Ob es um die Präsenz in sozialen Netzwerken oder Videokonferenzsysteme wie Microsoft Teams geht, oder ob eine US-Holding auf das Personalmanagementsystem einer hiesigen Tochtergesellschaft zugreift – Kommunikation und Innovation der weltweit vernetzten deutschen Wirtschaft sind ohne internationalen Datentransfer kaum mehr möglich. Entsprechend groß ist der Unmut darüber, dass der Europäische Gerichtshof im Juli 2020 das Privacy Shield als zentrale Rechtsgrundlage für den EU-USA-Datentransfer zu Fall brachte. Hintergrund ist der Foreign Intelligence Surveillance Act (FISA), der es US-Sicherheitsbehörden grundsätzlich erlaubt, auf Daten von EU-Bürgern zuzugreifen. Zugleich legten die Luxemburger Richter die Messlatte höher, wenn Unternehmen die Übermittlung auf die EU-Standardvertragsklauseln stützen, was in der Praxis sehr häufig vorkommt: Notwendig sind nun regelmäßig zusätzliche technische Maßnahmen wie die Verschlüsselung von Daten. Seither bewegen sich große Konzerne genauso wie Mittelstand und Startups beim internationalen Datentransfer in einer rechtlichen Grauzone.
NEUE EU-STANDARDVERTRAGSKLAUSELN ERMÖGLICHEN AUTOMATISIERUNG
Im Juni legte die EU-Kommission neue Standardvertragsklauseln (SCC) für den internationalen Transfer von Mitarbeiter- und Kundendaten vor. Deren Aufbau ist nun modular, ausgerichtet an den denkbaren Übermittlungsvarianten: „Das zwingt Unternehmen, sich mit ihrer Rolle als ver-antwortlicher Controller oder Prozessor und Auftragsver-arbeiter auseinanderzusetzen und die damit verbundenen Pflichten abzuleiten“, erklärt Oliver Süme, Vorsitzender des Vorstands und Vorstand Recht, Politik und Regulierung beim Verband der Internetwirtschaft Eco in Berlin. Aufgrund der komplexen Logik hinter der Modulwahl eignen sich die SCC sehr gut für Legal Tech-Lösungen: „Die Software leitet durch den Frageprozess und kombiniert die passenden Module.“ Ein solches Tool bieten sowohl Eco als auch Kanzleien wie Fieldfisher oder Oppenhoff an.
RISIKOANALYSE BLEIBT AUFWENDIG
Eine aufwendige Risikoanalyse ist weiterhin notwendig, kritisiert Tarek El Hawi, Senior Legal Counsel beim Zentralverband Elektro- und Digitalindustrie (ZVEI) in Frankfurt: „Es fehlt an konkreten Kriterien und positiven Beispielen der Aufsicht, die rechtssichere Korridore aufzeigen.“ Stattdessen ist im Rahmen des „Transfer Impact Assessment“ im Einzel-fall zu analysieren: Welche Gesetze des Drittlandes gelten für den Datentransfer? Wird der geforderte Datenschutz auch tatsächlich umgesetzt? Und falls dies wie in den USA nicht der Fall ist: Mit welchen technischen Sicherheitsmaßnahmen lässt sich der Zugriff durch den US-Geheimdienst ausschließen? Fragen, die gerade die vielen kleinen und mittleren Unternehmen der Elektro- und Digitalindustrie vor große Herausforderungen stellen, so El Hawi.
„In vielen Fällen hilft es, den Fokus darauf zu lenken, inwieweit Verarbeitungszwecke auch über qualifiziert pseudonymisierte Da-tensätze erreichbar sind.“
Dr. Angela Busche, Rechtsanwältin, Oppenhoff
UPDATE DER EDSA-GUIDELINES: SCHRITT IN DIE RICHTIGE RICHTUNG
Die aktualisierten Guidelines des Europäischen Datenschutzausschusses (EDSA) zum Drittlandtransfer von Mitte Juni gelten deshalb als Schritt in die richtige Richtung: „Der neue risikobasierte Ansatz ermöglicht Transfers ohne zusätzliche technische Maßnahmen, sofern die problematischen Vorschriften des Drittlandes auf die übermittelten Daten oder die Datenempfänger höchstwahrscheinlich nicht angewendet werden. Etwa wenn ein Zugriff durch US-Behörden nicht anzunehmen ist“, berichtet Dr. Angela Busche, auf Datennutzungsrechte spezialisierte Rechtsanwältin bei der Kanzlei Oppenhoff am Standort Hamburg. „Eine entsprechende Argumentationslinie müssen Unternehmen umfassend belegen. Dafür können sie sämtliche Informationsquellen wie Gerichtsurteile, UN-Resolutionen oder Reports der Global Privacy Assembly nutzen, um darzulegen, dass eine Branche nicht im Fokus der Sicherheitsbehörden ist.“ So sei auch vorstellbar, dass Branchenverbände künftig umfassende Gutachten bereitstellen, auf die Mitgliedsunternehmen dann verweisen können.
Dr. Jens Ambrock, Referatsleiter der Datenschutzaufsicht in Hamburg warnt jedoch davor, den risikobasierten Ansatz als Generalklausel zu verstehen: „Die Anforderungen des EDSA sind sehr strikt, wann Transfers keine zusätzlichen technischen Schutzmaßnahmen erfordern. Bei Videokonferenzsystemen von US-Anbietern wird dies in der Regel nicht gelingen. Und es reicht auch nicht, wenn ein Datenempfänger in den USA etwas kryptisch angibt: Es wurden 0-499 Anfragen der Sicherheitsbehörden gestellt.“ In der Praxis sei es nicht unüblich, dass US-Behörden mit einem einzelnen Zugriff verlangen, sämtliche Kundendaten zu übersenden. „Stattdessen muss es sich um wirkliche Erfahrungen han-deln, etwa durch Auswertung von Transparenzberichten oder branchenweite Analysen“, so Ambrock.
