Sind Daten im EWR sicher? Die Datenschutzkonferenz positioniert sich erneut zum Thema Drittlandtransfer

Mit dem vorliegenden Beitrag möchten wir auf den aus unserer Sicht äußert praxisrelevanten Beschluss der Datenschutzkonferenz (DSK) vom 31. Januar 2023 näher eingehen. Die DSK hat sich erneut zum Thema Drittlandtransfer, bzw. genauer, zu (theoretischen) Zugriffsmöglichkeiten auf personenbezogene Daten im EWR aus Drittländern heraus, positioniert. Nach Bekanntwerden des Entwurfs für ein „EU US Data Privacy Framework“ – wir haben hierüber berichtet – kam zunächst eine gewisse Euphorie auf, da das Thema Drittlandtransfer nunmehr seit vielen Jahren eine Never-Ending-Story des Datenschutzrechts darstellt. Umso relevanter sind die nunmehr seitens der DSK aufgestellten Anforderungen, welche Unternehmen nochmals vor weitere Herausforderungen stellen.

Was genau hat die DSK beschlossen?

Zunächst hat die DSK in dem angeführten Beschluss ausdrücklich festgehalten, dass die „reine Gefahr, dass – etwa über gesellschaftsrechtliche Weisungsrechte – die Drittlands-Muttergesellschaft eines EWR-Unternehmens dieses anweisen könnte, oder dass öffentliche Stellen von Drittländern unmittelbar EWR-Unternehmen anweisen könnten, personenbezogene Daten in ein Drittland zu übermitteln“, nicht genügt, „um eine Übermittlung in ein Drittland i.S.d. Art. 44 ff. DS-GVO anzunehmen“. Obgleich dies bereits die bislang überwiegende Rechtsauffassung darstellte, ist die ausdrückliche Klarstellung der DSK zu begrüßen.

Gleichsam wird in dem vorgenannten Beschluss ausdrücklich festgehalten, dass eben diese Gefahren eines Drittlandtransfers dazu führen können, dass ein betroffener Auftragsverarbeiter nicht über die notwendige Zuverlässigkeit im Sinne des Art. 28 DS-GVO verfügt. Etwas anderes gelte nur dann, sofern der Auftragsverarbeiter – oder der Verantwortliche – technische und/oder organisatorische Maßnahmen ergreift, welche hinreichende Garantien dafür bieten, dass der Auftragsverarbeiter seinen vertraglichen Pflichten nachkommt.

Entsprechende Risiken bestehen also – so die Ausführungen der DSK – bereits dann, wenn im Drittland Normen oder Praktiken existieren, die – gemessen an den Vorgaben der DS-GVO – zu einer unrechtmäßigen Übermittlung personenbezogener Daten verpflichten können.

Um diese Risiken auszuräumen, muss der Verantwortliche letztlich eine umfangreiche (aus zehn Prüfpunkten bestehende) Bewertung und Dokumentation des Einzelfalls durchführen, um nachweisen zu können, dass hinreichende Garantien vorgesehen werden. Interessant ist hierbei, dass ausdrücklich auf die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses Bezug genommen wird, welche sich eigentlich mit einem real stattfindenden Drittlandtransfer befassen.

Wie ist unsere Einschätzung?

Vorangestellt sei zunächst, dass im Hinblick auf jede Auftragsverarbeitung die Anforderungen des Art. 28 Abs. 1 DS-GVO zu erfüllen sind. In der Norm heißt es wörtlich:

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

So stellt es eine datenschutzrechtliche Selbstverständlichkeit dar, dass der ausgewählte Auftragsverarbeiter die jeweiligen vertraglichen Anforderungen einhalten (können) muss. Der Beschluss der DSK ist nach hiesigem Dafürhalten jedoch – trotz der Regelung des Art. 5 Abs. 2 DS-GVO – insgesamt als zu weitreichend zu bewerten. Im Einzelnen:

• Unseres Erachtens wird zunächst die Regelung des Art. 48 DS-GVO, welche die europäischen datenschutzrechtlichen Anforderungen an ein Herausgabeverlangen öffentlicher Stellen außerhalb des EWR aufzeigt, nicht hinreichend berücksichtigt. Vielmehr wird gewissermaßen zulasten der verantwortlichen Stelle gefordert, dass diese nachweisen muss, dass der ausgewählte Vertragspartner nicht bewusst gegen die Vorschriften der DS-GVO verstößt. Ebenfalls wird an keiner Stelle näher auf die Regelung des Art. 28 Abs. 10 DS-GVO eingegangen, welche gerade die unrechtmäßige Datenverarbeitung durch einen Auftragsverarbeiter adressiert.
• Die verantwortliche Stelle wird zudem dazu verpflichtet – obgleich gerade kein Drittlandtransfer stattfindet – eine Prüfung der Rechtslage im Drittland durchzuführen sowie das Risiko eines unrechtmäßigen Herausgabeverlangens zu bewerten. De facto handelt es sich hierbei um eine Art „Transfer-Impact-Assessment“, obgleich sich die Daten im EWR befinden, also gerade keine Datenübermittlung stattfindet.
• Die DSK stellt ausdrückliche Anforderung zum Ergreifen angemessener technischer und/oder organisatorischer Maßnahmen auf, ohne diese für den sehr speziellen Hintergrund der lediglich theoretischen Gefahr eines Drittlandtransfers näher zu konkretisieren. Es wäre wünschenswert gewesen, wenn die DSK konkrete Empfehlungen für Unternehmen im EWR ausgesprochen hätte.

Wie sollten Unternehmen nun reagieren?

Obgleich wir die Rechtsauffassung der DSK kritisch betrachten, müssen die nunmehr beschlossenen Anforderungen natürlich beachtet werden. Wir verstehen die großen Herausforderungen für kleine und mittelständige Unternehmen, um den Anforderungen der DS-GVO und der Aufsichtsbehörden gerecht zu werden.

Unseres Erachtens muss künftig für jeden Einzelfall geprüft werden, welcher Handlungsbedarf konkret besteht. Da die DS-GVO einem risikobasierten Ansatz folgt, müssen hierbei insbesondere die Art, die Zwecke sowie der Umfang der verarbeiteten Daten berücksichtigt werden. Wir helfen Ihnen gerne dabei, für jede Situation eine passgenaue Lösung aufzufinden, um mit Ihnen gemeinsam die Herausforderung Datenschutz zu meistern.