Auf das Privacy Shield kann die Datenübertragung in die USA nicht mehr gestützt werden und auch die Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) reichen trotz der jüngsten Novelle vom 4.Juni 2021 nicht in jedem Fall aus. Zudem werden die neuen SCC, trotz ihrer generellen Wirksamkeit, von Datenschützern zunehmend kritisch gesehen. Denn um die Standarddatenschutzklauseln weiter verwenden zu können, müssen Unternehmen das Schutzniveau des betroffenen Drittstaates kritisch überprüfen und gegebenenfalls zusätzliche Maßnahmen ergreifen. Insbesondere die Durchführung der nun erforderlichen Risikoeinschätzung (Transfer Impact Assessmend, "TIA") stellt Unternehmen vor besondere Hürden.

Schrems II: Zur Compliance in 6 Schritten

Als Reaktion auf die Schrems-II-Entscheidung hat der Europäische Datenschutzausschuss (EDSA) am 10. November 2020 eine Reihe von Handlungsempfehlungen verabschiedet. Nur zwei Tage später legte die Europäische Kommission ihren Entwurf für eine Neufassung der Standarddatenschutzklauseln vor. Am 4.Juni 2021 folgte darauf deren Veröffentlichung. Nach Inkrafttreten der SCC-Neufassung werden die alten Klauseln nach einer Karenzzeit von 18 Monaten ab Veröffentlichung der neuen SCC ungültig und nach Ablauf weiterer 15 Monate muss die Umstellung auf die neuen SCC abgeschlossen sein.

Die neuen SCC bringen Unternehmen zwar mehr Klarheit in Bezug auf die Schrems-II-Auswirkungen, erzeugen jedoch auch dringenden Handlungsbedarf. Strukturiert als "Module" und unter Abdeckung von Übermittlungen in allen denkbaren Konstellationen, unterscheiden sich die neuen SCC deutlich von den bisherigen Standarddatenschutzklauseln. Vor allem aber wird nun eine nachweisbare Risikoeinschätzung (Transfer Impact Assessment, "TIA") mit Blick auf das Datenschutzniveau in Drittland des Datenimporteurs notwendig. Drittländer sind in diesem Kontext alle Länder, die nicht zur EU/EEA gehören und für die kein Angemessenheitsbeschluss oder sonstige Rechtfertigung für die Datenübertragung vorliegt. Evaluiert werden soll im Besonderen das Risiko eines Datenzugriffs durch Behörden des Drittlandes. Effektive Abwehrmechanismen sowie die gängige Praxis der dortigen Behörden finden dabei Berücksichtigung. Die Einschätzung zeigt auf, ob und inwieweit der Datenimporteur fähig ist, seinen Verpflichtungen aus den SCC nachzukommen. Daraus ergibt sich die Höhe des Risikos für mögliche Betroffene und damit die (Un-)Zulässigkeit des Datentransfers.

Um unnötige Mehrarbeit und problematische rechtliche Graubereiche zu vermeiden, sollten Unternehmen bereits jetzt abgeschlossene Standarddatenschutzklauseln an die neuen Anforderungen anpassen und eine Öffnungsklausel aufnehmen, die nach Wirksamwerden der neuen SCC und Ablauf der Karenzzeit eine leichtere Vertragsanpassung ermöglicht. Zur Unterstützung der Verantwortlichen bei der Anpassung der Transferbedingungen wie auch der Durchführung der TIA hat der EDSA am 18.Juni 2021 Empfehlungen veröffentlicht und damit den Verantwortlichen einen Leitfaden an die Hand zu geben. Die folgenden sechs Schritte spielen dabei eine wichtige Rolle:

1. Checkliste nutzen, Datentransfers erfassen

Zunächst sollten in einem ersten Schritt sämtliche Datenübertragungen in Drittstaaten, sowie der Einsatz von Drittstaaten-Dienstleistern identifiziert werden. Diese Datentransfers müssen einer umfassenden Evaluation hinsichtlich ihres Risikos unterzogen werden, wobei auch risikoerhöhende und -minimierende Faktoren zu berücksichtigen sind. An dieser Stelle sollte untersucht werden, ob der Zugriff auf unverschlüsselte Daten im Drittstaat zwingend notwendig ist. Eine Kategorisierung der Datenübermittlungen kann anhand der nachfolgenden Checkliste, die per Download zur Verfügung steht, durchgeführt werden.

