Am 11. November 2020 veröffentlichte das European Data Protection Board (EDPB) seine Empfehlungen zu internationalen Datentransfers. Die Empfehlung beinhaltet einen Sechs-Stufen-Plan zu Bewertung und zum Schutz globaler Datenflüsse im Einklang mit dem EU-Recht. Das EDPB reagiert damit auf das wegweisende Schrems II-Urteil des EuGH.

Am 16. Juli 2020 hat der EuGH mit seiner Entscheidung «Schrems II» das EU-US-Privacy-Shield gekippt, indem er zum Schluss kam, dass die USA nicht über ein adäquates Datenschutzniveau verfügt. Aus dem Urteil geht insbesondere hervor, dass den US-Behörden eine umfassende und anlasslose staatliche Massenüberwachung von US- wie auch EU-Bürgern offensteht. Ein weiteres Problem ist, dass eine gerichtliche Kontrolle dieser Überwachung und Datenverarbeitung nicht bzw. nur eingeschränkt möglich ist, da das Privacy-Shield keine entsprechenden Vorkehrungen regelt. Die Möglichkeit, sich an den Ombudsmann wenden zu können, anerkennt der EuGH nicht als ausreichend, da an dessen Unabhängigkeit und der bindenden Entscheidbefugnis gegenüber US-Nachrichtendiensten gezweifelt wird. Am 8. September 2020 schloss sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) der Auffassung des EuGHs an. Die Rechtslage bei internationalen Datentransfers ist deshalb derzeit von grosser Unsicherheit geprägt.

Das EDPB wendet sich mit seinem Stufenplan direkt an die betroffenen Unternehmungen und zeigt die nötigen Vorkehrungen auf, wenn Personendaten in Drittstaaten ausserhalb des EWR übermittelt werden sollen.

In seinen Empfehlungen konkretisiert das EDPB, einen sechsstufiges Sechs-Stufen-Plan von zusätzlichen Schutzmassnahmen, um ein genügendes Datenschutzniveau zu gewährleisten.

Schritt 1 – «Know your tranfers»

Datenexporteure müssen über ihre Datentransfers Bescheid wissen («know your transfers»), indem sie diese aufzeigen und prüfen. Gemeint ist hier allerdings der tatsächliche Datentransfer, weshalb auch Datenflüsse innerhalb von Gesellschaften, Auftragsverarbeitungs-Verhältnissen sowie eingeschalteten Subdienstleistern zu ermitteln und zu prüfen sind. Fraglich ist die praktische Umsetzung dieser Massnahme aufgrund mangelnder Transparenz der Anbieter.

 

Schritt 2 – «Verify the transfer tool your transfer relies on»

In einem zweiten Schritt müssen die geeigneten Garantien bestimmt werden, welche in Art. 44 ff. DSGVO (und ebenfalls in Art. 6 DSG) vorgesehen sind. Auf diesen Garantien muss sich ein Datentransfer stützen können. Es handelt sich dabei bspw. um Standardverträge, verbindliche Unternehmensregeln oder eine Zustimmung im Einzelfall. Zudem kann auch ein Angemessenheitsbeschluss nach Art. 45 DSGVO ein solches Instrument darstellen, jedoch liegt ein solcher insbesondere für die USA seit Schrems II nicht mehr vor.Schritt 3 – «Assess the law or practice of the third country»

In einem dritten Schritt muss evaluiert werden, ob die ausländische Rechtsordnung und die Praxis des Drittlandes die Einhaltung und damit die Wirksamkeit der getroffenen Garantien, auf welche sich die Datenübermittlung stützt, gefährden könnte. Zu denken ist beispielsweise an einen umfassenden und unverhältnismässigen Zugriff der Behörden des Drittstaates auf Personendaten.

Schritt 4 – «Identify and adopt supplemental measures»

Der vierte Schritt stellt das Kernanliegen des EDPB dar. Er findet Anwendung, wenn die Beurteilung nach Schritt 3 ergibt, dass die Drittlandgesetzgebung und -praxis gewisse Gefahren birgt. Danach müssen zusätzliche Massnahmen ermittelt und ergriffen werden, um das Schutzniveau der übermittelten Daten auf den EU-Standard zu bringen. Diese Massnahmen sind von technischer, vertraglicher oder organisatorischer Natur. Anhang 2 der Empfehlungen enthält eine detaillierte Anleitung für zusätzliche Schutzmassnahmen, die in bestimmten Szenarien nebst den getroffenen Garantien gemäss Art. 46 EU-DSGVO ergriffen werden können.

 

  • Technische Massnahmen

Zu denken ist an die Implementierung von technischen Massnahmen, um ein ausreichendes Datenschutzniveau bei der Datenübermittlung zu gewährleisten.

Ein Beispiel: Ein Cloud-Provider oder ein ausländischer Konzern verwendet Klardaten, welche oftmals nicht verschlüsselt sind. Deshalb sind die sogenannten state-of-the-art Verschlüsselungen eine mögliche technische Massnahme. Wenn die Daten in einen Drittstaat ausserhalb des EWR übermittelt werden, ist es erforderlich, diese Daten vor der Übermittlung zu verschlüsseln. Der passende Schlüssel muss selbstverständlich ebenfalls durch einen angemessenen Schutz verwaltet werden. Durch die sog. end-to-end-Verschlüsselung der Daten können diese sicher durch ein Drittland durchgeleitet werden.

Eine andere Variante ist die Pseudonymisierung der Daten. Diese kann beispielsweise für Forschungszwecke vor der Übermittlung der Daten erfolgen. Dabei ist zu beachten, dass die Informationen zur Re-Identifizierung ausschliesslich dem Exporteur zur Verfügung stehen, eine geschützte Aufbewahrung garantiert ist und dass die Daten generell durch ausreichende Massnahmen geschützt sind.

 

  • Vertragliche Massnahmen & Organisatorische Massnahmen

Durch vertragliche Massnahmen kann sichergestellt werden, dass die getroffenen Massnahmen und vereinbarten Garantien vom Anbieter oder Dienstleister eingehalten werden. Die organisatorischen Massnahmen können den Einsatz von Policies, Prozessen und Standards des Datenexporteurs beinhalten.

Allerdings können vertragliche und organisatorische Massnahmen allein den Zugang zu personenbezogenen Daten durch Behörden des Drittstaates nicht verhindern. Einzig die technischen Massnahmen verhindern faktisch einen Zugang von Behörden zu personenbezogenen Daten in Drittstaaten. In solchen Situationen können vertragliche oder organisatorische Massnahmen die technischen Massnahmen lediglich ergänzen und das allgemeine Datenschutzniveau stärken.

Schritt 5 – «Take any formal procedure teps»

Nach Schritt 5 müssen die zusätzlichen getroffenen Massnahmen zum Einen ggf. unter Mitwirkung des Datenimporteurs im Drittland und zum Anderen unter Konsultation der zuständigen Aufsichtsbehörden umgesetzt werden.

 

Schritt 6 – «Reevaluate your data transfer at appropriate intervals»

Zuletzt wird die regelmässige Prüfung der getroffenen Massnahmen im Hinblick darauf, ob sie den Anforderungen weiterhin genügen. Auch für die rechtlichen und tatsächlichen Umstände im Drittstaat gilt diese Prüfpflicht. Wenn sich die Umstände im Drittstaat ändern, müssen ggf. auch die zusätzlichen Massnahmen im Hinblick auf diesen Drittstaat geändert werden.

 

Wir unterstützen Sie gerne

Die Empfehlungen des EDPB erleichtern zwar den Unternehmen einen Überblick über die zu treffenden Massnahmen, die Umsetzung ist jedoch nicht leicht vorzunehmen. Gerne unterstützen wir Sie bei der Analyse und Ausführung der notwendigen Schritte, damit Ihre Datentransfers weiterhin den geltenden Datenschutzbestimmungen entsprechen.

 

Quellen 

  1. https://www.insideprivacy.com/cross-border-transfers/edpb-adopts-recommendations-on-international-data-transfers-following-schrems-ii-decision/
  2. https://iapp.org/news/a/a-break-down-of-edpbs-recommendations-for-data-transfers-post-schrems-ii/
  3. https://datenrecht.ch/edsa-veroeffentlicht-leitlinien-fuer-datenuebermittlungen-nach-schrems-ii/?hilite=%27schrems%27
  4. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf
  5. https://iapp.org/news/a/new-eu-standard-contractual-clauses-a-modernized-approach/