Nachdem wir uns in Teil 1 unseres Beitrags mit dem Hinter­grund und Inhalt des Schrems II-Urteils beschäftigt haben, möchten wir Ihnen in Teil 2 die konkreten Anfor­de­rungen erläutern, die die Aufsichts­be­hörden nunmehr an Daten­transfers in Dritt­länder ohne adäquates Daten­schutz­niveau stellen.

1. Worum geht es?

Unter­nehmen haben nach den Vorgaben des EuGH für jeden einzelnen Daten­transfer zu beurteilen, ob ausrei­chende Garantien zur Absicherung des Daten­transfers in Dritt­länder imple­men­tiert wurden. Im Nachgang der Schrems II-Entscheidung hatten sich zahlreiche Behörden zu den nun geltenden Anfor­de­rungen an Dritt­lands­über­mitt­lungen geäußert, insbe­sondere zu den vom EuGH gefor­derten „zusätz­lichen Maßnahmen“.

Besonders beach­tenswert sind die Orien­tie­rungs­hilfe des Landes­be­auf­tragte für Datenschutz und Infor­ma­ti­ons­freiheit Baden-Württemberg (LfDI) und die Empfehlung des Europäi­schen Daten­schutz­aus­schusses (EDSA). Im Ergebnis wird von den Unter­nehmen verlangt, die jewei­ligen Daten­transfers einer Risikoanalyse zu unter­ziehen, also einem sog. Transfer Impact Assessment (“TIA“). Im Rahmen des TIA ist zu ermitteln, ob es im fraglichen Drittland Gesetze gibt, die den dortigen (Sicherheits-)Behörden die Befugnis geben, von dem Daten­im­porteur die Offen­legung oder den Zugriff auf Daten von EU-Bürgern zu verlangen. Bei Daten­transfers in die USA hatte sich der EuGH insbe­sondere mit den US-ameri­ka­ni­schen Überwa­chungs­ge­setzen Sec. 702 FISA und EO 12333 ausein­an­der­ge­setzt. 

2. Wie betrifft mich das? / Warum ist das wichtig?

Die Mehrzahl aller Unter­nehmen, unabhängig von Branche und Größe, nutzen im Rahmen ihrer Daten­ver­ar­beitung Dienst­leister mit Sitz in den USA oder tauschen perso­nen­be­zogene Daten mit anderen Unter­nehmen außerhalb der EU bzw. des EWR aus. In diesen Fällen trifft die Geschäfts­führung jeweils die Pflicht, ein Transfer Impact Assessment für die im Unter­nehmen statt­fin­denden Daten­über­mitt­lungen bzw. ‑zugriffe durch­zu­führen. 

In seinen oben erwähnten Empfeh­lungen stellt der EDSA einen Prüfkatalog in sechs Schritten vor, den Daten­ex­por­teure für die Bestimmung der Recht­mä­ßigkeit von Daten­über­mitt­lungen in Dritt­länder berück­sich­tigen sollten. Dieser sieht vor: 

• Schritt 1: („Know your transfers.“). Alle inter­na­tional statt­fin­denden Daten­über­mitt­lungen bzw. ‑zugriffe müssen bekannt sein und entspre­chend dokumen­tiert werden.
• Schritt 2: („Verify the transfer tool your transfer relies on.“). Es ist zu eruieren, auf welche Rechts­grundlage bzw. anerkannte Garantie nach Kapitel V DSGVO sich der Transfer stützt.
• Schritt 3: („Assess the law or practice of the third country.“). Dieser Schritt bildet das Kernelement des Transfer Impact Assessment. Hier ist zu prüfen, ob die Rechts­ordnung und Rechts­praxis des Dritt­landes die Wirksamkeit der im Übertra­gungs­in­strument verein­barten Garantien im konkreten Fall beein­träch­tigen könnten. Zur Erläu­terung hat der EDSA eine zusätz­liche Empfehlung 02/2020 veröf­fent­licht (European Essential Guarantees for surveil­lance measures). Danach ist zu prüfen, ob in der Rechts­ordnung des Empfängerstaates:
  1. die Daten­ver­ar­bei­tungen auf klaren, präzisen und zugäng­lichen Regeln basieren,
  2. die gesetzlich vorge­se­henen Eingriffe auf ein notwen­diges und verhält­nis­mä­ßiges Maß beschränkt sind,
  3. ein unabhän­giger Überwa­chungs­me­cha­nismus besteht, und
  4. dem Einzelnen ein wirksames Rechts­mittel zur Verfügung steht.

