Leitlinien für Schrems II - Überarbeitete Standardvertragsklauseln
Währenddessen hat die Europäische Kommission die, vom EuGH dem Grunde nach für rechtmäßig erachteten, Standardvertragsklauseln (SCCs) überarbeitet. Im Konsultationsverfahren wird interessierten Bürgern, Unternehmen und Organisationen nun die Möglichkeit gegeben, Stellung zu nehmen.
Hintergrund
Der EuGH begründete seine Entscheidung im Wesentlichen damit, dass die weitreichenden Überwachungsprogramme der US-Geheimdienste in der aktuellen Praxis über das erforderliche Maß hinausgingen und EU-Bürgern keine ausreichenden Rechtsschutzmöglichkeiten hiergegen zustünden. Daher sei auf Grundlage des EU-US Privacy Shield kein dem Recht der europäischen Union angemessenes Datenschutzniveau gewährleistet.
Im Gegensatz hierzu erklärte der EuGH, dass die von der EU-Kommission beschlossenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten durch Verantwortliche an Auftragsverarbeiter in Drittländer weiterhin wirksam bleiben und als Grundlage hierfür herangezogen werden können.
Gleichzeitig betonte der EuGH, dass sowohl datenexportierende Verantwortliche als auch zuständige Aufsichtsbehörden die Einhaltung der Regelungen der Standardvertragsklauseln aktiv überwachen und Übermittlungen im Einzelfall dann aussetzen oder verbieten müssen, wenn ein dem Unionsrecht entsprechendes Datenschutzniveau nicht mehr gewährleistet werde oder gewährleistet werden könne.
Die Leitlinien des EDSA
Der EuGH hat sich in seinem Urteil lediglich mit der Rechtmäßigkeit der Datenübermittlungen in die USA beschäftigt und diese, wenn sie auf Grundlage des EU-US Privacy Shields geschahen, negiert. Konkrete Lösungsvorschläge und Maßnahmen hat der EuGH nicht mitgeliefert. Dem hat sich nun der EDSA (abrufbar hier und hier) angenommen und anhand der folgenden sechs Schritten erläutert, welche Maßnahmen getroffen werden können, um eine Datenübermittlung in „unsichere“ Drittländer i.S.d. DSGVO zu legitimieren:In einem ersten Schritt sollen die Datenexporteure ermitteln, welche Datentransfers an welche Empfänger zu welchen Zwecken in Drittländer erfolgen. Dabei soll sichergestellt werden, dass der Datentransfer auf wirklich notwendige Daten limitiert bleibt.
In Schritt zwei sollen die Unternehmen ermitteln, auf welcher rechtlichen Grundlage der Datentransfer gerechtfertigt wird. Zur Verfügung stehen die im Kapitel V der DSGVO (Art. 45 bis 49) aufgeführten Instrumente.
Als dritter Schritt soll sichergestellt werden, dass die Rechtslage im importierenden Drittland korrekt erfasst wird. Dies dient der Ermittlung konkreter Risiken für die Betroffenen. Je nach Empfangsland kann dies abhängig von der Art des Unternehmens sein.
Die Benennung und Implementierung konkreter Maßnahmen zum Schutz der übermittelten Daten soll im vierten Schritt vollzogen werden. Notwendig wird dies lediglich, wenn man die Datenübermittlung auf Art. 46 DSGVO stützt. Der EDSA hat in seinem Anhang zu den Leitlinien einige Beispiele an Maßnahmen aufgelistet. Darin werden sowohl technische als auch organisatorische Maßnahmen aufgeführt und zudem Anwendungsfälle mit konkreten Lösungsvorschlägen für bestimmte Szenarien dargelegt. Der Vollständigkeit halber wurden auch Szenarien aufgelistet und ausgeführt, in welchen keine effektiven Maßnahmen denkbar sind.
Vorgeschlagene TOMS des EDSA
Zu den technischen Maßnahmen gehören nach Ansicht des EDSA insbesondere starke Verschlüsselungsmethoden, von Kunden verwaltete Verschlüsselungsschlüssel (CMEKs – customer managed encryption keys), die Möglichkeit der Pseudonymisierung (eine Anonymisierung wird, anders als bspw. durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, nicht in Betracht gezogen) und eine Teilung der Daten und der Datenverarbeitung auf mehrere Verantwortliche.
