Drittlandübermittlungen: EDSA veröffentlicht „Empfehlungen“

Am 10.11.2020 hat der Europäische Datenschutzausschuss (EDSA“ oder englisch „EDPB) zwei „Empfehlungen“ angenommen, die die Rechtmäßigkeitsanforderungen für den Transfer personenbezogener Daten in Drittländer außerhalb von EU/EWR noch einmal deutlich verschärfen.

Es handelt sich um die Empfehlungen 01/2020 zu Maßnahmen, die die Regularien für Drittlandübermittlungen ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten (“Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“) und die Empfehlungen 02/2020 zu essenziellen europäischen Garantien bei Überwachungsmaßnahmen (“Recommendations 02/2020 on the European Essential Guarantees for surveillance measures“).

Stand der Empfehlungen

Diese Mandanteninformation basiert auf den am 10.11.2020 angenommenen „Empfehlungen“ des EDSA. Die Empfehlungen 01/2020 sind bis zum 30.11.2020 zur Abgabe von Feedback geöffnet. Es ist nicht zu erwarten, dass sich bei dieser Konsultation wesentliche Änderungen an den Positionen des EDSA ergeben werden.

Kernaussagen des EDSA

Der EDSA legt auf über 50 Seiten einen ausführlichen Prüfplan für Drittlandübermittlungen vor und spricht zugleich Empfehlungen aus, wie mit dortigen Überwachungsmaßnahmen umzugehen sei. Im Wesentlichen trifft der EDSA dabei die folgenden Aussagen:

Die Roadmap des EDSA

Der EDSA beschreibt sechs Schritte, die Datenexporteure berücksichtigen müssen, wenn sie die Rechtmäßigkeit von Datenübermittlungen in Drittländern bewerten. Der EDSA hält hierbei ausdrücklich fest, dass die Ergebnisse dieser Bewertung und die ggf. getroffenen Maßnahmen zu dokumentieren sind, um dies gegenüber den Aufsichtsbehörden in Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachweisen zu können (Rn. 7).

1. Schritt: „Know your transfers“ (Bestandsaufnahme aller Drittlandübermittlungen)

Der Datenexporteur hat sich im 1. Schritt (Rn. 8 bis 13) vor der erstmaligen Datenübermittlung über alle möglichen Drittlandübermittlungen in seinem Verantwortungsbereich zu vergewissern. Dabei ist die gesamte Verarbeitungskette zu berücksichtigen (einschließlich der Auftragsverarbeiter und weiteren Auftragsverarbeiter, also Unterauftragnehmer), ebenso potenzielle Zugriffsmöglichkeiten aus Drittländern durch verbundene Konzerngesellschaften (z.B. beim Remote-Zugriff für den Support), selbst wenn die personenbezogenen Daten innerhalb von EU/EWR verarbeitet werden.

Beispiel: Erfasst werden auch Cloud-Dienste, die zwar eine Datenverarbeitung auf Servern in EU/EWR zusichern, Remote-Zugriffe aus Drittländern wie den USA aber nicht ausschließen (z.B. AWS, Azure oder Salesforce).

2. Schritt: Rechtsgrundlage für Drittlandübermittlung nach Artt. 44 ff. DSGVO erfassen

Der 2. Schritt (Rn. 14 bis 27) ist der erste Gradmesser bei der Beurteilung der Zulässigkeit der Drittlandübermittlung. Liegt ein Angemessenheitsbeschluss der EU-Kommission für das Drittland vor, bedarf es keiner weiteren Maßnahmen wegen der Rechtmäßigkeit der Drittlandübermittlung (Rn. 15 ff.). Ebenso ist es, wenn eine der (enggefassten), sich auf Einzelsachverhalte beziehenden Ausnahmen nach Art. 49 DSGVO vorliegt, z.B. eine Einwilligung der betroffenen Person oder eine Übermittlung zur Erfüllung eines Vertrags mit der betroffenen Person.

Beispiel: Der Ausnahmecharakter von Art. 49 DSGVO spricht dagegen, Datenübermittlungen in die USA bei der Nutzung von Marketing- und Analysetools auf der Websites auf Einwilligungen der Websitenutzer zu stützen (vgl. dazu auch unseren Beitrag auf unserer Website).

Sehr schwierig ist es, wenn der Datenexporteur, gleich ob Verantwortlicher oder Auftragsverarbeiter, die Datenübermittlung in das Drittland auf eine der in Art. 46 DSGVO genannten Garantien stützen will, insbesondere die von der EU-Kommission genehmigten Standarddatenschutzklauseln (früher Standardvertragsklauseln oder standard contractual clauses/SCC) oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules/BCR). Das ist bei kommerziellen Cloud-Diensten aus Drittländern nach dem Wegfall des EU-US Privacy Shields der Regelfall. Dann sind die weiteren Prüfschritte des EDSA durchzuführen.

Hinweis: Die EU-Kommission hat am 11.11.2020 Entwürfe für neue Standarddatenschutzklauseln vorgestellt. Diese haben nicht nur einen anderen Aufbau und erweiterten Anwendungsbereich (z.B. Processor-to-Processor), sondern bilden auch ergänzende organisatorische und vertragliche Maßnahmen in Reaktion auf das „Schrems II“-Urteil des EuGH ab. Zur Bedeutung der neuen SCC siehe unten.

3. Schritt: Bewertung der Wirksamkeit von SCC/BCR als Garantie für die Drittlandübermittlung

In Schritt 3 muss vom Datenexporteur geprüft werden, ob die gewählte Garantie, also SCC und/oder BCR, in dem Drittland tatsächlich ein angemessenes Datenschutzniveau sicherstellt. Der Prüfungsmaßstab hierfür ergibt sich, abgeleitet aus Art. 45 Abs. 2 DSGVO, vornehmlich aus den Empfehlungen 02/2020 des EDSA (siehe oben).

Der Verantwortliche hat also für seine Datenübermittlung eine vergleichbare Rechtmäßigkeitsprüfung vorzunehmen wie die EU-Kommission für die Erstellung eines Angemessenheitsbeschlusses. Aus dieser Prüfung ergibt sich, ob die SCC und/oder BBCR als Garantien gemäß Art. 46 DSGVO in Verbindung mit dem auf die konkreten Umstände der Verarbeitung anwendbaren Recht im Drittland ein angemessenes Schutzniveau sicherstellen können – oder nicht.

Eine solche Prüfung ist eine regelmäßig nicht leistbare Aufgabe für Datenexporteure, denn in der Prüfung sind insbesondere folgende Aspekte („Guarantees“) kumulativ im Wege einer Gesamtschau zu berücksichtigen:

  • Guarantee A: Die Verarbeitung soll auf präzisen, klaren und zugänglichen Regeln beruhen.
  • Guarantee B: Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Hinblick auf die verfolgten legitimen Ziele sollen nachgewiesen werden.
  • Guarantee C: Es soll ein unabhängiger Überwachungsmechanismus bestehen, z.B. durch ein Gericht oder eine andere unabhängige Stelle.
  • Guarantee D: Betroffenen Personen sollen wirksame Rechtsbehelfe zur Verfügung stehen.

Der EDSA hebt hervor, dass bei der Prüfung der Rechtslage im Drittland die konkreten Umstände der Datenübermittlung zu berücksichtigen sind (Rn. 33 f.), also etwa

  • die Zwecke der Verarbeitung,
  • die Kategorien personenbezogener Daten,
  • das eingesetzte Datenformat, und
  • die tatsächlichen Umstände der Verarbeitung, beispielsweise ob die Daten im Drittland gespeichert werden oder es lediglich zu Zugriffen aus dem Drittland kommt.