Der EDSA stellt hier rein objektiv auf die Rechtslage im Drittland ab. Subjektive Elemente, wie etwa das Interesse der Sicher­heits­be­hörden an den Daten, zieht der EuGH nicht in Betracht. Damit klammert der EuGH die „Eintritts­wahr­schein­lichkeit“ als wesent­lichen Teil der Risikoanalyse aus und ignoriert den in der DSGVO veran­kerten risiko­ba­sierten Ansatz. 

• Schritt 4: („Identify and adopt supple­mental measures.“). Ergibt sich aus dem Transfer Risk Assessment, dass die verein­barten Garantien für ein angemes­senes Daten­schutz­niveau nicht ausreichen, sind neben den Standard­ver­trags­klauseln „zusätz­liche Maßnahmen“ zu imple­men­tieren. Diese zusätz­lichen Maßnahmen können techni­scher, vertrag­licher und organi­sa­to­ri­scher Natur sein. Der EDSA stellt aller­dings klar, dass vertrag­liche und/oder organi­sa­to­rische Maßnahmen für sich allein nicht ausreichen. Vielmehr sind regel­mäßig zusätz­liche technische Maßnahmen erfor­derlich, um einen unberech­tigten Zugriff der (Sicherheits-)Behörden zu verhindern. Dies lässt sich nach Ansicht des EDSA nur mittels einer robusten und korrekt imple­men­tierten Verschlüs­selung sowie einer sicheren Schlüs­sel­ver­waltung gewähr­leisten können.
• Schritt 5: („Take any formal procedure steps.“). Der Daten­ex­porteur hat die zusätz­lichen Maßnahmen, ggf. unter Einbe­ziehung der zustän­digen Aufsichts­be­hörden, umzusetzen. 
• Schritt 6: („Re-evaluate at appro­priate intervals.“). Das Unter­nehmen muss seine Daten­transfers regel­mäßig auf das angemessene Daten­schutz­niveau hin überprüfen und ggf. die zusätz­lichen Maßnahmen anpassen.

3. Wie hilft mir LUCID dabei?

Wir beraten und unter­stützen Ihr Unter­nehmen persönlich und pragma­tisch bei der Durch­führung ihrer Transfer Risk Assess­ments. Im Rahmen der prakti­schen Umsetzung werden wir gemeinsam mit Ihnen – je nach konkretem Bedarf und gebotenem Umfang – die folgenden Punkte beleuchten:

Phase 1: Identi­fi­zierung der Daten­transfers in Dritt­länder („Bestands­auf­nahme“):

In der Phase 1 werden wir mit Ihnen zusammen analy­sieren, (i.) in welche Dritt­länder ohne angemes­senes Daten­schutz­niveau (ii.) welche Daten (iii.) zu welchen Zwecken übermittelt werden. Dabei werden wir insbe­sondere folgende Fragen klären:

• Gibt es Daten­über­mitt­lungen bzw. ‑zugriffe innerhalb der Unter­neh­mens­gruppe (z.B. an eine bzw. von einer US-amerikanische(n) Konzerngesellschaft)?
• Welche externen Dienst­leister werden in die Daten­ver­ar­beitung einbezogen?
  1. US-Cloud Anbieter (z.B. AWS, Google, Microsoft)>
  2. US-SaaS Dienste (z.B. Sales­force, HubSpot, Dropbox, Mailchimp)
• Gibt es europäische Dienst­leister, die (US-)Dienstleister als Sub-Unter­nehmen in die Daten­ver­ar­beitung einbeziehen?

