Nachdem die EU Kommission vor knapp zwei Wochen die neuen Standarddatenschutzklauseln verabschiedet hat – DORDA hat berichtet – hat auch der Europäische Datenschutzausschuss ("EDSA") nicht lange auf sich warten lassen: Heute wurde die finale Fassung seiner "Empfehlungen 01/2020 zu Maßnahmen als Ergänzung für Übertragungsinstrumente, um die Einhaltung des EU Schutzniveaus für personenbezogene Daten zu gewährleisten" veröffentlicht. Diese beinhalten wie bisher (i) eine schrittweise Anleitung für die Evaluierung von Datenexporten und (ii) einen beispielhaften Katalog mit technischen, vertraglichen und organisatorischen Maßnahmen, die zusätzlich zum Abschluss von Standarddatenschutzklauseln erforderlich sein können ("supplementary measures"). Das ist nicht nur für den Datentransfer in die USA, sondern auch andere Drittstaaten – allen voran Großbritannien ab 1.7.2021 (so der vorbereitete Angemessenheitsbeschluss nicht noch rasch ergeht) – relevant. Die DORDA Datenschutzexperten haben die wichtigsten Änderungen seit dem kontrovers diskutierten Erstentwurf vom November 2020 gleich für Sie zusammengefasst:
Kaum Änderungen zur bisherigen Empfehlung
Der Ansatz und die Stoßrichtung sind unverändert zum bisherigen Entwurf. Im Gleichklang mit den Erwägungsgründen zu den neuen Standarddatenschutzklauseln wurde jedoch (i) punktuell bei den Begriffsdefinitionen nachgeschärft und (ii) die Bedeutung der Prüfung der etablierten Praxis – sowohl von Behörden als auch des gewählten Anbieters – in Drittländern in der rechtlichen Beurteilung des Datenexporteurs herausgestellt. So soll der Verantwortliche anhand belastbarer, objektiver und öffentlich verfügbarer bzw nachweisbarer Informationen und Erfahrungsberichten feststellen, ob die Wirksamkeit der vereinbarten Garantien auch faktisch gegeben ist.
Six-Step-Plan
Der EDSA ist also seiner Linie treu geblieben und sieht aktuell keinen Weg vorbei an der Erforderlichkeit der einzelfallbezogenen Prüfung durch den Datenexporteur, die für den konkreten Sachverhalt – den Service, den Anbieter – richtigen Maßnahmen zu wählen, umzusetzen und deren Einhaltung zu kontrollieren. Dafür hat er den Verantwortlichen in den Empfehlungen einen Sechs-Punkte-Prüfplan an die Hand gegeben, die bei der Evaluierung und Dokumentation der erforderlichen Gesamtabwägung zu berücksichtigen sind:
- Erstellung einer Übersicht aller Drittstaatendatentransfers im Unternehmen
- Dokumentation der ergriffenen geeigneten Garantien (zB Angemessenheitsbeschluss; Standarddatenschutzklauseln; Binding Corporate Rules etc)
- Beurteilung, ob und inwiefern sich das Recht oder die etablierte Praxis des Drittstaats auf die ergriffenen Maßnahmen auswirkt
- Beurteilung, ob und falls ja, welche zusätzlichen Maßnahmen ergriffen werden müssen
- Einhaltung etwaiger Genehmigungspflichten
- Regelmäßiges Monitoring und Re-Evaluierung, ob die getroffenen Garantien weiterhin ausreichend sind
Handlungsbedarf in der Praxis
Für die Beurteilung der Rechtslage von Drittstaaten listet der EDSA in Annex 3 potentielle Recherchequellen auf. Diese reichen von bloßen Verweisen auf rechtsprechende Organe (wie den EuGH) über Berichte von NGOs bis hin zu Analysen der Global Privacy Assembly. Konkrete Verweise auf die kritischen Bestimmungen in Drittstaaten – wie zB FISA in den USA – fehlen jedoch. Gerade damit geht aber in der Praxis ein großer Aufwand und mindestens genau so große Unsicherheit bei der Auslegung der ausländischen Bestimmungen einher. Für Start-Ups, Einzelunternehmer und KMU wird dies daher ohne zusätzliche Ressourcen nur schwer abbildbar sein.
Zusätzlich stellt der EDSA in Annex 2, wie bisher, Beispiele für angemessene Maßnahmen zur Verfügung. Diese reichen von technischen – Verschlüsselung; Pseudonymisierung; Split Processing – über vertragliche bis hin zu organisatorischen Maßnahmen. Ob und welche Parameter dabei ausreichend sein können, ist daraus aber weiterhin nicht final ableitbar. Da die Empfehlungen für vertragliche Maßnahmen bereits Einfluss in die neuen Standarddatenschutzklauseln gefunden haben, liegen die To Dos in der Praxis daher weiterhin auf der Etablierung angemessener technischer Schutzmaßnahmen.
Fazit
Die Empfehlungen stellen somit weiterhin einen Leitfaden dar und geben gewisse Anhaltspunkte für die Parameter und Dokumentation der erforderlichen Gesamtrisikoabwägung. Mangels genauer Anleitung bzw Vorgabe geben sie aber – weder für sich noch in Kombination mit den neuen Standarddatenschutzklauseln – weiterhin keine absolute Rechtssicherheit. Offen bleibt auch, wo das Pendel bei der Gesamtabwägung ausschlägt, wenn weder technische noch organisatorische Maßnahmen aufgrund der Beschaffenheit der Dienstleistung implementiert werden können, es aber faktisch kein Alternativangebot auf dem europäischen Markt gibt. Ähnlich spannend bleibt daher die Frage, in welchem Ausmaß auch wirtschaftliche Abwägungen – vergleichbar mit Art 32 DSGVO – zu berücksichtigen sind. Mittel- und langfristig sorgt daher nur ein Abschluss der Verhandlungen zwischen der EU und den USA zur Sicherstellung von durchsetzbaren Betroffenenrechten – und darauf aufbauend ein Angemessenheitsbeschluss für die USA – für Entspannung. Gleichzeitig bleibt auch für Großbritannien nur zu hoffen, dass sich der Angemessenheitsbeschluss noch vor dem 1.7.2021 ausgeht. Andernfalls sind ab diesem Zeitpunkt auch dort eine Gesamtabwägung und – aufgrund der mit den USA vergleichbaren Überwachungsinstrumente – zusätzliche Maßnahmen erforderlich.