Schrems II Checkliste

So geht rechtskonformer Datentransfer

03.12.2020
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Seit Schrems II müssen sich Unternehmen mit der Frage befassen, wie sie Datentransfers in Staaten außerhalb der europäischen Wirtschaftsraumes rechtskonform gestalten können.
Standarddatenschutzklauseln bilden den Grenzzaun für Daten, die mit Ländern außerhalb der EU ausgetauscht werden. Die fortlaufenden Anpassungen dieser Regelungen sollten Unternehmen im Blick haben.
Standarddatenschutzklauseln bilden den Grenzzaun für Daten, die mit Ländern außerhalb der EU ausgetauscht werden. Die fortlaufenden Anpassungen dieser Regelungen sollten Unternehmen im Blick haben.
Foto: Mark Agnor - shutterstock.com

Auf das Privacy Shield kann die Datenübertragung in die USA nicht mehr gestützt werden und auch die Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) reichen trotz der jüngsten Novelle vom 4.Juni 2021 nicht in jedem Fall aus. Zudem werden die neuen SCC, trotz ihrer generellen Wirksamkeit, von Datenschützern zunehmend kritisch gesehen. Um die Standarddatenschutzklauseln weiter verwenden zu können, müssen Unternehmen das Schutzniveau des betroffenen Drittstaates kritisch überprüfen und gegebenenfalls zusätzliche Maßnahmen ergreifen.

Schrems II: Zur Compliance in 6 Schritten

Als Reaktion auf die Schrems-II-Entscheidung hat der Europäische Datenschutzausschuss (EDSA) am 10. November 2020 eine Reihe von Handlungsempfehlungen verabschiedet. Nur zwei Tage später veröffentlichte die Europäische Kommission ihren Entwurf für eine Neufassung der Standarddatenschutzklauseln. Am 4.Juni 2021 veröffentlichte die EU-Kommission die neuen SCC. Diese bringen Unternehmen zwar mehr Klarheit, erzeugen jedoch auch dringenden Handlungsbedarf. Die neuen SCC unterscheiden sich deutlich von den bisherigen Standarddatenschutzklauseln. Sie sind als "Module" strukturiert und decken Übermittlungen in allen denkbaren Konstellation ab. Nach Inkrafttreten der Neufassung ist derzeit geplant, dass die alten Klauseln nach einer Karenzzeit von 18 Monaten ab Veröffentlichung der neuen SCC ungültig werden und nach Ablauf weiterer 15 Monate muss die Umstellung auf die neuen SCC abgeschlossen sein.

Die Roadmap zur Schrems II Compliance
Die Roadmap zur Schrems II Compliance
Foto: Luther Rechtsanwaltsgesellschaft mbH

Um unnötige Mehrarbeit und problematische rechtliche Graubereiche zu vermeiden, sollten Unternehmen bereits jetzt abgeschlossene oder noch abzuschließende Standarddatenschutzklauseln an die neuen Anforderungen anpassen und eine Öffnungsklausel aufnehmen, die nach Wirksamwerden der neuen SCC und Ablauf der Karenzzeit eine leichtere Vertragsanpassung ermöglicht. Zur Unterstützung der Verantwortlichen bei der Anpassung hat der EDSA am 18.Juni 2021 Empfehlungen veröffentlicht, um den Verantwortlichen einen Leitfacen an die Hand zu geben. Die folgenden sechs Schritte spielen dabei eine wichtige Rolle:

1. Checkliste nutzen, Datentransfers erfassen

Zunächst sollten in einem ersten Schritt sämtliche Datenübertragungen in Drittstaaten, sowie der Einsatz von Drittstaaten-Dienstleistern identifiziert werden. Diese Datentransfers müssen einer umfassenden Evaluation hinsichtlich ihres Risikos unterzogen werden, wobei auch risikoerhöhende und -minimierende Faktoren zu berücksichtigen sind. An dieser Stelle sollte untersucht werden, ob der Zugriff auf unverschlüsselte Daten im Drittstaat zwingend notwendig ist. Eine Kategorisierung der Datenübermittlungen kann anhand der nachfolgenden Checkliste, die per Download zur Verfügung steht, durchgeführt werden.

Checkliste - Risikobewertung Internationaler Datentransfer nach Schrems II
Checkliste - Risikobewertung Internationaler Datentransfer nach Schrems II
Foto: Luther Rechtsanwaltsgesellschaft mbH

Zum Download der Self-Assessment-Checkliste (PDF)

2. Geeignete Garantien identifizieren

Im Anschluss daran empfiehlt es sich zu untersuchen, auf Grundlage welcher geeigneter Garantien der Datentransfer bisher erfolgt ist - bestehende Vereinbarungen und Maßnahmen sollten überprüft werden. Dabei sollte insbesondere zwischen Übertragungen auf Basis des Privacy Shields (welche so nicht mehr zulässig sind) und solcher durch Standarddatenschutzklauseln unterschieden werden. Handelt es sich dabei um einen Angemessenheitsbeschluss,müssen keine weiteren Maßnahmen unternommen werden, solange er in Kraft ist.

3. Rechtsordnung des Drittlandes überprüfen

Der EDSA verlangt ausdrücklich, dass Unternehmen die Angemessenheit des Datenschutzniveaus im Land des Datenempfängers kritisch überprüfen. In diesem Zusammenhang sollten auch die Datenimporteure einbezogen werden. Dabei ist wichtig, welchen Regelungen sie in ihren Sitzländern unterliegen und ob sie ihre Pflichten aus den SCC einhalten können. Der einschlägige rechtliche Rahmen kann dabei von unterschiedlichen Aspekten wie der Branche oder den involvierten Akteuren abhängen.