Phase 2:  Prüfung von Alternativ-Angeboten

In der Phase 2 werden wir insbe­sondere folgende Fragen klären:

• Ließe sich ein Dienst nutzen, der keine Daten in ein Drittland überträgt bzw. einen Zugriff aus einem Drittland zulässt?
• Ließe sich eine vertrag­liche Verein­barung treffen, die eine Daten­über­tragung in ein Drittland ausschließt (On-Premise-Lösung oder terri­to­riale Eingrenzung)? Bei US-Anbietern ist dabei der US-Cloud Act zu berücksichtigen.

Phase 3: Durch­führung eines Risk Assess­ments (Transfer Impact Assessment) 

In der Phase 3 werden wir eruieren, inwieweit die übermit­telten Daten in dem fraglichen Drittland einem der EU bzw. dem EWR im Wesent­lichen gleich­wer­tigen Schutz­niveau unter­liegen. Dabei werden wir syste­ma­tisch nach Eintritts­wahr­schein­lichkeit und Schadens­folgen analy­sieren, mit welchen Risiken der Daten­transfer auf Basis der Rechts­ordnung bzw. Rechts­praxis des Dritt­landes verbunden ist. 

Phase 4: Zusätz­liche Maßnahmen (sog. „supple­mentary measures“)

Ergibt das Transfer Risk Assessment, dass die SCCs selbst kein angemes­senes Daten­schutz­niveau garan­tieren, werden wir Ihnen zusätz­liche Schutz­maß­nahmen zur Risiko­mi­ti­gierung empfehlen. Regel­mäßig wird sich jedoch ein wirksamer Schutz nur dann gewähr­leisten lassen, wenn:

• 1. die Daten nach dem Stand der Technik unter Verwendung eines starken Krypto­al­go­rithmus beim Transport („data in transit“) und auf den Servern („data at rest“) verschlüsselt sind und
  2. die Schlüssel beim Daten­ex­porteur verbleiben

Proble­ma­tisch sind zwei in der Praxis sehr relevante Fälle, die der EDSA in seiner Empfehlung in  „Use Case 6“ und „Use Case 7“ beschreibt. Hierbei handelt es sich zum einen um Übermitt­lungen an Cloud-Dienst­leister, die Zugang zu Klardaten benötigen, zum anderen um Fernzu­griffe auf Klardaten innerhalb der Unter­neh­mens­gruppe (z.B. bei gemeinsam genutzten Daten­banken). Nach Ansicht des EDSA lassen sich perso­nen­be­zogene Daten in diesen Fällen nicht wirksam schützen, da eine Verschlüs­selung der Daten „in transit“ und „at rest“ keine ausrei­chenden Maßnahmen darstellen. 

Sollte sich Ihr Unter­nehmen dennoch dazu entschließen, Daten­transfers bzw. ‑zugriffe in den beschrieben Fallkon­stel­la­tionen zuzulassen, sollten Vorstände bzw. Geschäfts­führer vor dem Hinter­grund der drohenden persön­lichen Haftung eine sorgfältig dokumen­tierte „unter­neh­me­rische Entscheidung“ treffen. Gerne werden wir Sie bei der Erstellung einer solchen Entscheidung, die den inhalt­lichen Anfor­de­rungen an die „Business Judgement Rule“ nach § 93 Abs. 1. Satz 2 AktG entsprechen soll, beraten. 

Phase 5: Dokumen­tation und regel­mäßige Evaluierung

Abschließend werden wir Ihnen zur Erfüllung Ihrer Rechen­schafts­pflicht (Art. 5 Abs. 2 DSGVO) helfen, sämtliche Handlungs­schritte sorgfältig zu dokumen­tieren und die regel­mäßige Evalu­ierung der Daten­transfers in ein Daten­schutz­ma­nagement zu integrieren. 

Das Schrems II-Urteil stellt viele Unter­nehmen vor große Heraus­for­de­rungen. Das LUCID-Team freut sich, Sie bei der Bewäl­tigung dieser Heraus­for­de­rungen persönlich, pragma­tisch und profes­sionell zu unterstützen.