„Es fehlt an konkreten Kriterien und positiven Beispielen der Aufsicht, die rechtssichere Korridore aufzeigen.“
Tarek El Hawi, Senior Legal Counsel beim Zentralverband Elektro- und Digitalindustrie
US-ANBIETER REAGIEREN BEREITS
Die Hamburger Datenschutzaufsicht koordiniert seit Juli eine länderübergreifende Fragebogenaktion zum internationalen Datentransfer. Im Fokus sind vor allem der Einsatz von Mailing-Dienstleistern, Hosting von Internetseiten, Webtracking, Ver-waltung von Bewerberdaten oder der konzerninterne Austausch von Kunden- und Mitarbeiterdaten. Nach eigener Aussage soll die Prüfkampagne vor allem dazu beitragen, Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Die EU-Rechtsprechung samt ihrer Durchsetzung durch die Aufsicht wirken bereits, berichtet Ambrock: „Es bewegt sich unglaublich viel bei den amerikanischen Anbietern. War bislang im Zweifel nur ein Komplettwechsel des Anbieters möglich, bieten sich jetzt teilweise Alternativen durch die Wahl eines Preismodells mit angemessenem Datenschutzniveau.“
„In vielen Fällen hilft es, den Fokus darauf zu lenken, inwie-weit Verarbeitungszwecke auch über qualifiziert pseudonymi-sierte Datensätze erreichbar sind“, rät Oppenhoff-Anwältin Angela Busche. „Es geht um immer ausgefeiltere Methoden, die Leistung aufzusplitten: Im Drittstaat erfolgt die Leistungserbringung auf Basis pseudonymisierter Datensätze. Bei den letzten Verarbeitungsschritten nach Rückübermittlung in die EU veranlasst der Arbeitgeber über Algorithmen die Zuordnung auf dem Level individueller Mitarbeiter.“
HOHE ERWARTUNGEN AN DIE AMPELKOALITION
Vor allem aber könnten Fortschritte auf politischer Ebene endlich die ersehnte Erleichterung bringen, berichtet Jens Ambrock: „2022 dürfte ein Nachfolgeinstrument für das Privacy Shield kommen. Die große Frage bleibt: Handelt es sich um wirklich Neues oder droht wieder ein Scheitern vor dem EuGH? Abwarten ist also keine Lösung.“
Die aktualisierten EDSA-Guidelines erleichtern den inter-nationalen Datentransfer also nur sehr begrenzt. Ob die Verhandlungen über ein Nachfolgekommen für das Priva-cy Shield erfolgreich sind oder nicht – die Aufsicht zwingt Unternehmen, jetzt zu handeln. Umso mehr lohnt der Blick auf technische Lösungen für einen datenschutzkonformen Transfer in Drittländer.
PERSPEKTIVWECHSEL: SCHREMS-II ALS
BREMSKLOTZ FÜR INNOVATIONEN
Oliver Süme
Vorstandsvorsitzender, Vorstand Recht, Politik und Regulierung des Internetverbands Eco
Die Probleme beim internationalen Datentransfer betreffen nicht nur große Konzerne, sondern auch Startups. Mangels Rechtsabteilung fehlt ihnen oft die juristische Fachkenntnis, um die geforderte Dokumentation der Risikoabwägung für die Datenübertragung juristisch sauber vorzunehmen. Das gilt insbesondere im Hinblick darauf, ob ein Zugriff der US-Behörden auf Daten in ihrer Branche wahrscheinlich ist. Derzeit herrscht beispielsweise große Unsicherheit im Bereich Medizintechnik, obwohl Gesundheitsdaten kaum das Interesse der US-Sicherheitsbehörden wecken können. Bisher nehmen die Unternehmen in Deutschland die strenge Aus-legung der Aufsicht meist hin. Das wird aber zunehmend in Frage gestellt. Wir sehen, dass von Bußgeldern betroffene Betriebe zunehmend den Rechtsweg beschreiten. Infolgedessen rechnen wir mit Korrekturen der strikten Auffassung der Behörden durch die Rechtsprechung.
BRÜCKE ZU DIGITALER SOUVERÄNITÄT DER EU
Dr. Jens Ambrock
Referatsleiter der Datenschutzaufsicht Hamburg
Nach Schrems-II obliegt die umfassende Risikoanalyse dem Datenexporteur. Die Aufsichtsbehörden sind sich der Probleme der Praxis bewusst. Die Augen zu verschließen, ist jedoch keine Lösung. Das Urteil zwingt uns zu handeln. Aber wir bauen den Unternehmen eine goldene Brücke: Auch geplante Maßnahmen spielen eine Rolle. Klar ist: Ein Anbieterwechsel braucht Zeit. Je nachdem, wie groß das Unternehmen ist, wieviel Da-ten in den Systemen sind, sprechen wir nicht von wenigen Wochen. Wenn wir sehen: Dinge sind noch nicht fertig infolge der Komplexität, aber es gibt einen durchdachten Plan und eine realistische Zeitschiene, ist das eine gute Antwort. Haben Unternehmen dagegen nur abgewartet, fällt es schwer, von Sanktionen abzusehen. Für die Bürokommunikation oder Datenspeicherung kann gewöhnlich auf Dienste ohne Drittstaatenübermittlung zurückgegriffen werden. Durch die Umsetzung des Grundsatzes der digitalen Souveränität in der EU wird dies künftig leichter.
Franziska Jandl