Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 100 | 24.06.2021

Heuking Kühn Lüer Wojtek Unser 100. Update Datenschutz behandelt ein Thema, mit dem wir die Reihe auch gestartet haben: den internationalen Datentransfer.

Das erste Update Datenschutz erschien zur Aufhebung von Safe Harbor und seither lässt uns das Thema nicht mehr los. Andere Schwerpunktthemen waren selbstverständlich die DSGVO und insbesondere die Betroffenenrechte. Aber auch der Beschäftigtendatenschutz und Cookies beschäftigten uns häufig.

Wir freuen uns, dass Sie mitlesen und hoffen, Ihnen relevante datenschutzrechtliche Entwicklungen auch weiterhin näher bringen zu dürfen.

Neue Empfehlungen des EDSA zu internationalen Datentransfers
Dr. Philip Kempermann, LL.M.


Hintergrund

Der Europäische Datenschutzausschuss (EDSA) ist das gemeinsame Gremium der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten. Er veröffentlich regelmäßig Leitlinien und Empfehlungen zur Anwendung der DSGVO. Sie stellen eine wertvolle Orientierung für die Praxis dar, da die nationalen Aufsichtsbehörden ihre Tätigkeit ebenfalls daran ausrichten.

Am 18. Juni 2021 hat der EDSA seine Empfehlungen zur Absicherung von internationalen Datentransfers verabschiedet, nachdem er im November 2020 bereits einen ersten Entwurf dieser Empfehlungen veröffentlich hatte. Hintergrund der neuen Empfehlungen ist das „Schrems II“-Urteil der EuGH (siehe dazu und den anschließenden Entwicklungen unser letztes Update Nr. 99). Der Gerichtshof hat in seinem Urteil – unter anderem – entschieden, dass ein Verantwortlicher, der personenbezogene Daten in Nicht-EU-Länder übermittelt, gegebenenfalls zusätzliche Maßnahmen zur Absicherung des Datentransfers treffen muss. Das gilt auch dann, wenn der Verantwortliche die Datenübermittlung beispielsweise auf die Standardvertragsklauseln (SCC) der EU-Kommission stützt. Die Frage wann und ggf. welche Maßnahmen getroffen werden müssen, versucht der EDSA durch seine Empfehlungen mit Leben zu füllen.

Empfehlungen des EDSA im Einzelnen

Der EDSA empfiehlt sechs Schritte, um die DSGVO-Konformität internationaler Datentransfers sicherzustellen:
1. „Know your transfers“

Datenübermittlungen können nur rechtskonform ausgestaltet werden, wenn der Verantwortliche überhaupt weiß, ob und welche Daten er wie übermittelt. Daher muss sorgfältig geprüft werden, welche Daten auf welche Weise in Drittländer übermittelt werden.

2. Überprüfung der verwendeten Rechtsgrundlage

Die DSGVO sieht im V. Kapitel einen abschließenden Katalog an Rechtsgrundlagen für internationale Datentransfers vor. Der einfachste Fall für einen Verantwortlichen ist das Vorliegen eines Angemessenheitsbeschlusses des EU-Kommission für das Zielland (Art. 45 DSGVO). In diesem Fall muss der Verantwortliche lediglich fortlaufend überprüfen, dass der Beschluss weiterhin gültig ist. Wie bereits berichtet, ist der „Privacy-Shield“-Beschluss bezüglich Übermittlungen in die USA nicht mehr gültig. Darüber hinaus finden sich im V. Kapitel weitere Rechtsgrundlagen. Die relevantesten sind Standardvertragsklauseln (Standard Contractual Clauses, Art. 46 DSGVO) und interne Datenschutzvorschriften (Binding Corporate Rules, Art. 47 DSGVO).

3. Identifizierung problematischer Gesetze und Praktiken im Zielland

Dies ist das Herzstück der Prüfung. Der Verantwortliche für den konkreten Datentransfer, d. h. derjenige, der die Daten exportiert, muss überprüfen, ob die Gesetzgebung und/oder Verwaltungspraxis im Zielland dazu führt, dass die übermittelten Daten nicht mehr entsprechend der Anforderungen der Rechtsgrundlage geschützt sind. Ein Beispiel hierfür sind unverhältnismäßige behördliche Zugriffsrechte. Allerdings stehen diese einem angemessenen Schutz nur entgegen, wenn der Vertragspartner im Zielland unter diese Zugriffsrechte fällt. Mit anderen Worten führt die bloße Existenz eines unverhältnismäßigen Gesetzes noch nicht zur Unzulässigkeit der Datenübermittlung.

Wurden keine einschlägigen problematischen Gesetze oder Verwaltungspraktiken gefunden, kann die Übermittlung ohne weiter Maßnahmen erfolgen.

