EU-Datenschutz-Ausschuss und EU-Kommission: Internationale Datentransfers

[IITR – 02.12.20] Der Europäische Datenschutz-Ausschuss hat den Entwurf einer Stellungnahme veröffentlicht, welche Maßnahmen aus Sicht der Datenschutz-Aufsichtsbehörden ergriffen werden können, um die Anforderungen des EuGH zu internationalen Datentransfers adressieren zu können. Nahezu zeitglich hat zudem die Europäische Kommission Entwürfe vorgelegt, die bisherigen “EU-Standardvertragsklauseln” für internationale Datentransfers zu aktualisieren und an die Rechtsprechung des EuGH anzupassen.

Europäischer Datenschutz-Ausschuss

Der Europäische Datenschutz-Ausschuss ist ein durch die DSGVO geschaffenes Gremium der europäischen Aufsichtsbehörden, in welchem diese mit Mehrheitsbescheid einheitliche und für die Datenschutz-Aufsichtsbehörden bindende Standards in der datenschutzrechtlichen Auslegung festlegen können.

Historie: EuGH kippt Privacy Shield

Der aktuellen Entwicklung ging eine Entscheidung des Europäischen Gerichtshofs (EuGH) im Juli diesen Jahres voran, nach der ein Modell zum vereinfachten Datenaustausch zwischen der EU und der USA namens “Privacy Shield” nicht für Datentransfers genutzt werden dürfe (aufgrund der durch das Gericht festgestellten Unvereinbarkeit bestimmter geheimdienstlicher Überwachungsmöglichkeiten von US-Diensten mit den Vorgaben der DSGVO).

Konsultation zu Papier des Europäischen Datenschutz-Ausschuss

Der Europäische Datenschutz-Ausschuss führt in seinem jetzt vorliegenden Entwurf (PDF) zur Auslegung der EuGH-Rechtsprechung aus, dass rechtliche, organisatorische und technische Maßnahmen ergriffen werden können, um die durch das EuGH-Urteil gestiegenen Anforderungen an internationale Datentransfers ermöglichen zu können. Für den Austausch mit US-Unternehmen werden dabei in der Regel technische Maßnahmen erforderlich sein.

Ursprünglich war eine Finalisierung des Papiers noch vor Weihnachten erwartet worden. Aufgrund der Vielzahl an Rückmeldungen und der Tragweite der Auswirkungen wurde die Konsultationsfrist vom 30.11.2020 auf den 21.12.2020 verlängert. Es ist daher nicht vor Januar 2021 mit einer finalen Stellungnahme zu rechnen.

Das Papier benennt dabei verschiedene Fall-Konstellationen aus der Praxis, in denen aus Sicht der Behörden Datentransfers möglich bzw. nicht mehr möglich sind. Besonders umstritten in der derzeitigen Diskussion sind dabei die Beispiel-Fälle 6 und 7 in Anlage 2. Diese lauten:

Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear

A data exporter uses a cloud service provider or other processor to have personal data processed according to its instructions in a third country. (…)
In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together, do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

Use Case 7: Remote access to data for business purposes

A data exporter makes personal data available to entities in a third country to be used for shared business purposes. A typical constellation may consist of a controller or processor established on the territory of a Member State transferring personal data to a controller or processor in a third country belonging to the same group of undertakings, or group of enterprises engaged in a joint economic activity. The data importer may, for example, use the data it receives to provide personnel services for the data exporter for which it needs human resources data, or to communicate with customers of the data exporter who live in the European Union by phone or email.
In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together, do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys

Die Forderungen der Datenschutz-Aufsichtsbehörden nach dem Einsatz von Verschlüsselungstechnologie zur Erfüllung der EuGH-Anforderungen fällt zeitlich in die (unter der deutschen Ratspräsidentschaft entwickelte) Forderung des Europäischen Ministerrats, Anbieter von insb. Telekommunikationssystemen in Europa zu zwingen, staatlichen Behörden eine Schnittstelle zum Zugriff auf die an sich verschlüsselten Daten zur Verfügung zu stellen. Die deutschen Datenschutz-Aufsichtsbehörden haben sich gegen diese Entwicklung ausgesprochen (Stellungnahme als PDF).

Für US-Anbieter ist damit derzeit u.a. offen, ob Sie in Erfüllung des Entwurfs-Papiers des Europäischen Datenschutz-Ausschusses auf Verschlüsselung setzen oder in Erfüllung des Entwurfspapiers des EU-Ministerrats Zugriffsmöglichkeiten für Europäische Sicherheitsbehörden einbauen sollen (die ihrerseits in Teilen Rohdaten wie Erkenntnisse mit der US-Seite teilen). Auch die in Folge eines Urteils des Bundesverfassungsgerichts derzeit in Überarbeitung befindlichen Regelungen für den deutschen Bundesnachrichtendienst lassen eher daran Zweifeln, inwieweit hier grundlegende Veränderungen in der geheimdienstlichen Zusammenarbeit mit den USA zu erwarten sind (Quelle). Das “BND-Gesetz” unterliegt nicht dem EuGH.

Europäische Kommission mit Entwurf für neue “EU-Standardverträge”

Zeitglich hat die Europäische Kommission die seit langem erwarteten neuen Entwürfe der “EU-Standardverträge” für den internationalen Datenaustausch vorgelegt. Auch hier läuft noch bis zum 10. Dezember 2020 das Konsultationsverfahren. Je nach eingehenden Rückmeldungen scheint hier noch eine finale Entscheidung vor Weihnachten möglich. Unternehmen hätten dann ein Jahr Zeit, bestehende Verträge mit außereuropäischen Partnern auf die neuen Vertragsdokumente umzustellen und ggfs. ergänzende technische und organisatorische Maßnahmen zu ergreifen.

Fazit: eigene Abhängigkeiten analysieren

Die Entscheidung des EuGH diesen Jahres bedeutet eine Zäsur für den Datenaustausch mit außereuropäischen Partnern. Es bedeutet dabei kein Ende der Datentransfers – es ist aber anders als der EuGH Entscheidung zu Safe Harbor auch nicht mit einem bloßen “Weiter so” zu rechnen. Je nach der finalen Fassung der Stellungnahme des Europäischen Datenschutzausschusses werden organisatorische und technische Zusatzmaßnahmen bei internationalen Datentransfers erforderlich sein. Unternehmen sind für den Moment gehalten, keine Datentransfers auf Basis von “Privacy Shield” vorzunehmen, die internen Datenflüsse und Abhängigkeiten zu analysieren und ggfs. europäische Alternativen oder technische Zusatzmaßnahmen zu prüfen.

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.