Die konkreten Umstände sind für jeden Einzelfall einer Drittlandübermittlung zu bewerten, weil unterschiedliche gesetzliche Regelungen existieren können (vgl. Fußnote 40 der Empfehlungen 01/2020, die darauf hinweist, dass landesspezifisch der Import verschlüsselter Daten verboten sein kann).

Hervorzuheben ist, dass der EDSA ausschließlich auf die Rechtslage im Drittland abstellt, die tatsächliche Eintrittswahrscheinlichkeit der Risiken für betroffen Personen in diesem Prüfschritt jedoch ausklammert (z.B. die Wahrscheinlichkeit von Zugriffen durch Überwachungsbehörden, vgl. Rn. 42). Die fehlende Berücksichtigung derartiger Faktoren lässt den Eindruck entstehen, dass hier der risikobasierte Ansatz der DSGVO aufgeweicht wird, ohne die teilweise bestandsgefährdenden Auswirkungen auf Datenexporteure überhaupt in den Blick zu nehmen. Hier lässt der EDSA leider das Verhältnismäßigkeitsprinzip außer Acht.

Die Prüfung kann zu zwei Ergebnissen führen:

  1. Die SCC und/oder BCR stellen als Garantien gemäß Art. 46 DSGVO bezogen auf die konkreten Umstände der Verarbeitung und die Rechtslage im Drittland ein angemessenen Datenschutzniveau sicher. Die Drittlandübermittlung der personenbezogenen Daten ist damit rechtmäßig. Achtung: Die Prüfung gemäß Schritt 3 ist in regelmäßigen Abständen zu wiederholen (siehe Schritt 6).
  2. Die Rechtslage im Drittland verhindert bezogen auf die konkreten Umstände der Verarbeitung ein angemessenes Datenschutzniveau, etwa weil der Datenimporteur die vertraglichen Pflichten aus den SCC wegen der für ihn geltenden Gesetze nicht einhalten kann (so vom EuGH im „Schrems II“ für viele Datenimporteure in den USA bereits festgestellt). Die Drittlandübermittlung ist in diesen Fällen nach dem EDSA nur rechtmäßig, wenn die weiteren Schritte eingehalten werden.

4. Schritt: Zusätzliche (technische) Maßnahmen zur Absicherung der Drittlandübermittlung

Führen SCC und/oder BCR wegen der Rechtslage im Drittland nicht zu einem angemessenen Datenschutzniveau (siehe 3. Schritt), sind im 4. Schritt die zusätzlichen Maßnahmen zur Absicherung der Drittlandübermittlung zu ermitteln und festzulegen.

Dabei schränkt der EDSA die möglichen Maßnahmen erheblich ein: Ausschließlich vertragliche Maßnahmen (z.B. Zusatzvereinbarungen zu den SCC) und organisatorische Maßnahmen (z.B. Verpflichtung des Datenimporteurs auf gerichtliche Gegenwehr bei staatlichen Zugriffsversuchen) schaffen hiernach keinen hinreichenden Schutz (Rn. 48), obwohl der EDSA selbst umfangreich vertragliche Klauseln und organisatorische Maßnahmen in den Empfehlungen vorschlägt (Rn. 93 ff.) Der EDSA legt stattdessen den Fokus auf technische Maßnahmen (z.B. Verschlüsselung oder Pseudonymisierung personenbezogener Daten), die dann durch vertragliche und organisatorische Maßnahmen ergänzt werden können.

Das Vorgehen illustriert der EDSA im Annex 2 an mehreren Use Cases. Beispielhaft:

Use Case 1 (Rn. 79): Datenspeicherung für Sicherungs- und andere Zwecke, die keinen Zugriff auf Daten im Klartext erfordern

Szenario: Ein Datenexporteur nutzt einen Hostingprovider mit Sitz in einem Drittland. Der Provider speichert personenbezogene Daten des Datenexporteurs z.B. für Backups.

