Rawpixel.com - stock.adobe.com
DSGVO: Zertifizierung als Grundlage einer Datenübermittlung
Die Datenschutzaufsichtsbehörden haben dargelegt, wie eine Zertifizierung nach DSGVO als Rechtsgrundlage für eine Übermittlung personenbezogener Daten genutzt werden kann.
Internationale Datentransfers ins Nicht-EU-Ausland spielen für die deutsche Wirtschaft eine große Rolle, so der Digitalverband Bitkom. Jedes zweite Unternehmen (48 Prozent) tauscht Daten mit externen Dienstleistern außerhalb der EU aus, jedes Vierte (25 Prozent) mit dortigen Geschäftspartnern und 12 Prozent mit anderen Konzerneinheiten. Dabei transferieren 52 Prozent Daten in die USA.
Entsprechend erklärte Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim Digitalverband Bitkom: „Bitkom begrüßt die Ankündigung der EU-Kommission, dass eine grundsätzliche politische Einigung mit den USA über einen Nachfolger des Privacy Shield erzielt worden ist. Die politische Einigung ist aber nur der dringend notwendige erste Schritt. Jetzt gilt es, diesen politischen Willen in eine belastbare rechtliche Regelung zu überführen. Die Unternehmen brauchen rasch Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann.“
Der BVDW (Bundesverband Digitale Wirtschaft) sah dies ähnlich: „Durch die Ankündigungen wurde zum aktuellen Zeitpunkt noch keine Rechtssicherheit geschaffen und das Risiko, dass der EuGH das Abkommen innerhalb von Monaten kippen könnte, besteht so lange, wie dessen Kritikpunkte nicht nachhaltig adressiert wurden. Daher ist es weiterhin notwendig, den transatlantischen Datenverkehr mit den bestehenden Maßnahmen und Mitteln bestmöglich abzusichern“.
Alternativen zu Privacy Shield gesucht
Entsprechend hoch ist die Nachfrage nach anderen Rechtsgrundlagen, um die Übermittlung personenbezogener Daten rechtlich absichern zu können. Die Datenschutz-Grundverordnung (DSGVO) nennt auch verschiedene Instrumente, die in Betracht kommen können, darunter auch eine Zertifizierung nach DSGVO:
Unter „Datenübermittlung vorbehaltlich geeigneter Garantien“ finden sich in der DSGVO unter anderem „ein genehmigte Zertifizierungsmechanismus (...) zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen“.
Nun hat sich der Europäische Datenschutzausschuss (EDSA) zur „Zertifizierung als Instrument für Transfers“ geäußert: Die DSGVO führt genehmigte Zertifizierungsmechanismen als neues Instrument zur Übermittlung personenbezogener Daten an Drittländer in Ermangelung einer Angemessenheitsvereinbarung ein.
Dazu hat der EDSA nun Leitlinien veröffentlicht. Der Hauptzweck dieser Leitlinien besteht darin, die praktische Anwendung dieses Transferinstruments weiter zu verdeutlichen.
Leitlinien zur Zertifizierung als Instrument für Datentransfers
Der stellvertretende EDSA-Vorsitzende Ventsislav Karadjov sagte: „Diese Leitlinien sind bahnbrechend, da sie die allererste praktische Anleitung zur Zertifizierung als Instrument für Übermittlungen bieten – ein neues Übermittlungsinstrument, das durch die DSGVO eingeführt wurde. Die Leitlinien geben Hinweise, wie dieses Instrument in der Praxis eingesetzt werden kann und wie es dazu beitragen kann, ein hohes Datenschutzniveau bei der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Drittländer aufrechtzuerhalten.“
Die Leitlinien bestehen aus vier Teilen, die sich jeweils auf spezifische Aspekte der Zertifizierung als Instrument für Transfers konzentrieren, wie zum Beispiel Zweck, Umfang und die verschiedenen beteiligten Akteure, die Umsetzung von Leitlinien zu Akkreditierungsanforderungen für Zertifizierungsstellen, spezifische Zertifizierungskriterien zum Nachweis geeigneter Garantien für Übermittlungen und die umzusetzenden verbindlichen und durchsetzbaren Verpflichtungen. Die Leitlinien werden bis Ende September 2022 Gegenstand öffentlicher Konsultationen sein.
Besonderheiten einer Zertifizierung als Transferinstrument
Besonders wichtig ist es hierbei zu beachten, dass eine Zertifizierung nach DSGVO besondere Kriterien erfüllen muss, wenn sie als Grundlage einer Übermittlung personenbezogener Daten in ein Drittland wie USA dienen soll.
Diese speziellen Kriterien umfassen die Bewertung der Rechtsvorschriften von Drittländern, die allgemeinen Pflichten von Ausführern und Einführern, Vorschriften zur Weiterleitung, Rechtsbehelfe und Durchsetzung, Verfahren und Maßnahmen für Situationen, in denen nationale Rechtsvorschriften und Praktiken die Einhaltung der im Rahmen von Zertifizierungen und Anträgen eingegangenen Verpflichtungen verhindern, sowie den Datenzugriff durch Behörden von Drittländern.
In den verbindlichen und durchsetzbaren Verpflichtungen, die Verantwortliche oder Auftragsverarbeiter, die nicht der DSGVO unterliegen, im Rahmen der Zertifizierung eingehen sollten, geht es insbesondere um angemessene Schutzmaßnahmen für Daten, die in Drittländer übermittelt werden.
Eine große Rolle kann hierbei die Verschlüsselung und die Pseudonymisierung der Daten spielen. Der EDSA erklärt dazu aber: Bei verschlüsselten Daten sind etwaige Kriterien für die Sicherheit der Übermittlung aufzunehmen. Wenn der Importeur zum Beispiel gezwungen werden kann, kryptografische Schlüssel zur Entschlüsselung oder Authentifizierung weiterzugeben, kann die zusätzliche Maßnahme nicht als wirksam angesehen werden.
Kurz gesagt, bedeutet dies: Zusätzlich zur Zertifizierung muss jeweils der Bedarf für ergänzende Schutzmaßnahmen geprüft werden, wie dies ja auch bei Anwendung der Standardvertragsklauseln der EU der Fall ist.
Werden die Daten zusätzlich zur Zertifizierung durch eine Verschlüsselung geschützt, der Datenimporteur kann aber gezwungen werden, die Schlüssel zum Beispiel an einen Nachrichtendienst zu übergeben, sind die Voraussetzungen an die Zertifizierung als Grundlage für eine Datenübermittlung nicht erfüllt.
Man kann also erwarten: Ein Zertifikat alleine wird für eine Datenübermittlung in die USA nicht reichen, es müssen zusätzlich wirksame Schutzmaßnahmen gefunden werden.