Empfehlungen des EDSA für Drittlandstransfers veröffentlicht

12.11.2020

Der Europäische Datenschutzausschuss (EDSA) hat am 10.11.2020 Empfehlungen für die Gestaltung von Datentransfers in so genannte Drittländer außerhalb der EU und des EWR veröffentlicht. Der EuGH hatte am 16.07.2020 entschieden, dass die Übermittlung personenbezogener Daten auf Grundlage des EU-US Privacy Shield unzulässig und bei der Nutzung von EU Standardvertragsklauseln eine eigene Wirksamkeitsprüfung durch die Verwender notwendig ist. In der Entscheidung hat der EuGH zudem klargestellt, dass Datentransfers in die USA allein auf Grundlage von EU Standardvertragsklauseln nicht mehr möglich sind. Dies stellt Unternehmen und Organisationen vor ganz erhebliche Probleme.

Vor diesem Hintergrund ist es zu begrüßen, dass nun auf europäischer Ebene erste belastbare Positionierungen erfolgt sind, auch wenn diese auf den ersten Blick nicht geeignet sind, die zahlreichen Probleme der Praxis zu lösen. Der EDSA folgt der harten Linie des EuGH und unternimmt keinen Versuch, Stellschrauben der DS-GVO für pragmatische Lösungen zu nutzen. Die Vorstellungen des EuGH und des EDSA zum Schutz personenbezogener Daten weichen so grundlegend von den Vorstellungen vieler anderer Länder außerhalb der EU ab, dass eine dauerhafte Lösung nur politisch und gesetzgeberisch erreicht werden kann. Leidtragende dieses globalen Konflikts sind derzeit in der Praxis allein die Unternehmen in der EU.

Der EDSA betont ausdrücklich die Verantwortung jedes Datenexporteuers, Übermittlungen in Drittländer genau zu prüfen und ein Schutzniveau für die personenbezogenen Daten sicherzustellen, welches dem der EU vergleichbar ist. Er formuliert dafür ein sechs stufiges Verfahren, welches nachfolgend mit der jeweiligen Bedeutung für die Praxis grob skizziert wird:

Stufe 1: Dokumentation aller Übermittlungen personenbezogener Daten in Drittländer

Der EDSA macht deutlich, dass der Dokumentation der Übermittlungen in Drittländern eine große Relevanz zukommt. Allerdings weist der EDSA ausdrücklich darauf hin, dass nach seiner Auffassung schon jede Zugriffsmöglichkeit aus einem Drittland (z.B. für Wartung und Support) einen Drittlandstransfer darstellt. Außerdem weist der EDSA darauf hin, dass auch Weiterübermittlungen z.B. an Subunternehmer in einem (anderen) Drittland zu berücksichtigen sind. Sämtliche Datentransfers in Drittländer sollten regelmäßig bereits im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.

Stufe 2 und 3: Auswahl eines Transferinstruments sowie Prüfung der Wirksamkeit

Hinsichtlich der Wirksamkeit des gewählten Transferinstruments stellt der EDSA nochmals klar, dass sich Datenexporteure auf Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DS-GVO oder der Datenschutzrichtlinie (95/46/EG) ohne weitere Prüfung berufen können, sofern die entsprechenden Beschlüsse nicht vom EuGH oder von der Kommission aufgehoben wurden (wie z.B. der für das EU-US Privacy Shield durch den EuGH). Für alle Garantien nach Art. 46 DS-GVO verlangt der EDSA eine individuelle Überprüfung der Wirksamkeit. Hinsichtlich der Ausnahmetatbestände des Art. 49 DS-GVO weist der EDSA darauf hin, dass diese nach seiner Auffassung in ihrem Anwendungsbereich eng auszulegen sind (siehe dazu auch Guidelines 2/2018).

Bei der Prüfung der Wirksamkeit von Garantien nach Art. 46 DS-GVO erwartet der EDSA eine Einzelfallprüfung des konkreten Datentransfers unter Berücksichtigung aller Verarbeitungsschritte und aller betroffenen Drittländer. Er betont ausdrücklich, dass auch sämtliche Subunternehmer einzubeziehen sind. Dabei soll die Einzelfallprüfung dokumentieren, ob die getroffenen Maßnahmen die Essenziellen Europäischen Garantien erfüllen, zu denen der EDSA ebenfalls am 10.11.2020 Empfehlungen veröffentlicht hat.

Stufe 4: Auswahl und verbindliche Vereinbarung zusätzlicher Schutzmaßnahmen

Kommt die Prüfung zu dem Ergebnis, dass die vereinbarten Garantien nach Art. 46 DS-GVO kein angemessenes Schutzniveau für die personenbezogenen Daten sicherstellen, müssen zusätzliche Schutzmaßnahmen geprüft werden. Diese Stufe wird somit in der Praxis die größte Relevanz haben. Diese zusätzlichen Maßnahmen können grundsätzlich vertraglicher, technischer oder organisatorischer Art sein, wobei der EDSA klarstellt, dass allein vertragliche und organisatorische Maßnahmen in der Regel keinen wirksamen Schutz gegen behördliche Zugriffe schaffen können. Sofern Maßnahmen gefunden und vereinbart werden, die ein angemessenes Schutzniveau für die Daten im Drittland schaffen, ist die Übermittlung grundsätzlich möglich.

Sehr hilfreich ist die umfangreiche Darstellung von Beispielen ergänzender Maßnahmen im Annex 2. Sie ermöglicht eine gute Orientierung, obwohl viele Beispiele lebensfremd und wenig praxistauglich erscheinen. Erfreulich ist jedoch, dass der EDSA die Pseudonymisierung von Daten ausdrücklich als mögliche Maßnahme beschreibt, sofern der Datenimporteur (und entsprechend auch die ausländische Behörde) keine Möglichkeit hat, die Daten auf einzelne Personen zurück zu führen.

Stufe 5: Formale Bestätigung der Prozessschritte (soweit erforderlich)

Es kann jedoch notwendig sein, die gefundenen zusätzlichen Maßnahmen mit der zuständigen Aufsichtsbehörde abzustimmen. Höchst erfreulich ist die ausdrückliche Klarstellung des EDSA, dass zusätzliche Vereinbarungen zu EU Standardvertragsklauseln keiner Zustimmung oder Freigabe der zuständigen Aufsichtsbehörde bedürfen, solange die Formulierungen der EU Standardvertragsklauseln nicht verändert sondern nur ergänzt werden und die zusätzlichen Regelungen den EU Standardvertragsklauseln nicht widersprechen. Jede Veränderung der Formulierungen der EU Standardvertragsklauseln bedarf jedoch der Zustimmung der Aufsichtsbehörde. Der EDSA stellt ferner klar, dass die Schrems-II-Entscheidung auch für verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“) gilt und stellt in Aussicht, dass dazu noch eine gesonderte Veröffentlichung des EDSA erfolgen wird.

Stufe 6: Regelmäßige Überprüfung der getroffenen Maßnahmen

Zuletzt stellt der EDSA klar, dass alle getroffenen Maßnahmen einer regelmäßigen Überprüfung bedürfen. Dabei verlangt der EDSA ausdrücklich, dass Maßnahmen getroffen werden müssen, die eine kurzfristige Beendigung der Datenübermittlung ermöglichen, wenn der Datenimporteur gegen die vereinbarten Regeln verstößt.

Erstes Fazit zu den Empfehlungen des EDSA

Die vom EDSA beschriebenen Stufen sind nachvollziehbar dargestellt und entsprechen im Wesentlichen den bisher schon diskutierten Maßnahmen. Die geforderte eingehende Prüfung des lokalen Rechts in den Empfängerländern dürfte insbesondere für kleine und mittelständische Unternehmen praktisch nicht leistbar sein und selbst große Unternehmen vor kaum lösbare Herausforderungen stellen. Möglicherweise wird es ratsam sein, das angemessene Schutzniveau im Drittland vorsorglich zu verneinen und eher nach technischen Schutzmaßnahmen zu suchen, die – wo dies möglich ist – einen Datenzugriff ausländischer Behörden wirksam verhindern.

Leider geht der EDSA gar nicht auf die Datenverarbeitung in multinationalen Unternehmen ein, in denen regelmäßig auch personenbezogene Daten aus der EU in Drittländern eingesehen und verarbeitet werden müssen. Nach den Beispielen des EDSA ist die Übermittlung von personenbezogenen Daten an Konzerngesellschaften in einem Drittland praktisch unmöglich. Ob es tatsächlich die Intention der DS-GVO ist, multinationale Unternehmen mit Beteiligung von europäischen Unternehmen faktisch zu verbieten, darf bezweifelt werden.

Auch das für die Praxis höchst relevante Problem temporärer Wartungszugriffe aus einem Drittland spricht der EDSA ausdrücklich nicht an, obwohl hier eine Hilfestellung für die betroffenen Unternehmen besonders wichtig gewesen wäre.

Die Empfehlungen des EDSA wurden ausdrücklich zur öffentlichen Kommentierung veröffentlicht. Es steht daher zu erwarten, dass umfangreiche Anmerkungen auch aus der Praxis beim EDSA eingehen werden. Möglicherweise wird dies zu weiteren praxisnahen Beispielen führen. Fundamentale Änderungen sind aber durch die Berücksichtigung der öffentlichen Kommentierung wohl nicht mehr zu erwarten.

Praxistipp

Der EDSA stellt klar, dass er die EuGH-Entscheidung sehr ernst nimmt und die nationalen Aufsichtsbehörden dazu anhält, die Übermittlungen in Drittländer zu prüfen. Viele nationale Aufsichtsbehörden haben bereits angekündigt, das Thema zu einem Prüfungsschwerpunkt zu machen. Verantwortlichen ist daher dringend anzuraten, das Thema entsprechend zu beachten, Datenübermittlungen in Drittländer dokumentiert zu prüfen, anzupassen oder sogar vorübergehend auszusetzen. Die aktuelle Rechtslage muss als ausgesprochen herausfordernd eingestuft werden.