spainter_vfx - stock.adobe.com
Datentransfer erlaubt oder nicht: Der Kern des Problems
Vor dem Transfer personenbezogener Daten muss das Datenschutzniveau bei dem Empfänger hinterfragt werden. Diese Prüfung ist wichtig, und zwar nicht nur bei Datentransfers nach USA.
Die Grundidee der Datenschutzanforderung an einen Datentransfer ist einfach: Wenn man personenbezogene Daten an einen Dritten übermittelt, muss weiterhin der Datenschutz nach Datenschutz-Grundverordnung (DSGVO) gewährleistet sein.
Dazu muss man als „Absender“ wissen, wie das Datenschutzniveau unterwegs, während der Datenübermittlung, und dann bei dem Empfänger aussieht. Es stellt sich also die Frage: Was kann mit den personenbezogenen Daten alles passieren, wenn sie erst einmal das eigene Unternehmen verlassen haben?
Deshalb muss man vor der Übermittlung personenbezogener Daten wissen, wie der Empfänger für den Datenschutz sorgen will, welche Datenrisiken im Empfängerland oder bei dem Empfängerunternehmen herrschen und wie man bei entsprechendem Schutzbedarf technisch und organisatorisch dafür sorgen kann, dass die Daten weiterhin geschützt bleiben.
Das grundsätzliche Ziel lautet: Es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht, also dem Datenschutzniveau nach DSGVO.
Es kommt nicht nur auf den eigentlichen Empfänger an
Nun könnte man als Unternehmen den Ansatz wählen, Daten nur an vertrauenswürdige Empfänger zu verschicken, von denen man mit Sicherheit weiß, dass sie die Daten nicht zweckentfremden und missbrauchen.
Allerdings sind es nicht nur die vorgesehenen Empfänger, die die Daten gegen die Vorgaben der DSGVO verwenden könnten. Denkbar sind auch Datenzugriffe durch böswillige Beschäftigte bei dem Empfänger (Innentäter) oder aber Zugriffsversuche durch Cyberkriminelle, wenn der Empfänger nicht für die erforderliche Datensicherheit sorgt. Schließlich können es auch offizielle Stellen in dem Land des vorgesehenen Empfängers sein, zum Beispiel Nachrichtendienste.
Man muss sich deshalb fragen, ob nicht nur der geplante Empfänger eigentlich vertrauenswürdig ist, sondern ob er auch genug tut gegen Attacken aus dem Inneren und von extern, aber auch, ob er etwas gegen die staatlichen Zugriffe in dem Empfängerland unternehmen kann. Es reicht nicht, dass sich der geplante Empfänger selbst vertraglich dazu verpflichtet, es muss auch wirklich umsetzbar sein.
Aus eben diesem Grund werden für die Übermittlung personenbezogener Daten in die USA zum Beispiel neben den Standardvertragsklauseln auch noch ergänzende Schutzmaßnahmen gefordert.
Die Datenschutzaufsichtsbehörden in Deutschland erklären dazu: „Sofern Daten in Drittländer auf der Grundlage von Standardvertragsklauseln übermittelt werden sollen, muss der Verantwortliche bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen.
Sofern das nicht der Fall ist, ist zu prüfen, ob zusätzliche Maßnahmen zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Denkbar sind rechtliche, technische oder organisatorische Maßnahmen. Die tatsächliche Wirksamkeit solcher Maßnahmen darf jedoch nicht durch die Rechtsordnung des Drittlandes beeinträchtigt werden“.
Wenn also ein geplanter Empfänger sich zum Datenschutz vertraglich verpflichtet, zudem auch noch Sicherheitsmaßnahmen wie Verschlüsselung implementiert, kann dies aber immer noch unzureichend sein, wenn zum Beispiel staatliche Stellen im Empfängerland verlangen können, dass die Verschlüsselung gebrochen wird.
Es geht nicht nur um die USA
Bekanntlich wird insbesondere über Datentransfers in die USA diskutiert. Allerdings weisen die Aufsichtsbehörden darauf hin: „Auch bei Datenexporten in andere Drittländer auf der Grundlage von Standardvertragsklauseln oder Binding Corporate Rules müssen die neuen Anforderungen des EuGH umgesetzt werden und geprüft werden, ob im jeweiligen Drittland ein im Wesentlichen gleichwertiges Schutzniveau besteht. Das gilt besonders im Hinblick auf den Zugriff durch Sicherheitsbehörden auf die dorthin übermittelten personenbezogenen Daten“.
Zum Beispiel hat der Europäische Datenschutzausschuss anlässlich des Schrems-II-Urteils ein juristisches Gutachten erstellen lassen, zu den Rechten und der Praxis der Regierungen der Drittländer China, Indien und Russland, personenbezogene Daten von Wirtschaftsakteuren zu verarbeiten.
Vor jedem geplanten Datentransfer muss also eine Prüfung des Datenschutzniveaus im Zielland erfolgen, nicht nur für die USA, sondern für alle Länder, für die es keinen Angemessenheitsbeschluss der EU-Kommission gibt. Die Liste der Angemessenheitsbeschlüsse findet man hier.
Dabei sind die Prüfungen zum Datenschutzniveau zwingend erforderlich. Die Aufsichtsbehörden betonen: „Unternehmen und andere Akteure, die personenbezogene Daten in Drittländer übermitteln, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie die hier dargestellte Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind.“
Diese Pflicht zur Dokumentation der Prüfung ergibt sich aus der Rechenschaftspflicht nach DSGVO.
Beispiel Datentransfer nach Russland
Ein Beispiel für ein anderes Drittland als USA: Der Europäische Datenschutzausschuss (EDSA) hat sich kürzlich nochmals explizit zu Datenübermittlungen nach Russland geäußert:
Russland profitiert nicht von einem Angemessenheitsbeschluss der Europäischen Kommission. Vor diesem Hintergrund stellt der EDSA fest, dass Datenexporteure im Rahmen der DSGVO bei der Übermittlung personenbezogener Daten nach Russland eine Bewertung vornehmen sollen.
Darüber hinaus erinnert der EDSA daran, dass Datenexporteure nach dem Schrems-II-Urteil des Europäischen Gerichtshofs prüfen sollten, ob im Zusammenhang mit der betreffenden Übermittlung etwas im Gesetz enthalten ist und/oder in Russland geltende Praktiken (insbesondere in Bezug auf den Zugriff auf personenbezogene Daten durch die russischen Behörden, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit), die die Wirksamkeit der angemessenen Datenschutzgarantien beeinträchtigen können.
Wenn dies der Fall ist, sollen Datenexporteure zusätzliche Maßnahmen ermitteln und ergreifen, die erforderlich sind, um sicherzustellen, dass den betroffenen Personen ein Schutzniveau gewährt wird, das im Wesentlichen dem innerhalb des EWR (Europäischer Wirtschaftsraum) garantierten entspricht.
Wenn eine solche Bewertung zu dem Schluss führt, dass die Einhaltung nicht (mehr) gewährleistet ist, und dass keine ergänzenden Maßnahmen identifiziert werden konnten, müssen Datenexporteure die Datenübermittlung aussetzen.
Diese Hinweise des EDSA zeigen nochmals schön den Prozess, der für jeden Datentransfer in ein Drittland durchgeführt werden soll, wenn es keinen Angemessenheitsbeschluss gibt.