In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
Dunkle Wolken: Auch nach den Empfehlungen des Europäischen Datenschutzausschusses (EDPB) weiterhin erhebliche Rechtsunsicherheit bei der Nutzung von US-Cloud-Diensten
Thursday, 12. November 2020
Nach den jüngsten Empfehlungen des Europäischen Datenschutzausschusses (EDPB) stehen europäische Nutzer von US-Cloud-Anwendungen vor erheblichen Herausforderungen. Wenn Serverstandorte von Cloud-Diensten etwa in den USA stehen, reicht es nach Ansicht des EDPB nicht aus, allein den Transportweg (data in transit) und die gespeicherten Daten (data at rest) nach dem Stand der Technik zu verschlüsseln. Vielmehr müssen technische und organisatorische Maßnahmen gefunden werden, um jegliche Datenzugriffe des US-Anbieters zu unterbinden. Dies setzt voraus, dass der europäische Kunde im Besitz des Schlüssels ist.
Der EuGH hatte mit der Aufhebung des EU-US Privacy Shields vom 16.07.2020 (Rechtssache C-311/18 - „Schrems II“) einem Großteil des Datentransfers in die USA und weitere Nicht-EU/EWR-Staaten („Drittländer“) die rechtliche Grundlage entzogen. Wir berichteten hier: EuGH erklärt ,,Privacy-Shield“ für unwirksam - vielen Datenübermittlungen in die USA fehlt nun die rechtliche Grundlage
Der EuGH hatte entschieden, dass sich europäische Unternehmen oder sonstige Einrichtungen („Verantwortliche“) bei internationalen Datenübermittlungen nicht mehr ausschließlich auf die in Art. 44 ff. DSGVO vorgesehenen Mechanismen (insbesondere die sog. Standardvertragsklauseln, SCC) verlassen können. Vielmehr seien (a) eine Einzelfallprüfung der gesetzlichen Datenschutzgarantien im Empfängerstaat sowie (b) die Ergreifung weiterer Maßnahmen („supplementary measures“) notwendig, um ein mit dem europäischen Recht vergleichbares Datenschutzniveau auch im Drittland zu erreichen. Wie diese „supplementary measures“ im Einzelfall aussehen können, ließ der EuGH aber offen. Am 10.11.2020 hat nun der Europäische Datenschutzausschuss Empfehlungen für Maßnahmen zur Einhaltung eines angemessenen Datenschutzniveaus bei Drittstaatentransfers veröffentlicht. An dieser Stelle sei ausdrücklich darauf hingewiesen, dass diese Empfehlung des EDPB zwar keinen rechtsverbindlichen Charakter hat, gleichzeitig aber im Rahmen der Bewertung des Bußgeldrisikos berücksichtigt werden sollte.
Der EDPB stellt in seiner Handlungsempfehlung dar, wie europäische Verantwortliche in sechs Schritten ihrer Rechenschaftspflicht bei internationalen Datentransfers nachkommen können. Zusammengefasst empfiehlt der EDPB folgendes Vorgehen:
Schritt 1: „Know your Transfers“
Europäische Verantwortliche sollen sich einen Überblick über sämtliche Datentransfers in Drittländer verschaffen und dabei insbesondere auch Datenverarbeitungen durch Subdienstleister berücksichtigen. Dies muss entsprechend dokumentiert werden.
Unsere Empfehlung:
Greifen Sie hierzu auf Ihre Verarbeitungsverzeichnisse zurück und - falls erforderlich - nutzen Sie die Gelegenheit, um diese zu aktualisieren.
Schritt 2: Prüfung der rechtlichen Grundlage
Im zweiten Schritt sollen die rechtlichen Grundlagen (Art. 46 DSGVO) für Datenübermittlungen in Drittländer evaluiert und dokumentiert werden.
Unsere Empfehlung:
Viele US-Cloud-Anbieter haben aufgrund des EuGH-Urteils ihre Vertragsbedingungen aktualisiert. Prüfen Sie, welche Vertragsbedingungen für Sie gelten und - falls erforderlich - aktualisieren Sie die Vertragsgrundlagen. Dokumentieren Sie anschließend, auf welcher Rechtsgrundlage eine etwaige Datenübermittlung in Drittländer erfolgt - z. B. Standardvertragsklauseln.
Hinweis: Die Standardvertragsklauseln werden häufig über Anhänge zu den Standardbedingungen eingebunden (z. B. in einem „Data Processing Addendum“).
Schritt 3: Prüfung des Datenschutzniveaus im Drittland
Im dritten Schritt sollen europäische Verantwortliche auf der Grundlage des jeweils einschlägigen Transfermechanismus (Art. 46 DSGVO) prüfen, ob dies im Einzelfall dazu geeignet ist, ein hinreichendes Datenschutzniveau im Drittland zu garantieren. Die in der Praxis häufig verwendeten SCC sind hierfür je nach Drittland allein oftmals nicht ausreichend. Der EDPB verlangt hier, dass europäische Verantwortliche das Datenschutzniveau im Drittland insbesondere im Hinblick auf gesetzliche Zugriffsbefugnisse nationaler Behörden untersuchen.
Unsere Empfehlung:
Dokumentieren Sie die Prüfung der ausländischen Rechtslage für jeden Einzelfall. Gerne unterstützen wir Sie hierbei und holen über unser internationales Anwaltsnetzwerk Auskünfte zur jeweiligen Rechtslage ein.