Problematisiert wird vom EDSA vor allem die Nutzung von Cloud-Services und Remote-Lösungen (Fernzugriff) in und von Drittländern ohne ausreichenden Datenschutz.
An organisatorischen und vertraglichen Maßnahmen nennt der EDSA unter anderem eine Verpflichtung zur transparenten Darlegung der staatlichen Zugriffe auf Daten, Verpflichtungen zertifizieren zu lassen, dass keine tatsächlichen Hintertüren für staatlichen Datenzugriff nachträglich implementiert wurden und werden und weitreichende Prüfrechte des Verantwortlichen gegenüber den Datenimporteuren. Darüber hinaus werden an organisatorischen Maßnahmen interne Richtlinien zur Kompetenz- und Verantwortlichkeitsteilung bei staatlichen Zugriffsanfragen, deren Dokumentation und eine strenge Datenminimierung vorgeschlagen.
Dabei wird betont, dass vertragliche Maßnahmen, mangels Bindungswirkung der importierenden Staaten, nur bedingt wirkungsvoll sind.
Der sechste und letzte Schritt sieht eine regelmäßige Überprüfung der getroffenen Maßnahmen vor, um sicherzustellen, dass das Datenschutzniveau weiterhin gewährleistet wird.
Bewertung der Leitlinien des EDSA
Ein weiterer Vorteil sind die in Annex 3 beschriebenen Anwendungsfälle. Bei diesen handelt es sich offensichtlich um konkrete Situationen, mit denen sich die Aufsichtsbehörden in der Verwaltungspraxis bereits auseinandergesetzt haben und die dementsprechend durchdacht sind. Auch wenn die Lösung des ein oder anderen Anwendungsfalls hinter den Erwartungen zurückbleibt und eher enttäuschend ist, so wird jedoch klar, was die Behörden in den genannten Situationen erwarten.
Positiv anzumerken ist schließlich, dass der EDSA explizit von einer Genehmigungspflicht vertraglicher Zusatzmaßnahmen neben den SCCs absieht (Rz. 56).
Inhaltlich erscheinen die Leitlinien demgegenüber teilweise praxisfern. Auch werden für viele wichtige Fragestellungen und Konstellationen keine Lösungen geboten oder sogar explizit als nicht zu rechtfertigend abgelehnt. Werden beispielsweise Klardaten in einer Cloud in den USA gespeichert oder bestehen internationale Zugriffsberechtigungen auf diese, so besteht laut EDSA keine Möglichkeit einer rechtmäßigen Lösung (Rz. 88 ff.). Dies gelte sogar, wenn die Daten die EU nicht verlassen, sondern lediglich aus Drittländern auf diese Daten zugegriffen werden kann (Rz. 13). Auch eine Risikoeinschätzung soll nur anhand objektiver Faktoren wie der Rechtslage stattfinden und nicht mittels subjektiver Faktoren wie der Wahrscheinlichkeit, dass Behörden tatsächlich auf die Daten zugreifen (Rz. 42). Eine Begründung dafür wird leider nicht geboten. Bemerkenswert ist darüber hinaus, dass die Menge oder die Art der Daten für die Bewertung potenzieller Risiken und darauffolgender Maßnahmen irrelevant zu sein scheint.
EU-Kommission startet öffentliche Konsultation zu überarbeiteten Standardvertragsklauseln
Während der EDSA Leitlinien zum Umgang mit dem Urteil des Europäischen Gerichtshofs zu „Schrems II“ veröffentlichte, startete die Europäische Kommission das Konsultationsverfahren zu den von ihr überarbeiteten Standardvertragsklauseln (abrufbar hier und hier) (SCCs). Die Frist für etwaige Rückmeldungen läuft bis zum 10. Dezember 2020.