Risikobewertung in drei Kategorien.
Risikobewertung in drei Kategorien.
Foto: Luther Rechtsanwaltsgesellschaft mbH

Führt die Prüfung zu dem Ergebnis, dass die gesetzlichen Regelungen oder sonstige Praxis im Drittland die Effektivität der SCC beeinträchtigen, müssen Unternehmen als Datenexporteure zusätzliche Maßnahmen ergreifen. Besonders wichtig ist auf dieser Stufe, sämtliche Evaluierungsmaßnahmen sorgfältig zu dokumentieren, um im Ernstfall die Nachweisbarkeit gegenüber den Aufsichtsbehörden sicherstellen zu können.

Vom Ergebnis der Risikobewertung hängt ab, welche weiteren Schritte notwendig sind. Neben zusätzlichen technischen und/oder vertraglichen Maßnahmen kann es auch erforderlich sein, die Übermittlung in gewisse Drittstaaten gänzlich zu unterbinden und dafür entsprechende Exit-Strategien auszuarbeiten.

4. Zusätzliche Maßnahmen ergreifen

Im vierten Schritt erfolgt eine Anpassung der technisch-organisatorischen und/oder vertraglichen Maßnahmen an die Anforderungen des EDSA. In seinen Empfehlungen nennt der Europäische Datenschutzausschuss verschiedene Konstellationen und welche konkreten Maßnahmen in diesen Fällen vereinbart werden können.

Unterschiedliche Maßnahmen, die zur Anpassung an die EDSA-Anforderungen zu ergreifen sind.
Unterschiedliche Maßnahmen, die zur Anpassung an die EDSA-Anforderungen zu ergreifen sind.
Foto: Luther Rechtsanwaltsgesellschaft mbH

Das Repertoire reicht dabei von stärkerer Verschlüsselung, über erhöhte Transparenzverpflichtungen bis hin zu Maßnahmen zur Datenminimierung. Ebenso thematisiert wird die Vorgabe, Rechtsmittel gegen den Zugriff durch Regierungsbehörden auszuschöpfen und Statistiken über derartige Zugriffe zu führen.

Die Verschlüsselung der Daten gewährleistet ein angemessenes Schutzniveau in einem unsicheren Drittstaat aber nur, wenn die Daten durchgehend verschlüsselt und pseudonymisiert bleiben. In diesem Zusammenhang sieht der EDSA besonders die Übermittlung unverschlüsselter Daten an Cloud-Dienstleister in Drittstaaten ohne adäquates Schutzniveau sehr kritisch. In diesem Schritt ist die Dokumentation der Maßnahmen für den Compliance-Nachweis gegenüber der Aufsichtsbehörde ebenfalls von besonderer Bedeutung.

5. Formelle Verfahrensschritte beachten

Aus formeller Sicht können sich die Anforderungen an eine Anpassung der bestehenden Regelungen je nach gewählter, geeigneter Garantie unterscheiden. So muss beispielsweise die Aufsichtsbehörde informiert werden, wenn die Standarddatenschutzklauseln abgeändert oder zusätzliche Klauseln eingefügt werden sollen, die den Grundentscheidungen widersprechen.

6. Regelmäßige Überprüfungen fahren

Ob die getroffenen Maßnahmen den Anforderungen zur Wahrung eines angemessenen Schutzniveaus bei einem Drittstaatentransfer genügen, muss kontinuierlich evaluiert werden. Dies gilt in der momentanen Übergangsphase bis zum Wirksamwerden der neuen Standarddatenschutzklauseln umso mehr, da bestehende Vereinbarungen im Laufe des Jahres 2021 an die neue Rechtslage angepasst werden müssen. Je nach Umfang des Drittstaatentransfers sollten Unternehmen bereits jetzt die Umsetzung der neuen SCC planen und gegebenenfalls rechtlichen Rat einholen.

Der Neufassung der Standarddatenschutzklauseln nach zu urteilen, dürfte sich in Sachen Drittstaatentransfer noch einiges ändern. Sie greifen viele Empfehlungen des EDSA auf - berücksichtigen die Interessen der Datenimporteure und die spezifische Rechtslage, der diese in ihren Sitzstaaten unterliegen, jedoch etwas stärker.

Den neuen SCC kommt als geeignete Garantie eine erhebliche Bedeutung für die zuküntigen Datentransfers mit Drittlandbezug zu. Abzuwarten bleibt die Auslegung einzelner SCC, insbesondere mit Blick auf die teilweise ausfüllungsbedürftigen Begrifflichkeiten in einzelnen Klauseln. Dennoch sollten Unternehmen spätestens jetzt ihre internationalen Datenübermittlungen kritisch überprüfen und die erforderlichen Anpassungen vornehmen. Es empfiehlt sich ein mehrstufiges Vorgehen:

  • Mapping aller Datenvorgänge mit Drittlandbezug

  • Analyse und Anpassung der neuen SCC auf die eigenen Bedürfnisse unter Berücksichtigung potenzieller zusätzlicher unterstützender Maßnahmen

  • Standardisierung der Arbeitsschritte einer Risikoeinschätzung

  • Kontaktaufnahme und anschließende Vereinbarung neuer SCC (bw)