Vorgeschlagene Maßnahmen des EDSA (Auszug): Sichere Verschlüsselung der Daten vor der Übermittlung.

Use Case 6 (Rn. 88): Übertragung an Anbieter von Cloud-Diensten oder andere Prozessoren, die Zugang zu Daten im Klartext benötigen

Szenario: Ein Datenexporteur nutzt einen Cloud-/SaaS-Provider, um personenbezogene Daten weisungsgemäß in einem Drittland zu verarbeiten (z.B. für Videokonferenzen, Kollaborationslösungen, CRM).

Ergebnis des EDSA (vereinfacht): Technische Maßnahmen können die Übermittlung nicht absichern.

Der 4. Schritt kann wiederum zwei Ergebnisse haben:

  1. Die technischen Maßnahmen, ggf. zusammen mit ergänzenden vertraglichen und organisatorischen Maßnahmen, sichern die Datenübermittlung zusammen mit den SCC und/oder BCR ab (siehe Use Case 1).
  2. Die Drittlandübermittlung kann nicht durch technische oder andere Maßnahmen abgesichert werden (siehe Use Case 6). Dies wird bei lebensnaher Betrachtung für sehr viele Datenübermittlungen in Drittländer gelten.

Sind personenbezogene Daten bereits ohne entsprechende Absicherung in Drittländer übermittelt worden, sind alle Kopien der Daten von den Datenimporteuren zurückzufordern bzw. dort zu löschen oder zu vernichten (vgl. Rn. 52). Soll die Datenübermittlung fortgesetzt werden, obwohl der Datenimporteur die Verpflichtungen aus SCC und/oder BCR nicht einhalten kann, verlangt der EDSA eine Meldung an die Aufsichtsbehörde hierüber (Rn. 53).

5. Schritt: Vorgehen bei wirksamen zusätzlichen Maßnahmen

Abhängig von der gewählten Garantie (SCC oder BCR) müssen weitere Verfahrensschritte eingehalten werden, um die zusätzlichen Maßnahmen (siehe Schritt 4) im Verhältnis zum Datenimporteur festzulegen und zu dokumentieren. Sofern dies als Ergänzung zu den (ansonsten unveränderten) SCC geschieht, ist keine Genehmigung der Aufsichtsbehörden hierfür notwendig. Anders ist dies aber, wenn die SCC direkt modifiziert werden (siehe Art. 46 Abs. 3 Buchst. a) DSGVO) oder insgesamt individuelle Regelungen für die Datenübermittlung anstatt der SCC getroffen werden. Zum Umgang mit BCR wird eine weitere Stellungnahme des EDSA in Aussicht gestellt (Rn. 59).

6. Schritt: Turnusmäßige Neubewertung der Prüfschritte

Die beschriebenen Prüfschritte sollen laufend wiederholt werden, um das Schutzniveau im Drittland wegen der konkreten Umstände der Verarbeitung zu überwachen und nötigenfalls neu zu evaluieren. Zudem sollen effektive Mechanismen bestehen, um die Datenübermittlung auszusetzen, wenn das angemessene Datenschutzniveau nicht mehr gewährleistet ist, z.B. weil der Datenimporteur die erforderlichen Schutzmaßnahmen verletzt oder Änderungen der Rechtslage im Drittland das Schutzniveau gefährden.

Visualisierung des Entscheidungspfades

Welche Datenübermittlungen sind in der Praxis betroffen?