Konsultationsverfahren
Die neuen, modernisierten SCCs sollen dem Umstand Rechnung tragen, dass sich in den letzten Jahren die Digitalisierung kontinuierlich weiterentwickelt hat. Gelingen soll dies durch einen flexibleren Ansatz, der es ermöglichen soll, den neuen Parteistrukturen, Parteimehrheiten und Verarbeitungssituationen gerecht zu werden.
Die neuen Standardvertragsklauseln
Die neuen SCCs sind modular aufgebaut und sorgen damit für Übersichtlichkeit. Neu sind insbesondere die lang ersehnten Konstellationen des „Processor-to-Processor“ (P2P) und „Processor-to-Controller“ (P2C).Erleichterung für die Praxis
Dies ist für sich genommen schon eine große Erleichterung für die Praxis. Bisweilen war beispielsweise der Einsatz von Unterauftragsverarbeitern (subprocessors) in Drittstaaten über die SCCs umständlich zu regeln. Nunmehr könnten die neuen SCCs Abhilfe leisten.
Außerdem sind die Vorlagen einfach zu transferieren und auszufüllen, sodass auch hier die praktische Arbeit erleichtert wird.
Anpassungen an Schrems II
Weiter wird der Datenimporteur nunmehr zusätzlich verpflichtet, umfassende Informationen, die zur Überprüfung der Einhaltung der in den Klauseln festgelegten Verpflichtungen dienen, bereitzustellen.
Am Ende des Tages müssen dennoch die übermittelnden Unternehmen künftig im Einzelfall prüfen, ob die Gesetze im Empfängerland den in den SCCs enthaltenden Vertragspflichten genügen oder entgegenstehen. Die SCCs können dabei sicher eine Hilfe sein, doch ändern auch sie nichts an der Rechtslage und den Behördenbefugnissen in Drittländern.
Wie geht es weiter?
Nach Abschluss des Konsultationsverfahrens wird das Gesetzgebungsverfahren fortgesetzt. Der Europäische Rat und das Europäische Parlament überprüfen den Rechtsetzungsvorschlag der Europäischen Kommission und nehmen gegebenenfalls Änderungen vor. Kommt keine Einigung zustande, wird der Vorschlag abgelehnt.
Wird eine Einigung erzielt, läuft ab dem Inkrafttreten der neuen SCCs eine einjährige Übergangsfrist. In dieser Zeit können die alten SCCs, gegebenenfalls mit ergänzenden Maßnahmen, noch verwendet werden.
Interessant wird, wie in der Praxis die eher unternehmensfreundlichen SCCs mit den um einiges restriktiveren Richtlinien des EDSA in Einklang zu bringen sind. Diesbezüglich besteht zumindest Konfliktpotential zwischen der Europäischen Kommission und dem EDSA.
Ausblick
Klarheit besteht nun insoweit, als dass es keine Zweifel an der eher restriktiven Position der Aufsichtsbehörden zu Drittlandsübermittlungen gibt. Die erhoffte inhaltliche Klarheit ist jedoch leider ausgeblieben. Der EDSA befasst sich zwar intensiv mit dem Urteil und seinen Folgen, schafft es jedoch nicht, klar umsetzbare Vorschläge zu machen. Unternehmen müssen weiterhin in allen Einzelfällen das jeweils einschlägige Risiko ermitteln, TOMs anwenden, um das Risiko zu reduzieren und gegebenenfalls von der Übermittlung absehen. Die alleinige Schuld dafür liegt jedoch nicht beim EDSA, schließlich hat der EuGH in seinem Urteil keinen großen Spielraum neben obligatorischen Einzelfallbewertungen gelassen. Immerhin haben Unternehmen nun eine Zusammenfassung praktischer Anwendungsfälle und deren aufsichtsbehördlicher Behandlung. Bleibt zu hoffen, dass Staaten wie die USA ihre Gesetze ändern und ihr Datenschutzniveau anpassen.
Währenddessen bieten die überarbeiteten Standardvertragsklauseln von der Europäischen Kommission eine gewisse Sicherheit. Sie wurden von der Europäischen Kommission im Hinblick auf die stetige Entwicklung in der Digitalisierung abgeändert und angepasst. Aber auch diese entlassen Unternehmen nicht aus ihrer Pflicht, eine Einzelfallbewertung vorzunehmen.