4. Sofern erforderlich: Identifizierung und Implementierung geeigneter Maßnahmen

Wenn in Schritt 3 festgestellt wurde, dass problematischen Gesetze oder Verwaltungspraktiken bestehen, kann allein die gewählte Rechtsgrundlage keinen ausreichenden Schutz bieten. Das gilt auch für die jüngst verabschiedeten neuen Standardvertragsklauseln. Damit ist die Übermittlung aber nicht zwangsläufig unzulässig. Es kommt dann darauf an, ob das bestehende Risiko durch zusätzliche Maßnahmen beseitigt werden kann. Der EDSA nennt in seinen Leitlinien einige mögliche Maßnahmen, entscheidend ist aber stets die konkrete Situation. Es gibt keine Maßnahme, die in jedem Fall ein ausreichendes Schutzniveau herstellt.

Die Maßnahmen lassen sich in technische, vertragliche und organisatorische Maßnahmen aufteilen. Beispiele für technische Maßnahmen sind eine starke Verschlüsselung oder die Übermittlung pseudonymisierter Daten. Auf vertraglicher Ebene kann als zusätzliche Maßnahme vereinbart werden, dass der Datenimporteur behördliche Zugriffsanfragen offenlegt. Darüber hinaus kann auch vereinbart werden, behördliche Anfragen zur Offenlegung zunächst auf ihre Rechtmäßigkeit zu überprüfen und ggf. dagegen vorzugehen. Organisatorische Maßnahmen können interne Datentransfer-Richtlinien oder Schulungen für den Umgang mit behördlichen Anfragen sein.

Wenn keine geeigneten Maßnahmen getroffen werden können, muss die Übermittlung unterbleiben bzw. umgehend beendet werden, da kein ausreichendes Schutzniveau besteht.

Dabei ist eine weitereichende Feststellung des EDSA von hoher Bedeutung: Sofern ein Verantwortlicher Daten beispielsweise an einen Cloud-Anbieter in einem Drittland übermittelt, dieser Zugriff auf die unverschlüsselten Daten benötigt, um seine Aufgabe zu erfüllen (etwa zur Erbringung von Supportleistungen), gleichzeitig im Zielland aber unverhältnismäßige Zugriffsrechte von Behörden bestehen, dann bestehen nach Auffassung des EDSA keine ausreichenden zusätzlichen Maßnahmen, welche ein angemessenes Schutzniveau herstellen. Dementsprechend sind Klardatenübermittlungen im Falle eines unzureichenden Schutzniveaus nach Auffassung des EDSA de facto nicht möglich.  

5. Gegebenenfalls ergänzende Verfahrensschritte

Abhängig von der Rechtsgrundlage im konkreten Fall können weitere Verfahrensschritte erforderlich sein, wie z. B. die Benachrichtigung der Aufsichtsbehörde (beispielsweise nach Art. 46 Abs. 3 lit. a DSGVO).

6. Regelmäßige Evaluation

Die getroffenen Maßnahmen müssen regelmäßig evaluiert werden. Das ergibt sich bereits daraus, dass sich die Rechtslage und Rechtspraxis im Zielland ändern kann.
Fazit und Empfehlung

Übermittlungen von Daten in Nicht-EU-Länder sind für den Verantwortlichen mit einigem Aufwand verbunden. Die Evaluation der Rechtslage im Zielland ist ein weiterer Eintrag im ohnehin umfassenden Pflichtenkatalog des Verantwortlichen. Wird der Weg der Übermittlung in Nicht-EU-Länder beschritten, sollten die vom EDSA vorgeschlagenen Prüfschritte befolgt werden. Sie bringen etwas mehr Orientierung in ein bisher noch sehr offenes Feld. Die Prüfung sollte unbedingt dokumentiert werden, um im Ernstfall gegenüber einer Aufsichtsbehörde Nachweise vorlegen zu können.

Je nach Anwendungsfall sollten Unternehmen prüfen, ob die Standardvertragsklauseln das geeignete Mittel sind. Insbesondere sollte ein genauerer Blick auf die mögliche Nutzung der Anwendungsfälle von Art. 49 DSGVO geworfen werden, auch wenn die Norm nach Auffassung des EDSA nur in Ausnahmefällen verwertet werden darf. Diese kann aber Transfers vereinfachen.

Bei Dienstleistungen sollte eine intensive Prüfung erfolgen, ob es innereuropäische Alternativen gibt oder zumindest solche in Ländern, in denen die Befugnisse der nationalen Sicherheitsbehörden klar und verhältnismäßig geregelt sind.

Autor


Dr. Philip Kempermann, LL.M. ist Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Manuel Poncza
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf




Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2021 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie hier nachlesen.

datenschutz@heuking.de