesbez\u00fcglich noch in den Kinderschuhen stecken, wenn solche L\u00f6sungen \u00fcberhaupt praktikabel umsetzbar gefunden werden k\u00f6nnen.<\/p>\n Auf lange Sicht ist die Trennung von Inhalten beim Host und Schl\u00fcsselverwaltung zur Entschl\u00fcsselung der Inhalte in der eigenen IT allerdings der sicherste Ansatz, weswegen es sich lohnt, diesen Ansatz weiterzuverfolgen, sei es bei bestehenden Dienstleistungen, sei es bei k\u00fcnftigen.<\/p>\n Vertragliche Schutzma\u00dfnahmen:<\/strong><\/p>\n k\u00f6nnen Verantwortliche auf vertraglicher Basis ein Datenschutzniveau vereinbaren, das die Daten der Betroffenen bestm\u00f6glich sch\u00fctzt. Es liegt in der Natur der Sache, dass ein zwischen zwei Parteien getroffener Vertrag kein staatliches Handeln regulieren kann, so dass der Schutz nie so effektiv sein kann, als wenn sich die Staaten untereinander auf ein verpflichtend einzuhaltendes Datenschutzniveau geeinigt h\u00e4tten (festgestellt durch einen Angemessenheitsbeschluss), oder technische Ma\u00dfnahmen den Zugriff von vorneherein unm\u00f6glich machen. Vertragliche Ma\u00dfnahmen entbinden nicht davon, alle anderen M\u00f6glichkeiten (Europ\u00e4ische Anbieter oder technische Ma\u00dfnahmen) nachweislich zu pr\u00fcfen und gegeneinander abzuw\u00e4gen.<\/p>\n Als vertragliche Schutzma\u00dfnahme k\u00f6nnen vertragliche Regelungen aufgesetzt werden, die im Einzelfall von den Aufsichtsbeh\u00f6rden gepr\u00fcft und genehmigt werden k\u00f6nnen: verbindliche interne Datenschutzrichtlinien (Art. 47 DSGVO – binding corporate rules).<\/p>\n F\u00fcr die meisten Sachverhalte ist es allerdings praktikabler auf vorgefertigte, von der Europ\u00e4ischen Kommission vorab genehmigte Standarddatenschutzklauseln zur\u00fcckzugreifen. Bereits unter der Geltung der Europ\u00e4ischen Datenschutz-Richtlinie (DS-RL), der Vorl\u00e4ufer zur DSGVO, wurden die sogenannten Standardvertragsklauseln f\u00fcr verschiedene Sachverhaltskonstellationen herausgegeben. Diese wurden zwar durch den EuGH grunds\u00e4tzlich f\u00fcr zul\u00e4ssig erkl\u00e4rt. Gleichwohl stellte das Gericht fest, dass der Abschluss dieser Vertragsklauseln die Verantwortlichen nicht davon entbindet, eine Pr\u00fcfung des Datenschutzniveaus im Einzelfall vorzunehmen und bei Feststellungen von Mankos zus\u00e4tzliche Ma\u00dfnahmen zu ergreifen.<\/p>\n Als Mankos galten bei der \u00dcbermittlung nach Amerika die gleichen Vorw\u00fcrfe hinsichtlich der staatlichen Eingriffsbefugnisse ohne ad\u00e4quate Rechtsschutzm\u00f6glichkeiten f\u00fcr Betroffene wie auch beim Sturz des Angemessenheitsbeschlusses. Letztlich waren Verantwortliche wieder dazu gezwungen, weitere Ma\u00dfnahmen, technische wie vertragliche, zu pr\u00fcfen und umzusetzen.<\/p>\n Umsetzung der neuen Standarddatenschutzklauseln:<\/strong><\/p>\n In dieser misslichen Lage hat die Europ\u00e4ische Kommission neue Standarddatenschutzklauseln erarbeitet und verabschiedet. Diese treten am 27.06.20201 in Kraft.<\/p>\n Durchf\u00fchrungsbeschluss mit Standardvertragsklauseln im Anhang:<\/p>\n https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.DEU&toc=OJ%3AL%3A2021%3A199%3ATOC<\/a><\/p>\n (Die deutsche und englische Version sind f\u00fcr unsere Kunden auch im myGindat-Portal hinterlegt.)