Es mag Zufall sein, aber ein besseres Timing hätte sich US-Präsident Joe Biden kaum wünschen können: Passend zu seinem Europa-Besuch hat der Europäische Datenschutz-Ausschuss (EDSA) ein neues Papier veröffentlicht, das Unternehmen den Datentransfer in die USA in einigen Fällen wenigstens ein klein wenig erleichtert.
Die "Version 2.0" der "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data" vom 18. Juni 2021 (europa.eu) bringt gegenüber der vorherigen Version (Konsultationsversion vom 10. November 2020, (europa.eu) zwar nur kleine Änderungen, diese erweitern in wichtigen Fällen aber den Spielraum von Unternehmen.
Wir erinnern uns: Der Europäische Gerichtshof (EuGH) hatte am 16. Juli 2020 mit Urteil in der Sache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt.
Das Urteil betrifft insbesondere die Datenübermittlung in die USA, die bisher sehr häufig über das so genannte "EU-US Privacy Shield" abgesichert war. Der EuGH hat das "EU-US Privacy Shield" vor allem aufgrund der weitreichenden Kompetenzen der US-Sicherheitsbehörden und Geheimdienste als nicht ausreichend angesehen, um ein angemessenes Datenschutzniveau im Sinne der DSGVO zu gewährleisten.
Standardvertragsklauseln (kurz: SCCs) – zuvor das Mittel der Wahl für viele Unternehmen zur Absicherung der Datentransfers in die USA – können zwar weiter für Datenübertragungen genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Notwendig sind vielmehr zusätzliche Maßnahmen.
Die Konsultationsversion der EDSA-Empfehlungen vom 10. November 2020 befasst sich mit der Frage, welche zusätzlichen Maßnahmen in Frage kommen.
Ausgehend von der Annahme, dass sich die US-Sicherheitsbehörden beispielsweise von vertraglichen Vereinbarungen zwischen einem EU-Unternehmen (als Datenexporteur) und einem US-Unternehmen (als Datenimporteur) nicht beeindrucken lassen, waren die vorgeschlagenen Maßnahmen vor allem technischer und organisatorischer Natur, insbesondere Anonymisierung und Verschlüsselung, mit dem Ziel, die Verarbeitung von Klardaten durch den Datenempfänger in den USA und dadurch den Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten zu verhindern. Vertragliche Maßnahmen wurden zwar empfohlen, für sich genommen aber nicht als ausreichend erachtet.
Das Schrems-II-Urteil und die EDSA-Empfehlungen stellten viele Unternehmen vor kaum lösbare Herausforderungen, da für wichtige Anwendungsfälle keine Lösung angeboten wurde. Ausdrücklich als Problem ohne Lösung identifiziert wurde beispielsweise die Übermittlung an Cloud-Service-Anbieter oder andere Verarbeiter, die Zugang zu unverschlüsselten Daten benötigen, oder der Datenfernzugriff zu Geschäftszwecken (Tz. 88 ff). Gar nicht thematisiert wurde die Übermittlung von Mitarbeiterdaten innerhalb von internationalen Konzernen, was insbesondere US-Amerikanische Konzerne vor große Probleme stellte.
Hinzu kam, dass sich der EDSA auch in Bezug auf die in der DSGVO angelegten Ausnahmen, die ebenfalls Garantien zur Absicherung von Drittlandtransfers beinhalten, sehr restriktiv gab: "Artikel 49 DSGVO ist eine Ausnahmeregelung. Die darin vorgesehenen Ausnahmen sind deshalb eng auszulegen; sie beziehen sich überwiegend auf Verarbeitungstätigkeiten, die nur gelegentlich erfolgen und sich nicht wiederholen. Der EDSA hat dazu seine Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 erlassen" (Tz. 25 – der englische Wortlaut ist hier noch strenger als der deutsche). Die Übermittlung von Mitarbeiterdaten innerhalb von internationalen Konzernen, die Übermittlung an Cloud-Service-Anbieter oder grenzüberschreitender eCommerce sind in der Regel keine Ausnahmen, die nur gelegentlich stattfinden – sie wiederholen sich typischerweise.
Auch die neuen EDSA-Empfehlungen bieten keine ausdrücklichen Lösungen für die aufgezeigten Probleme.
Allerdings geben sie Unternehmen doch etwas mehr Spielraum. Der strenge Wortlaut zu den Ausnahmeregelungen nach Artikel 49 DSGVO wurde wenigstens etwas aufgeweicht ("Article 49 GDPR has an exceptional nature. The derogations it contains must be interpreted in a way which does not contradict the very nature of the derogations as being exceptions from the rule that personal data may not be transferred to a third country unless the country provides for an adequate level of data protection or, alternatively, appropriate safeguards are put in place. Derogations cannot become “the rule” in practice, but need to be restricted to specific situations.") Die Anforderung, dass Artikel 49 nicht angewandt werden könne, wenn es sich um eine große Zahl von Vorgängen oder wiederholte Vorgänge handelt, findet sich in dieser Schärfe nicht mehr. Sie war auch bisher schon nicht vom Wortlaut der DSGVO gedeckt. Dies ermöglicht Handlungsspielräume, um – jedenfalls unter strengen Voraussetzungen – die Datenübermittlung in die USA doch auf die Notwendigkeit zur Vertragserfüllung oder Einwilligung zu stützen, wobei freilich die Notwendigkeit genau geprüft werden muss und die Einwilligung informiert erteilt werden muss, wozu auch eine Aufklärung über die Risiken des internationalen Datentransfers gehört.
Schließlich korrigiert der EDSA seine Linie in einem weiteren Detail. Bei der Beurteilung der Risiken eines Datenexports kann jetzt – stärker als unter der Konsultationsversion - einbezogen werden, inwieweit der jeweilige Datenimporteur und der jeweilige Datenverarbeitungsvorgang tatsächlich problematischen US-Gesetzen unterfällt. Das erfordert freilich ebenfalls eine genaue Analyse, die zu dokumentieren ist.
Die Datenübermittlung in die USA bleibt schwierig, aber es gibt einen Silberstreifen am Horizont. Unternehmen, die den Empfehlungen des EDSA folgen wollten, hatten bisher in einigen wichtigen Bereichen schlicht keine Lösung. Insofern war die von den Datenschutzbehörden unisono verlangte Risikoprüfung eine frustrierende Übung, weil unabhängig von dem ermittelten Risiko keine Lösung gefunden werden konnte. Hier scheint jetzt in wichtigen Bereichen etwas Bewegung entstanden zu sein, insbesondere da, wo der Datenempfänger in den USA Zugang zu unverschlüsselten Daten benötigt, beispielsweise bei der Übermittlung von Mitarbeiterdaten innerhalb des Konzerns oder bei globalen technischen Infrastrukturen wie beispielsweise manchen Cloud-Diensten oder eCommerce-Angeboten.
Die neuen Empfehlungen sind dabei jedoch kein Freifahrtschein: Die deutschen Datenschutzbehörden sind bereits dabei, den Stand der Umsetzung des Schrems-II-Urteils in Unternehmen zu untersuchen, beispielsweise über Fragebogen (Koordinierte Prüfung internationaler Datentransfers | Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg). Verstöße werden sicherlich sanktioniert werden. Unternehmen sind gut beraten, die entsprechende Analyse sorgfältig und orientiert an den EDSA-Empfehlungen durchzuführen (auch wenn diese keine Gesetzeskraft haben) und dies auch zu dokumentieren. Die Ausrede, dass die Anforderungen nicht erfüllbar sind, zählt jedenfalls nicht mehr.