Zum Download der Self-Assessment-Checkliste (PDF)

2. Geeignete Garantien identifizieren

Im Anschluss daran empfiehlt es sich zu untersuchen, auf Grundlage welcher geeigneter Garantien der Datentransfer bisher erfolgt ist - bestehende Vereinbarungen und Maßnahmen sollten überprüft werden. Erfolgt die Datenübertragung etwa schlicht auf Basis eines Angemessenheitsbeschlusses (fürdie USA ehemals das Privacy Shield), müssen keine weiteren Maßnahmen unternommen werden, solange er in Kraft ist.

3. Rechtsordnung des Drittlandes überprüfen

Der EDSA verlangt ausdrücklich, dass Unternehmen die Angemessenheit des Datenschutzniveaus im Land des Datenempfängers kritisch überprüfen im Besonderen im Rahmen der TIA. In diesem Zusammenhang sollten auch die Datenimporteure einbezogen werden. Dabei ist wichtig, welchen Regelungen sie in ihren Sitzländern unterliegen und ob sie ihre Pflichten aus den SCC einhalten können. Der einschlägige rechtliche Rahmen kann dabei von unterschiedlichen Aspekten wie der Branche oder den involvierten Akteuren abhängen.

So ermöglicht etwa in den USA Section 702 des Foreign Intelligence Surveillance Act (FISA) einen kritischen Datenzugriff durch US-Behörden. Handelt es sich bei dem Datenimporteur als Akteur dagegen schon nicht um einen Anbieter von elektronischen Kommunikationsdiensten "Electronic Communications Service Provider", so befindet er sich nicht im Anwendungsbereich der fraglichen Regularien und das Risiko eines Datenzugriff ist als erheblich verringert anzusehen. Weiter ist das Bestehen effektiver Rechtsmittel für die Betroffenen zu bewerten. Auch wenn ausreichende Rechte und Pflichten im Drittland bestehen würden, wäre deren Wirkung und damit Berücksichtigungsfähigkeit erheblich verringert, soweit diese nicht effektiv durchgesetzt werden könnten.

Führt die Prüfung zu dem Ergebnis, dass die gesetzlichen Regelungen oder sonstige Praxis im Drittland die Effektivität der SCC beeinträchtigen, müssen Unternehmen als Datenexporteure zusätzliche Maßnahmen ergreifen. Besonders wichtig ist auf dieser Stufe, sämtliche Evaluierungsmaßnahmen sorgfältig zu dokumentieren, um im Ernstfall die Nachweisbarkeit gegenüber den Aufsichtsbehörden sicherstellen zu können. Damit kann weitestgehend auch dem Problem begegnet werden, dass die genauen Anforderungen an die TIA-Einstellungen sowie die Schwelle des (un-)zulässigen Risikos unklar bleiben.

Vom Ergebnis der Risikobewertung hängt ab, welche weiteren Schritte notwendig sind. Neben zusätzlichen technischen und/oder vertraglichen Maßnahmen kann es auch erforderlich sein, die Übermittlung in gewisse Drittstaaten gänzlich zu unterbinden und dafür entsprechende Exit-Strategien auszuarbeiten.

4. Zusätzliche Maßnahmen ergreifen

Im vierten Schritt erfolgt eine Anpassung der technisch-organisatorischen und/oder vertraglichen Maßnahmen an die Anforderungen des EDSA. In seinen Empfehlungen nennt der Europäische Datenschutzausschuss verschiedene Konstellationen und welche konkreten Maßnahmen in diesen Fällen vereinbart werden können.