Schritt 4: Umsetzung von „supplementary measures“
Im vierten Schritt gibt der EDPB die lang ersehnten Empfehlungen zu „supplementary measures“. Wer sich hier aber eine unkomplizierte und rechtssichere Lösung zur Nutzung von US-Cloud-Diensten erhofft hat, wird bitter enttäuscht. Im Gegenteil: Gerade für die weit verbreiten SaaS-Anwendungen sieht der EDPB keine geeigneten Maßnahmen. Stark vereinfacht empfiehlt der EDPB die Umsetzung folgender Maßnahmen:
a. Technische Maßnahmen
- Verschlüsselung: Als zentrale Maßnahme sieht der EDPB den Einsatz von starker, dem Stand der Technik entsprechender Verschlüsselung personenbezogener Daten vor, die im Drittland verarbeitet werden. Diese Verschlüsselung soll insbesondere der Kryptoanalyse nationaler Behörden im Drittland standhalten können.
- Schlüsselhoheit: Der EDPB verlangt, dass die Schlüsselhoheit bei den europäischen Verantwortlichen oder bei damit beauftragten europäischen Dienstleistern liegen muss.
- Pseudonymisierung: Nach Möglichkeit sollen personenbezogene Daten in pseudonymisierter Form in Drittländern verarbeitet werden.
b. Vertragliche Maßnahmen
- Technische Maßnahmen: Die Umsetzung der o. g. technischen Maßnahmen sollte vertraglich vereinbart werden.
- Transparenz: Der Dienstleister im Drittland sollte zur Transparenz und Aufklärung über die nationale Rechtslage und Zugriffe durch nationale Behörden verpflichtet werden.
- Rechtmäßigkeit: Der Dienstleister sollte zur Prüfung der Rechtmäßigkeit von Zugriffen durch nationale Behörden und zum Ergreifen entsprechender Gegenmaßnahmen verpflichtet werden.
- Betroffenenrechte: Die Rechte der Betroffenen (Einwilligung, Widerspruchsrecht, Informiertheit) sollten hinreichend vertraglich vereinbart werden.
c. Organisatorische Maßnahmen
- Prozesse: Es sollten interne Prozesse zur Einhaltung eines angemessenen Datenschutzniveaus bei Drittlandsübermittlungen eingeführt werden.
- Dokumentation: Zugriffe von Behörden sowie entsprechende Veröffentlichungen sollten dokumentiert werden.
- Datenminimierung: Es sollten organisatorische Maßnahmen getroffen werden, um Datenübermittlungen in Drittländer zu reduzieren (z. B. eingeschränkte Zugriffsrechte im Rahmen von Supportleistungen).
- Security Standards: Es sollten Informations- und IT-Sicherheitsstandards umgesetzt werden (z. B. ISO-Normen).
Unsere Empfehlung:
Der EDPB macht in seinen Empfehlungen deutlich, dass die Einhaltung der technischen Maßnahmen essentiell für eine DSGVO-konforme Datenübermittlung in betroffene Drittländer ist. Vertragliche oder organisatorische Maßnahmen können die technischen Maßnahmen nicht ersetzen. Sie sollten daher zunächst einzelfallbezogen untersuchen, in welchen Fällen sich insbesondere die oben genannten Verschlüsselungsvorgaben umsetzen lassen.
Beispiele:
- Data Storage: Ein reines Data Storage (z. B. Backup-Server) lässt sich mit entsprechender Verschlüsselung (und Schlüsselhoheit beim europäischen Unternehmen) nach den Empfehlungen des EDPB rechtskonform umsetzen.
- Data in Transit: Soweit personenbezogene Daten nur durch ein Drittland durchgeleitet werden, ohne dass diese Daten in dem entsprechenden Land abrufbar sind, lässt sich dies mit starker Transportverschlüsselung ebenfalls umsetzen.
- SaaS-Anwendungen: Bei klassischen SaaS-Anwendungen (z. B. MS 365) stehen europäische Unternehmen weiterhin vor erheblichen Herausforderungen. Nach Ansicht des EDPB reicht es nicht aus, wenn in diesen Fällen die Daten im Transport und auf den Servern verschlüsselt sind. Soweit der Anbieter im Drittland oder aus dem Drittland Zugriff auf unverschlüsselte Daten erhält, sei die Verschlüsselung nach Ansicht des EDPB keine hinreichende technische Maßnahme. Wir unterstützen Sie gerne bei der Prüfung, inwieweit Sie Ihre SaaS-Anwendung dennoch rechtskonform einsetzen können.
- Intercompany-Verarbeitungen: Auch hinsichtlich konzerninterner Datenverarbeitungen in Drittländern sind nach Ansicht des EDPB die Verschlüsselung des Transports und die Verschlüsselung der gespeicherten Daten allein nicht ausreichend. Wir unterstützen Sie gerne bei der Entwicklung einer rechtskonformen Lösung in diesen Fällen.
Schritt 5: Formelle Anforderungen bei der Umsetzung von „supplementary measures“
Im fünften Schritt sollen europäische Verantwortliche prüfen, ob ggf. formelle Anforderungen bei der Umsetzung von „supplementary measures“ zu beachten sind. Bei den häufig verwendeten SCC ist im Rahmen von vertraglichen Maßnahmen darauf zu achten, dass den Regelungen der SCC nicht widersprochen werden darf. Andernfalls stellen diese keine geeignete Garantie nach Art. 46 DSGVO dar und die Datenübermittlung ist rechtswidrig.
Schritt 6: Regelmäßige Überprüfung der Maßnahmen
Europäische Verantwortliche sollten einen Prozess zur regelmäßigen Überprüfung der Einhaltung geeigneter Maßnahmen für Datenübermittlungen in Drittländer einführen und dokumentieren.
Unsere Experten im IT-Recht und Datenschutzrecht beraten Sie gern zu den individuellen Maßnahmen für Ihr Unternehmen.
