Europäisches Datenschutzrecht stuft Länder außerhalb des EWR als unsicher ein. Personenbezogene Daten dürfen in diesen Ländern nur verarbeitet werden, wenn angemessene Garantien bestehen und sichergestellt ist, dass die personenbezogenen Daten dort sicher sind. Das betrifft viele US-Dienstleister, deren Dienste ganz selbstverständlicher Bestandteil der IT-Infrastruktur vieler Unternehmen sind, wie AWS, Microsoft, Mailchimp, Cisco und viele mehr. Den Einsatz dieser Dienste datenschutzkonform zu gestalten ist schwer. Verstöße sollen nun verstärkt ermittelt und sanktioniert werden.
Hintergrund
Mit der sogenannten Schrems II-Entscheidung (C-311/18) hat der EuGH das Privacy Shield Abkommen gekippt. Damit ist eine wichtige Möglichkeit zur Rechtfertigung transatlantischer Datenübermittlungen entfallen. Zudem hat der EuGH in Frage gestellt, ob personenbezogene Daten überhaupt noch in die USA übermittelt und von US-Dienstleistern verarbeitet werden dürfen. Hintergrund sind potentiell weitreichende Möglichkeiten von US-Behörden zum Zugriff auf diese personenbezogenen Daten. Im Ergebnis bleibt Verantwortlichen in Europa nur noch die Möglichkeit, (i) sogenannte EU-Standardvertragsklauseln abzuschließen und (ii) zusätzliche technische- und organisatorische Garantien zu schaffen, die einen Zugriff von US-Behörden auf personenbezogene Daten möglichst ausschließen.
Deutsche Aufsichtsbehörden planen nun koordinierte Maßnahmen, um den Einsatz von Diensten aus den USA und anderen Drittstaaten, in denen ähnliche behördliche Zugriffsbefugnisse bestehen (wie Russland und China), zu prüfen und zu untersagen, wenn diese Anforderungen nicht eingehalten werden. Dafür wurden nach Auskunft des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (Professor Caspar) 5 Fragenkataloge entwickelt, die systematisch von den deutschen Aufsichtsbehörden an Unternehmen versandt werden sollen und von diesen zu beantworten sind. Die Fragenkataloge umfassen
- Tracking-Tools
- Mailhoster
- konzerninternen Datenverkehr
- und zwei weitere Fragebögen.
Die Aufsichtsbehörden gehen davon aus, dass es in den adressierten Bereichen möglich sei, auf US-Dienstleister zu verzichten. Darauf soll dann hingewirkt werden. Im Zweifel auch mit den Mitteln des Verwaltungszwangs. Bußgelder stehen offenbar noch nicht im Fokus. Darauf verlassen sollte man sich besser nicht.
Wie kann ich das Risiko meines Unternehmens verringern?
Deutsche Unternehmen sind gut beraten, zu prüfen, ob sie US-Dienstleister einsetzen und angemessene Maßnahmen dafür getroffen haben. Mehr oder weniger hilfreiche Hinweise zu Maßnahmen, die deutsche Aufsichtsbehörden für angemessen halten, ergeben sich aus diesen aufsichtsbehördlichen Stellungnahmen:
- EDPB: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, adopted 10 November 2020. PDF
- LFDI BW: Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? PDF
Mit folgender Checkliste können Sie Ihre Risiken identifizieren und gezielt verringern.
- Werden US-Dienstleister eingesetzt?
Machen Sie im ersten Schritt eine Risikoinventur und prüfen Sie, welche US-Dienstleister Sie einsetzen. Wichtig: auch wenn eine Verarbeitung durch den US-Dienstleister im EWR erfolgt, zum Beispiel das Hosting in einem europäischen Rechenzentrum, kann es zu relevanten Datenübermittlungen in die USA kommen.
- Kann auf den Einsatz der US-Dienstleister verzichtet werden?
Die effizienteste Maßnahme zur Risikoverringerung ist es, auf den Einsatz von US- und anderen Drittstaaten-Dienstleistern zu verzichten. Prüfen Sie daher sorgfältig, ob es gleichwertige Alternativangebote von Dienstleistern im EWR gibt. Diese sollten Sie bevorzugen.
- Bestehen vertragliche Grundlagen für die Einbindung von US-Dienstleistern?
Die Einbindung von US-Dienstleistern sollte nur auf der Basis angemessener (vertraglicher) Grundlagen geschehen. Das sind insbesondere die sogenannten EU-Standardvertragsklauseln. Bei der Beauftragung konzerninterner Dienstleister können zudem Binding Corporate Rules diese Funktion übernehmen. Prüfen Sie unbedingt, ob entsprechende Vereinbarungen bestehen.
- Bestehen zusätzliche technische- und organisatorische Garantien (sogenannte Supplementary Measures)?
Über das Bestehen einer vertraglichen Grundlage hinaus, müssen zusätzliche Garantien geschaffen werden, mit denen der Zugriff von US-Behörden auf personenbezogene Daten effektiv verhindert werden. Mit vertragliche Zusicherungen allein können diese Garantien nicht geschaffen werden. Das gilt auch für sogenannte „Warrant Canaries“ mit denen sich Dienstleister zur Offenlegung von Behördenanfragen verpflichten. Vermeintlich sichere Garantien sind im Ergebnis wohl nur technische Maßnahmen wie Anonymisierung, Pseudonymisierung und Verschlüsselung, die das Auslesen der Information verhindern. Ob der konkrete Dienst mit diesen technischen Maßnahmen noch genutzt werden kann, muss individuell geprüft werden.
Fazit
In der Schrems II-Entscheidung (C-311/18) kristallisiert sich ein internationaler politischer Konflikt um Befugnisse von (Geheim-)Diensten und die Bedeutung von Grundrechten, konkret die informationelle Selbstbestimmung. Für Unternehmen, die US-Dienstleister einsetzen (müssen), ergeben sich daraus Konflikte zwischen betrieblichen Notwendigkeiten und rechtlichen Anforderungen die für sie selten auflösbar sind. Eine Lösung kann nur auf einer internationalen politischen Ebene geschaffen werden. Bis dahin soll dieser Beitrag Orientierung für ein risikominimierendes Vorgehen geben.