Die Bewertung muss im jeweiligen Einzelfall ausgehend von den konkreten Verarbeitungsumständen erfolgen: Welche personenbezogenen Daten werden wie und zu welchem Zweck in welcher Verantwortlichkeitskonstellation in ein Drittland übermittelt? Typisierend lässt sich eine Einordnung anhand der Use Cases des EDSA vornehmen, bei denen nach dem EDSA mangels geeigneter technischer Maßnahmen (oben Schritt 4) Drittlandübermittlungen nicht zulässig sind, wenn im Drittland kein angemessenes Schutzniveau herrscht (oben Schritt 3):

Praktischer Anwendungsfall der Drittlandübermittlung Use Case nach dem EDSA
Nutzung von Cloud Services, die Klardaten benötigen und nicht nur speichern, z.B. Gesichtserkennung, Live-Auswertung, Machine Learning (ML) Use Case 6
Nutzung von Office Produkten: abhängig vom Dienst

(Azure und AWS fallen bereits unter die vorherige Zeile)

Einzelfallabhängig Use Case 6, 7
Nutzung von Videokonferenzsystemen

(Hinweis: Uns gegenüber wurde aufsichtsbehördlich geäußert, dass eine Ende-zu-Ende Verschlüsselung nicht ausreichend sei, wenn Metadaten „nur“ transportverschlüsselt übertragen werden, z.B. Benutzername, Telefonnummer oder E-Mail-Adresse beim Anmeldevorgang)

Use Case 6
Nutzung von Marketing Plattformen und Social Media, z.B. Facebook Fanpages

Hinweis: Das gilt auch, wenn die Verarbeitung als gemeinsam Verantwortliche erfolgt und die Drittlandübermittlung in der Sphäre des anderen Verantwortlichen erfolgt. Hier muss der Nutzer als Verantwortlicher (also etwa der Betreiber der Fanpage) nach der Logik des EDSA eigene technische Maßnahmen treffen, welche die Übermittlung durch den anderen Verantwortlichen absichert. Das ist unmöglich.

Use Case 7
Nutzung von Tracking-Diensten bei Websites/Apps

Hinweis: Zu Verarbeitungen als gemeinsam Verantwortliche (z.B. Facebook Custom Audiences) siehe vorherige Zeile.

Einzelfallabhängig Use Case 6, 7

Welche Möglichkeiten haben Sie jetzt?

Als datenschutzrechtlich Verantwortlicher haben Sie nun im Wesentlichen fünf Möglichkeiten, abhängig von Ihren betrieblichen Notwendigkeiten und Ihrer Risikoaffinität.

Sichere Lösungen

  • Lösung 1: Sie sprechen mit Ihren Dienstleistern und lassen sich zusichern, dass keinepersonenbezogenen Daten in Drittländer übermittelt werden, für die kein Angemessenheitsbeschluss vorliegt. Das gilt auch für Zugriffe aus Drittländern auf in der EU verarbeitete Daten, z.B. Remote-Zugriffe für Supportzwecke. Ausnahmen hiervon darf es nicht geben, auch nicht zur Aufrechterhaltung des jeweiligen Dienstes.
  • Lösung 2: Sie beenden sämtliche Datenverarbeitungen, für die eine solche Zusage nicht erteilt wird, und stellen Ihre Prozesse um: entweder durch Migration zu europäischen Alternativen oder Beendigung der Prozesse.

Risikobasierte Lösungen

  • Lösung 3: Sie nehmen eine Bewertung vor, welche Verarbeitungen für Ihr Unternehmen überlebensnotwendig sind und dokumentieren dies. Bei einer aufsichtsbehördlichen Inanspruchnahme oder einem Gerichtsverfahrens versuchen Sie, die hier ausnahmsweise den Datenschutz überragenden Unternehmensinteressen nach Art. 16, 17 EU-Grundrechtecharta durchzusetzen (dazu auch unsere Praxishilfe aus Juli 2020 am Ende) und die Unverhältnismäßigkeit einer Untersagung oder anderen Sanktionierung wegen der Wirkung auf die unternehmerische Betätigung geltend zu machen.

Kirchliche Einrichtungen beachten bitte, dass eine solche Argumentation über die Religionsfreiheit deutlich schwerer zu führen sein dürfte, da die Religionsfreiheit in der EU-GRC weniger deutlich institutionalisiert ist als die unternehmerische Freiheit. Behörden und andere öffentliche Stellen beachten bitte, dass hier schon die Grundrechtsträgerschaft fraglich ist, dieser Weg also vermutlich verwehrt ist.

