In diesem Post schauen wir uns die sechs Rechtsgrundlagen an und die Verwendung von Standardvertragsklauseln für die Datenverarbeitung in Drittländern bzw. der USA.
Datenverarbeitung: Sechs Rechtsgrundlagen
Es gibt 6 Rechtsgrundlagen, die man braucht, um personenbezogene Daten verarbeiten zu können. Eine Rechtsgrundlage muss gegeben sein, damit Du ohne Probleme personenbezogene Daten verarbeiten kannst. Zu finden sind die Rechtsgrundlagen in Artikel 6 DSGVO. Folgend sind die sechs Grundlagen zusammengefasst:
a.) Einwilligung: Der oder die Betroffene muss die Einwilligung für die Verarbeitung geben
b.) Vertrag: Verarbeitung von personenbezogenen Daten durch Vertrag
c.) Rechtliche Pflicht: Daten werden auf Basis einer rechtlichen Verpflichtung verarbeitet
d.) Leben und Tod: Verarbeitung von personenbezogenen Daten erforderlich, um lebenswichtige Interessen zu schützen
e.) Öffentliches Interesse: In der Privatwirtschaft fast gar keine Anwendung –
f.) Interessenabwägung: Die Interessen der Verarbeitung von personenbezogenen Daten müssen gut entschieden werden, um den Schutz der betroffenen Person weiterhin zu gewährleisten
Jeden Prozess, in dem man Daten verarbeitet sollte man jedoch immer auf den Prüfstand stellen. Im Video haben wir nochmal alle Rechtsgrundlagen zusammengefasst.
Und wenn dich auch Betroffenenrechte und was du bei deren Datenverarbeitung beachten musst interessieren, findest du hier den passenden Blogpost.
Datenverarbeitung und Datentransfer
Darf man Daten in einem Drittland, also in einem Land außerhalb der EU überhaupt verarbeiten beziehungsweise in ein Drittland transferieren? Weißt du was Standardvertragsklauseln beziehungsweise Standard Contract to classes bedeuten und weißt du, warum diese in der Zusammenarbeit bzw. in der Datenverarbeitung mit den USA auf einmal so wichtig sind?
Gehen wir mal kurz einen Schritt zurück. Es geht hier um das Thema wie der Transfer von personenbezogenen Daten aus EU-Staaten, wo die DSGVO gültig ist, zu Drittstaaten, wo die DSGVO der EU natürlich nicht gültig ist. Darf man das überhaupt? Und wenn ja, wie? Antwort: Ja man darf es. Die DSGVO besagt, dass es für Länder außerhalb der EU 3 Möglichkeiten gibt, um den Datentransfer also den Transfer von personenbezogenen Daten zu ermöglichen.
Der Erste ist der Angemessenheitsbeschluss, zweitens geeignete Garantie und drittens Ausnahmesituationen.
Ein Beispiel für einen Angemessenheitsbeschluss, der in der Vergangenheit stattgefunden hat, ist Großbritannien nach dem Brexit. Da gab es seitens der EU ein Angemessenheitsbeschluss und dadurch können problemlos personenbezogene Daten zwischen Großbritannien und der EU transferiert werden. Der BfDI (also Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) sagt Zita: „Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme.“
Die aktuelle Liste der Länder, die einen Angemessenheitsbeschluss beinhaltet, findet ihr hier.
Falls es keinen Angemessenheitsbeschluss gibt, dann geht die DSGVO erstmal davon aus, dass kein angemessenes Datenschutzniveau besteht. Außer: Es gibt geeignete Garantien.
Und hier kommen die Standardvertragsklauseln ins Spiel. Die Europäische Kommission hat im Juni 2021 SVK erlassen im „Durchführungsbeschluss (EU) 2021/914“. Seit dem 27. September 2021 können nur noch die aktuellen SVK abgeschlossen werden. Ab 27.12.2022 wiederrum, müssen alle alten SKVs auf die neuen umgeändert worden sein. Das wird also ein wichtiges Datum!
Dann gibt’s neben den SVK noch andere Garantien, zum Beispiel einzeln ausgehandelte Vertragsklauseln, die jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden müssen. Dann gibt es noch die verbindlichen internen Datenschutzvorschriften oder auf Englisch: die Binding Corporate Rules. das wird vor allem von großen und international tätigen Konzernen mit internem Datenfluss unter anderem auch in Drittländer verwendet. Auch die Binding Corporate Rules müssen durch die zuständige Aufsichtsbehörde genehmigt werden und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden. Dann gibt es noch die genehmigten Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus und spezielle Garantien für Behörden.