Das Repertoire reicht dabei von stärkerer Verschlüsselung, über erhöhte Transparenzverpflichtungen bis hin zu Maßnahmen zur Datenminimierung. Ebenso thematisiert wird die Vorgabe, Rechtsmittel gegen den Zugriff durch Regierungsbehörden auszuschöpfen und Statistiken über derartige Zugriffe zu führen. Es empfiehlt sich, den Datenimporteur durch zusätzliche vertragliche Absicherungen und Garantien an eine Überwachung der Rechtslage zu binden. Wie der Landesbeauftrage für Datenschutz und Information Baden-Württemberg (LfDI) bereits angekündigt hat, soll besondere Relevanz erfahren, inwieweit Alternativen für die vorliegende Transferproblematik erwogen wurden.

Zu beachten ist, dass die Verschlüsselung der Daten ein angemessenes Schutzniveau in einem unsicheren Drittstaat nur dann gewährleistet, wenn die Daten durchgehend verschlüsselt und pseudonymisiert bleiben. In diesem Zusammenhang sieht der EDSA besonders die Übermittlung unverschlüsselter Daten an Cloud-Dienstleister in Drittstaaten ohne adäquates Schutzniveau sehr kritisch. In diesem Schritt ist die Dokumentation der Maßnahmen für den Compliance-Nachweis gegenüber der Aufsichtsbehörde ebenfalls von besonderer Bedeutung.

5. Formelle Verfahrensschritte beachten

Aus formeller Sicht können sich die Anforderungen an eine Anpassung der bestehenden Regelungen je nach gewählter, geeigneter Garantie unterscheiden. So muss beispielsweise die Aufsichtsbehörde informiert werden, wenn die Standarddatenschutzklauseln abgeändert oder zusätzliche Klauseln eingefügt werden sollen, die den Grundentscheidungen widersprechen.

6. Regelmäßige Überprüfungen fahren

Ob die getroffenen Maßnahmen den Anforderungen zur Wahrung eines angemessenen Schutzniveaus bei einem Drittstaatentransfer genügen, muss kontinuierlich evaluiert werden. So ist gerade die Durchführung einer TIA kein einmaliger Vorgang. Mit Blick auf den Ablauf der Umsetzungsfrist für bereits bestehende Datentransfers am 27.12.2022 empfiehlt es sich für Unternehmen, bereits jetzt die neuen SCC zu implementieren und gegebenenfalls rechtlichen Rat einzuholen.

Der Neufassung der Standarddatenschutzklauseln nach zu urteilen, dürfte sich in Sachen Drittstaatentransfer noch einiges ändern. Sie greifen viele Empfehlungen des EDSA auf - berücksichtigen die Interessen der Datenimporteure und die spezifische Rechtslage, der diese in ihren Sitzstaaten unterliegen, jedoch etwas stärker.

Vielfach mangels Alternativen, kommen den neuen SCCals geeignete Garantie eine erhebliche Bedeutung für zukünftige Datentransfers mit Drittlandbezug zu. Abzuwarten bleibt die Auslegung einzelner SCC, insbesondere mit Blick auf die teilweise ausfüllungsbedürftigen Begrifflichkeiten in einzelnen Klauseln. Auch die genauen Anforderungen an die Erstellung der TIAs bleiben unklar und führen zu Rechtsunsicherheit. Dennoch sollten Unternehmen spätestens jetzt ihre internationalen Datenübermittlungen kritisch überprüfen und die erforderlichen Anpassungen vornehmen. Es empfiehlt sich ein mehrstufiges Vorgehen:

• Mapping aller Datenvorgänge mit Drittlandbezug

• Analyse und Anpassung der neuen SCC auf die eigenen Bedürfnisse unter Berücksichtigung potenzieller zusätzlicher unterstützender Maßnahmen

• Standardisierung der Arbeitsschritte einer Risikoeinschätzung (TIA)

• Kontaktaufnahme und anschließende Vereinbarung neuer SCC (bw)