  • Lösung 4: Sie vertrauen darauf, dass die Anbieter ein eigenes Interesse an Lösungen haben und setzen die Drittlandübermittlungen fort in der Hoffnung, dass die Anbieter früher oder später technische Lösungen implementieren, die den Anforderungen von EuGH und EDSA entsprechen. Sollte der Datenschutzverstoß aufgedeckt werden tragen Sie die Sanktionen mit Fassung (mit Glück nur eine Untersagungsverfügung), auch wenn ein etwaiges Bußgeld wegen der Schwere der Vorwerfbarkeit und der unterbliebenen Maßnahmen höher ausfällt als erhofft.
  • Lösung 5: Sie versuchen sich durch Rechtsgutachten, die Drittlandübermittlungen ohne zusätzliche technische Maßnahmen und ausschließlich auf Grundlage von SCC und/oder BCR und unter Nichtbeachtung des EuGH-Urteils und der Empfehlungen des EDSA für rechtmäßig erachten, gutgläubig zu machen bzw. zu enthaften.

Zur Klarstellung: Wir haben keine Absicht, bestehende Mandate niederzulegen oder entzogen zu bekommen, sind aber für Rechtsgutachten aus Gefälligkeit nicht zu haben. Für uns sind Transparenz und Ehrlichkeit oberste Maxime unserer Beratung. Wir benennen deshalb die Risiken, so wie sie sind und setzen uns gemeinsam mit unseren Mandanten damit auseinander.

Sollten Sie auf Lösung 5 abzielen bedenken Sie bitte, dass möglicherweise zwei zusätzliche Rechtsgutachten erforderlich sind: Ein Rechtsgutachten, dass Ihrer bisherigen, qualifizierten Beratung widerspricht, sodann ein weiteres Gutachten, das erklärt, warum der Abweichung des Zweitgutachtens von der vorherigen qualifizierten Beratung zuzustimmen ist. Ein Restrisiko verbleibt jedoch auch in diesem Fall, da die Auffassung des Gerichts und der Behörden öffentlich gemacht wurden und fraglich ist, ob Sie sich auf einen sog. „Verbotsirrtum“ („Woher hätte ich das denn wissen sollen?“) berufen können.

Gibt es Übergangsfristen oder muss jetzt reagiert werden?

Seit dem Urteil des EuGH vom 16.07.2020 sind bereits fünf Monate vergangen, in denen die ersten Maßnahmen hätten ergriffen werden können. Bisher konnten Datenexporteure jedoch darauf verweisen, dass der EDSA weitere Hilfestellungen über seine FAQ hinaus angekündigt und die Aufsichtsbehörden sich noch nicht einheitlich positioniert hatten.

Beides hat sich nun geändert.

Mit den vorliegenden „Empfehlungen“ spricht der EDSA seine Erwartungshaltung unmissverständlich aus. Gleichzeitig haben die ersten deutschen Aufsichtsbehörden den Ton verschärft oder anlassunabhängige Kontrollen beginnend im Kalenderjahr 2021 angekündigt. Ohnehin gehen die Aufsichtsbehörden schon heute Beschwerden vornehmlich von Beschäftigten nach.

Es gilt also, sofort mit der unverzüglichen Prüfung und Umsetzung zu beginnen, sofern noch nicht geschehen.

Bei Fragen sprechen Sie uns bitte an.

Wer sind Ihre Ansprechpartner?

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt –zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).

Wer sind KREMER RECHTSANWÄLTE?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert und international an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig.

KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT-Recht und Datenschutzrecht geführt.

Von Sascha Kremer

Rechtsanwalt, Datenschutzbeauftragter, Unternehmer, Vater.