Bereits mit dem Urteil des EuGH zu Schrems II wurde entschieden, dass die EU-Standardvertragsklauseln nicht ausreichend sind, um damit eine Datenübermittlung in die USA zu rechtfertigen, da die Rechtsvorschriften zum CloudAct und FISA702 die Rechte und Freiheiten der betroffenen Personen nicht ausreichend berücksichtigen.
(siehe Informationsschreiben vom 17.07.2020, 22.07.2020 und 24.07.2020)
Seitdem wurde die Nutzung von Diensteanbietern im Drittland, gerade in den USA, kontrovers diskutiert und einige Aufsichtsbehörden gelangten zu der Erkenntnis, dass die Nutzung entsprechender Dienste von Google, Microsoft und Zoom (beispielhaft) nicht mit den Vorschriften zum Datenschutz zu vereinbaren sei.
Eigentlich alle Anbieter haben recht schnell reagiert und, sofern zuvor auf das EU-US-Privacy Shield für die Datenübermittlung gesetzt wurde, die Vereinbarungen auf die EU-Standardvertragsklauseln geändert. Eine entsprechende Anpassung war auch unsere Empfehlung vom 22.07.2020 und sollte hoffentlich mittlerweile bei allen betroffenen Auftragnehmern durch die Verantwortlichen umgesetzt worden sein.
Aber Moment, war da nicht die Aussage des EuGH, dass die EU-Standardvertragsklauseln nur unter Einbeziehung weiterer Maßnahmen als Rechtsgrundlage nutzbar sind?
Welche Maßnahmen dies sind ist dabei nicht festgelegt worden. Die Maßnahmen müssen aber ausreichen, damit der Verantwortliche in Rahmen seiner Risikobewertung zu dem Ergebnis kommt, dass der Schutz personenbezogener Daten auch im Rahmen der Datenübermittlung angemessen berücksichtigt ist und damit die Rechte und Freiheiten der Betroffenen ausreichend gewährleistet sind.
Dies bedeutet, genau wie in Bezug auf unsere Information zu technischen und organisatorischen Maßnahmen vom 09.06.2021: Grundlegend falsch ist nur gar keine Maßnahmen zu ergreifen!
Mittlerweile haben die großen Diensteanbieter, wie Microsoft, bereits eigene Maßnahmen bekanntgegeben, die eine entsprechende Sicherstellung der Rechte der Betroffenen gewährleisten soll. Für die Diensteanbieter ist dies aber ein Ritt auf der Rasierklinge – einerseits droht der Verstoß gegen die DSGVO, andererseits ein Verstoß gegen die Rechtsvorschriften in den USA.
Aus unserer Sicht sollten die vom Anbieter angebotenen Maßnahmen mit Vorsicht genossen werden und durch weitere eigene Maßnahmen flankiert werden.
Vergessen Sie dabei aber auch die Nachweispflicht nicht!
Wir haben daher bereits am 29.07.2020 einen Fragebogen für unsere Mandanten entworfen, womit eine entsprechende Dienstleisterbewertung möglich wird. Diese Fragebögen haben wir aus gegebenen Anlass nochmals aktualisiert und um neue Informationen ergänzt.
Dabei kann der Fachverantwortliche zuerst einmal eine Dokumentation dazu anlegen, welcher Dienstleister mit der Verarbeitung welcher Daten betraut wird, welche Rechtsgrundlage herangezogen wird, ob es alternative Anbieter in Ländern mit angemessenem Sicherheitsniveau gibt und wenn ja, warum trotzdem am bestehenden Dienstleister festgehalten wird. Des Weiteren kann der Fachverantwortliche dokumentieren, welche Maßnahmen der Dienstleister und der Verantwortliche ergriffen haben, damit die Sicherheit der Daten gewährleistet wird. (BK3 / Drittland / EuGH – Bewertung Auftragnehmer mit Drittlandstransfer.docx)
Diese Bewertung kann dann der Geschäftsleitung zusammen mit dem Dokumentationsfragebogen zur Freigabe vorgelegt werden. In diesem Fragebogen werden die Kerninhalte der Bewertung nochmals zusammengefasst und, sofern ein Restrisiko nicht ausgeschlossen werden kann, von der Geschäftsleitung dieses Restrisiko akzeptiert. (BK3 / Drittland / EuGH – Dokumentation Auftragnehmer mit Drittlandstransfer)
Auch die Aufsichtsbehörden werden aktiv!
Wir können allen unseren Mandanten die Umsetzung der Dokumentation zur Einhaltung der Nachweis- bzw. Rechenschaftspflichten nur empfehlen. Zudem unterstützen wir Sie gerne und haben auf Basis von Microsoft 365 ein Muster im DSMS bereitgestellt.
Die Verantwortung verbleibt aber beim Unternehmen.
Allerdings betrachten auch die Aufsichtsbehörden die Schonfrist so langsam für beendet. So hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Satz an Fragebögen veröffentlicht, der zu einer länderübergreifenden Kontrolle der Datenübermittlungen durch die Datenschutzaufsichtsbehörden gehört.
Die Aufsichtsbehörden fordern interessanterweise fast genau die gleichen Informationen an, wie sie von den Fachverantwortlichen im Rahmen der Bewertung zusammengetragen werden.
Fazit
Wie eingangs bereits erwähnt, es ist nur falsch keine Maßnahmen zu treffen, denn dann hat das Unternehmen das EuGH-Urteil grob fahrlässig ignoriert. Sobald sich der Verantwortliche nachvollziehbare Gedanken zur Datenübermittlung gemacht hat und dabei sinnvolle Maßnahmen umgesetzt hat, sollte die grobe Fahrlässigkeit keine Rolle mehr spielen.
Es kann immer noch zu Diskussionen mit der Aufsichtsbehörde kommen, weil getroffene Maßnahmen möglicherweise aus Sicht der Behörde nicht ausreichend sind, oder weil die Bewertung zu einem anderen Ergebnis führt – da der EuGH aber nicht festgelegt hat, welche Maßnahmen konkret notwendig sind, besteht hier Spielraum für eine konstruktive Diskussion mit den Aufsichtsbehörden!
Gehen Sie das Thema, sofern noch nicht geschehen, daher unverzüglich an, damit mögliche Fragebögen der Aufsichtsbehörden Sie nicht aus der Ruhe bringen können!
Wir unterstützen Sie gerne!
Ihre Datenschutzbeauftragten der CompliPro GmbH
PS: Eine Zusammenstellung an möglichen Maßnahmen in Bezug auf Microsoft 365 haben wir unseren Mandanten im Rahmen unserer „Orientierungshilfe zu Microsoft 365“ im BK5 unseres DSMS zur Verfügung gestellt (siehe Informationsschreiben vom 09.06.2021).
Quelle: https://datenschutz-hamburg.de/pages/fragebogenaktion/