01/2021 – Fachartikel Swiss Infosec AG
1 Einleitung
Mit dem als «Schrems II» bekannt gewordenen Entscheid (C-311/18) des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 wurde der Angemessenheitsbeschluss 2016/1250 zum EU-US Privacy Shield für ungültig erklärt. Hintergrund dieser Entscheidung war, dass das mit den USA ausgehandelte Privacy Shield-Abkommen die Daten von Personen, die sich in der EU befinden, nicht vor dem Zugriff US-amerikanischer Geheimdienste angemessen zu schützen vermochte.
Wenig später hat sich auch der Eidgenössische Öffentlichkeits- und Datenschutzbeauftragte (EDÖB) diesem Entscheid angeschlossen und das EU-Swiss Privacy Shield-Abkommen als nicht mehr wirksam erklärt.
Der EuGH befasste sich in seinem Entscheid auch mit den EU-Standardvertragsklauseln. Das Gericht stellte fest, dass eine blosse standardmässige Übernahme dieser Klauseln nicht genügt und diese ebenfalls keinen angemessenen Schutz darstellen würden. Vielmehr muss ein Verantwortlicher die Umstände des konkreten Datentransfers würdigen und sich fragen, wie weit die Standardvertragsklauseln die übermittelten Daten tatsächlich angemessen schützen und ggf. zusätzliche Massnahmen vorsehen.
Am 11. November 2020 hat der Europäische Datenschutzausschuss einen Entwurf mit «Empfehlungen über Massnahmen zur Gewährleistung des EU-Schutzniveaus bei der Übertragung von personenbezogenen Daten» veröffentlicht (Empfehlungen 01/2020). Diese Empfehlungen beschreiben ausführlich, welche zusätzlichen Massnahmen ein Unternehmen treffen muss, damit eine Übermittlung personenbezogener Daten nach dem Schrems II-Entscheid durchgeführt werden kann. Nur einen Tag später veröffentlichte die EU-Kommission ihren Entwurf für Standardvertragsklauseln, der ebenfalls den Schrems II-Entscheid berücksichtigt.
2 Handlungsempfehlungen des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss hat in seinem Empfehlungsentwurf 01/2020 in sechs Schritten beschrieben, wie ein Unternehmen vorgehen muss, damit eine Übermittlung von personenbezogenen Daten auch nach dem Schrems II-Entscheid möglich ist:
1. Daten-Mapping
In einem ersten Schritt soll ermittelt werden, welche Datentransfers an Empfänger in Drittländern gehen und ob die übermittelten Daten im Hinblick auf die Zwecke, für die sie übermittelt werden, angemessen, zweckdienlich und notwendig sind.
2. Identifizierung geeigneter Transferinstrumente
Sofern kein Angemessenheitsbeschluss vorliegt, ist in einem zweiten Schritt abzuklären, ob eine geeignete Garantie gemäss Art. 46 DSGVO vorliegt oder einer der Ausnahmetatbestände gemäss Art. 49 DSGVO greift. Erfolgt die Übermittlung mittels Standardvertragsklauseln oder über verbindliche Unternehmensvorschriften, muss sichergestellt werden, dass die übermittelten personenbezogenen Daten tatsächlich einem im Wesentlichen gleichwertigen Schutzniveau unterliegen.
3. Beurteilung der Wirksamkeit des Schutzes der Personendaten
Der dritte Schritt besteht darin, zu beurteilen, ob es im Recht oder Praxis des Drittlands etwas gibt, welches die Wirksamkeit der geeigneten Garantien beeinträchtigen könnte. Für die Beurteilung der Gesetzgebung verweist der EDSA auf seine Empfehlungen 02/2020 «European Essential Guarantees for surveillance measures», insbesondere dann, wenn die Gesetzgebung eine Offenlegung gegenüber den Behörden des Drittlandes vorschreibt oder Zugang gewährt.
4. Implementierung zusätzlicher Massnahmen sofern erforderlich
Kommt die Beurteilung (Schritt 3) zum Schluss, dass zusätzliche Massnahmen erforderlich sind, um ein angemessenes Datenschutzniveau herzustellen, so müssen diese wirksam implementiert werden. Eine Wirksamkeit ist vor allem bei technischen Schutzmassnahmen gegeben, die den Zugang zu personenbezogenen Daten entweder durch die Empfänger und/oder Behörden in Drittländern verhindern.
5. Einleitung formeller Verfahrensschritte
In einem fünften Schritt sind alle formellen Verfahrensschritte zu treffen, die eine vorgängige Genehmigung durch eine Datenschutzbehörde erfordern. Sofern die zusätzlichen Massnahmen nicht im Widerspruch zu den Regelungen der Standardvertragsklauseln oder der verbindlichen Unternehmensvorschriften stehen oder das durch diese Mechanismen geschaffene Schutzniveau nicht beeinträchtigt wird, bedarf es keiner vorgängigen Genehmigung.
6. Regelmässige Neubewertung
Der sechste und letzte Schritt besteht darin, in regelmässigen Zeitabständen das Schutzniveau der Daten, die in Drittländer übermittelt wurden, neu zu bewerten und Entwicklungen im Drittland zu überwachen, welche sich auf den Schutz auswirken könnten.
3 Ist der neue Anhang zu den Standardvertragsklauseln von Microsoft die langersehnte Lösung?
Microsoft hat als erstes Unternehmen auf den Empfehlungsentwurf des Europäischen Datenschutzausschusses reagiert und unter dem Namen «Defending Your Data» einen Anhang zu den Standardvertragsklauseln veröffentlicht, der nun standardmässig Bestandteil des Auftragsverarbeitungsvertrags ist. Darin werden die Informationspflichten der betroffenen Personen ausgeweitet und Microsoft verpflichtet, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, die behördliche Anordnung zur Herausgabe der Daten anzufechten sowie ein Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmässig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat, geltend gemacht.
4 Fazit
Dass sich Microsoft für die Verbesserung der Rechte der betroffenen Personen einsetzt, ist löblich und ein Schritt in die richtige Richtung. Jedoch vermag er die Transferproblematik in die USA nicht zu lösen. Einen Zugriff der US-Geheimdienste auf die Daten wird dadurch nicht unterbunden.
Es bleibt also dabei, dass Unternehmen weiterhin prüfen müssen, welchem Risiko die Daten bzw. die Betroffenen im Drittland ausgesetzt sind. Immerhin bieten die Empfehlungen 01/2020 des EDSA eine gewisse Hilfestellung, wenn es darum geht, zusätzliche Massnahmen bei der Übermittlung in ein Drittland ohne Angemessenheitsbeschluss zu treffen.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 23.12.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch