typomaniac - Fotolia
Datenschutz: Die neuen Standardvertragsklauseln (SCC) der EU
Die neuen Standardvertragsklauseln (SCC) der EU sehen zusätzliche Sicherheitsmaßnahmen bei Datentransfers vor, um das notwendige Datenschutzniveau zu gewährleisten.
Der Europäische Gerichtshof (EuGH) hatte in dem sogenannten Schrems II Urteil den Privacy Shield für ungültig erklärt, nicht aber die Standardvertragsklauseln der EU. Entsprechend setzen nun viele Unternehmen ihre Hoffnung auf eben diese Standardvertragsklauseln, wenn es um eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA geht.
Doch auch die bisherigen Standardvertragsklauseln der EU können unzureichend sein, wenn es um die Angemessenheit des Datenschutzniveaus geht. So erklärt zum Beispiel die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) dazu:
„Die von der EU-Kommission beschlossenen Standardvertragsklauseln können zwar grundsätzlich weiterhin als Rechtsgrundlage für Übermittlungen personenbezogener Daten in Drittländer herangezogen werden. Allerdings müssen alle Verantwortlichen ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können“.
Die Aufsichtsbehörden betrachten auch den Fall, dass ein Unternehmen feststellt, dass das Datenschutzniveau bei dem Empfänger unzureichend ist:
„Ist dies der Fall, etwa weil die Behörden des Drittlands übermäßige Zugriffsrechte auf verarbeitete Daten haben, müssen die Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssen die Übermittlungen unterbleiben.“
Seit kurzem gibt es nun neue Standardvertragsklauseln von der EU-Kommission. Viele Unternehmen fragen sich nun, was sich dadurch geändert hat, gerade im Hinblick auf die ergänzenden Datenschutzmaßnahmen.
Aufsichtsbehörden informieren über ergänzende Schutzmaßnahmen
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weist wie auch der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist.
Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen, so die Datenschützer.
Eine intensive Beschäftigung mit den Möglichkeiten und Grenzen zusätzlicher Datenschutzmaßnahmen, um ein angemessenes Datenschutzniveaus sicherzustellen, ist also in jedem Fall zu empfehlen.
Für Verantwortliche und Auftragsverarbeiter, die bereits bestehende Standardvertragsklauseln verwenden, ist ein Übergangszeitraum von 18 Monaten vorgesehen. Das bedeutet natürlich nicht, dass man sich mit der Prüfung gegebenenfalls notwendiger ergänzender Maßnahmen Zeit lassen kann, denn sowohl nach den bisherigen als auch nach den neuen Standardvertragsklauseln können die zusätzlichen Datenschutzmaßnahmen erforderlich sein.
Beispiele für ergänzende Maßnahmen laut neuer Standardvertragsklauseln
Im Anhang der neuen Standardvertragsklauseln der EU finden sich Hinweise zu den technisch-organisatorischen Maßnahmen. Dabei ist es wichtig zu bedenken, dass es nicht reicht, die Maßnahmen allgemein aufzuführen, sie müssen für jeden Fall konkretisiert werden.
Trotzdem ist es hilfreich, sich die von der EU-Kommission allgemein genannten Maßnahmen anzusehen, die es zu konkretisieren gilt. So findet man in der Anlage als Beispiele für mögliche Maßnahmen:
- Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
- Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
- Maßnahmen zur Identifizierung und Autorisierung der Nutzer
- Maßnahmen zum Schutz der Daten während der Übermittlung
- Maßnahmen zum Schutz der Daten während der Speicherung
- Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
- Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
- Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
- Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
- Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
- Maßnahmen zur Gewährleistung der Datenminimierung
- Maßnahmen zur Gewährleistung der Datenqualität
- Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
- Maßnahmen zur Gewährleistung der Rechenschaftspflicht
- Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Welche Maßnahmen jeweils zu ergreifen sind, kommt wie erwähnt immer auf den zu prüfenden Einzelfall an. Zudem muss man sich klarmachen, dass es durchaus sein kann, dass es keine ergänzenden Maßnahmen gibt, die zuverlässig für ein angemessenes Datenschutzniveau sorgen können.
Die Aufsichtsbehörden für den Datenschutz in Deutschland erklären dazu:
„In seinem Urteil „Schrems II“ hat der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar.“
Ganz konkret bedeutet dies, dass man nicht ohne weiteres ergänzende Schutzmaßnahmen finden wird, die die möglichen Zugriffe von US-Nachrichtendiensten sicher ausschließen können.
Unternehmen, die Daten in die USA übermitteln wollen, müssen sehr genau mit dem Empfänger, also zum Beispiel dem Cloud-Provider in den USA, die Möglichkeiten und Grenzen der ergänzenden Schutzmaßnahmen betrachten. Findet sich keine zuverlässige Lösung, muss von der Datenübermittlung Abstand genommen werden, so die Datenschützer. Daran ändern auch die neuen Standardvertragsklauseln der EU-Kommission nichts.