<\/p>\n Die bisherigen Standardvertragsklauseln werden mit Wirkung zum 27.09.2021 aufgehoben und d\u00fcrfen ab diesem Zeitpunkt nicht mehr f\u00fcr Neuvertr\u00e4ge oder neue T\u00e4tigkeiten verwendet werden. Bereits abgeschlossene Standardvertragsklauseln k\u00f6nnen bis zum 27.12.2022 weiter genutzt werden, sofern dadurch gew\u00e4hrleistet ist, dass die \u00dcbermittlung personenbezogener Daten geeigneten Garantien unterliegt. In aller Regel wird dies bedeuten, dass Sie nach wie vor verpflichtet sein werden, zus\u00e4tzliche technische oder vertragliche Ma\u00dfnahmen zu ergreifen. Falls Sie nach dem Urteil bereits Ma\u00dfnahmen ergriffen haben, die den Datenschutz sicherstellen, k\u00f6nnen Sie diese Vertr\u00e4ge bis dahin weiter nutzen. Sollten Sie nach dem EuGH-Urteil zum Sturz des Privacy Shields noch nicht weiter t\u00e4tig geworden sein, sollten Sie die neuen Standardvertragsklauseln unverz\u00fcglich abschlie\u00dfen, da die Ma\u00dfgaben des EuGH-Urteils in den neuen Vertragsklauseln bereits ber\u00fccksichtigt wurden.<\/p>\n Neuerungen in den Standardvertragsklauseln:<\/strong><\/p>\n Neu ist an den verabschiedeten Standardvertragsklauseln am augenscheinlichsten, dass es nunmehr nur noch ein Vertragswerk gibt, das modular auf alle denkbaren Sachverhaltskonstellationen angewendet werden kann. Folgende Konstellationen k\u00f6nnen dargestellt werden:<\/p>\n Daten\u00fcbermittlungen<\/p>\n M\u00f6glich ist auch der Eintritt in einen bestehenden Vertrag durch eine dritte Partei, z.B. bei Konzernstrukturen.<\/p>\n Inhaltlich sind einige Vorgaben des EuGH Urteils zus\u00e4tzlich aufgenommen worden.<\/p>\n Verbindlich zu dokumentieren von beiden Parteien ist die Vorab-Pr\u00fcfung der Rechtm\u00e4\u00dfigkeit der Rahmenbedingungen der Daten\u00fcbermittlungen unter Ber\u00fccksichtigung der folgenden Aspekte:<\/p>\n \u201e<\/p>\n \u201e<\/p>\n Dar\u00fcber hinaus wurde eine vertragliche Verpflichtung f\u00fcr den Datenimporteur (also das empfangende Unternehmen im Drittland) aufgenommen, sich quasi stellvertretend f\u00fcr Betroffene gegen hoheitliche Eingriffsma\u00dfnahmen gerichtlich zur Wehr zu setzen, soweit die Ma\u00dfnahmen nach sorgf\u00e4ltiger Beurteilung durch den Datenimporteur nicht mit v\u00f6lkerrechtlichen Verpflichtungen vereinbar sind. Die bisher bereits \u00fcblichen Benachrichtigungspflichten durch den Datenimporteur sind beibehalten worden.<\/p>\n Ausgeweitet hat sich auch die Zust\u00e4ndigkeit europ\u00e4ischer Stellen f\u00fcr die juristische Aufarbeitung. Der Datenimporteur verpflichtet sich st\u00e4rker als bisher, sich der Europ\u00e4ischen Datenschutzaufsicht und der Europ\u00e4ischen Judikatur zu unterwerfen.<\/p>\n Insbesondere die letzten Punkte d\u00fcrften schwer zu schlucken sein f\u00fcr amerikanische Dienstleister, bringen diese doch erhebliche praktische Auswirkungen mit sich. Es bleibt abzuwarten, wie sich der Markt weiter entwickeln wird.<\/p>\n \u00dcberpr\u00fcfung durch die Aufsichtsbeh\u00f6rden:<\/strong><\/p>\n Um diesen Vorgaben zu einer effektiven Durchsetzung zu verhelfen, haben sich mehrere Landesdatenschutz-Beh\u00f6rden zusammengetan und zum 01.06.2021 eine l\u00e4nder\u00fcbergreifende koordinierte Pr\u00fcfung internationaler Datentransfers gestartet. Die daf\u00fcr genutzten Frageb\u00f6gen k\u00f6nnen beispielsweise hier nachgelesen werden:<\/p>\n\n
\n
\n