Als drittes gibt es noch die Ausnahmesituation. Es kann zum Beispiel sein, wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat. Das heißt man könnte ja eigentlich argumentieren: Es braucht gar keine Standardvertragsklauseln, ich brauche auch keine Binding Corporate Rules. Ich informiere einfach den Betroffenen ausführlich darüber, dass ich seine Daten in die USA weitergebe. Dann stimmt er zu und alles ist fine. Ja in der Theorie stimmt das zwar, in der Praxis sieht das anders aus. Diese Information muss so umfangreich und aufklärend sein, dass es in der Praxis nicht wirklich praktiable ist. Also leider doch per SVKs.
Eine zweite Ausnahme kann sein, dass die Datenübermittlung aus wichtigen Gründen für das öffentliche Interesse notwendig ist. Oder wenn die Datenübermittlung für die Verwahrung der zwingend berechtigten Interessen der Organisation erforderlich sind. Das sind aber alles in Anführungsstrichen gefährliche Ausnahmen, weil wenn man von der Aufsichtsbehörde abgemahnt wird oder einen Bußgeldbescheid bekommt, muss man sich anwaltlich beraten lassen. Das kann teuer werden.
Warum ist die Datenverarbeitung in den USA denn so kritisch?
Grund dafür ist der Cloud Act, welcher seit 2018 besteht. Cloud Act steht für Clarifying Lawful Overseas Use of Data Act. Der Cloud Act dient als Klarstellung. Die US-Sicherheitsbehörden wollen klarstellen, dass seitens des US-Rechts die Zugriffsrechte auf personenbezogene Daten auch dann gelten, wenn diese Daten außerhalb der USA verarbeitet werden und von einem US-amerikanischen Unternehmen kontrolliert werden. Und damit wird ja eigentlich schon deutlich, wo das Problem liegt. Die USA könnte Zugriff auf personenbezogene Daten von Unternehmen, die zum Beispiel in Deutschland tätig sind haben. Das heißt, wenn du einen Anbieter benutzt, welcher zwar Serverstandorte im europäischen Raum hat und vielleicht einen Datenschutzbeauftragten in Europa einsetzt, der aber im Endeffekt ein US-amerikanisches Unternehmen ist, dann kann es im Zweifel passieren, dass die US-Sicherheitsbehörden deine personenbezogenen Daten, die deinen Kunden und Mitarbeiter gehören, haben möchte. Das war vorher nicht so, bis 2018 konnte man klar unterscheiden zwischen dem Datentransfer in die USA und der Zugriffsgewährung an die Sicherheitsbehörden.
Dazu muss man allerdings sagen, dass es sich hier nicht um eine systematische großangelegte Überwachung handelt, sondern dass die Regelung bei gezielten Anordnungen von US-Sicherheitsbehörden bezüglich personenbezogener Daten in spezifischen Einzelfällen gilt. Wie begründet die sind, ist eine andere Frage. Allerdings muss man jetzt auch so sehen, dass es den Cloud Act eigentlich gar nicht bräuchte, weil er in direkter Konkurrenz zu der Kooperationsvereinbarung zwischen den USA und der EU steht.
Kurzes Zwischenfazit: Die Zusammenarbeit mit den USA in Bezug auf Daten und den Datenschutz ist echt ein Problem, vor allem seit es des Privacy Shield nicht mehr gibt. Als kleine Erinnerung: Das Privacy Shield war wie eine Art Regenschirm unter denen sich US-amerikanische Unternehmen stellen konnten und dann waren sie in dem Moment frei um mit EU-Unternehmen zusammenzuarbeiten. Erschwerend kommt hinzu, dass Tools und Softwareprogramme alles Unternehmen sind, die in der Regel sehr gute Lösungen anbieten, die aber alle in den USA ihren Hauptsitz haben. Wenn es genau die gleichen Anbieter im EU-Raum gäbe, hätten wir ja nicht das Problem. Dann könnten wir einfach umstellen. Warum ist es so schwer mit US-amerikanischen Unternehmen zusammenzuarbeiten? Erstens: Es gibt keinen Privacy Shield mehr. Zweitens: Es gibt diesen Bösen Cloud Act. Drittens: Es gibt noch keine neue Form der Privacy Shields, auch wenn an denen gearbeitet werden soll.
Standardvertragsklauseln
Also, was sind nun Standardvertragsklauseln. Das ist eine Art vorgefertigtes Vertragsmuster was von der EU-Kommission erarbeitet und zugestimmt wurde. Dabei gibt es 2 Sets von Standardvertragsklauseln. Erstens die Datenübermittlung zwischen Unternehmer und dem Auftragsverarbeiter und zweitens die Übermittlung personenbezogener Daten in Drittstaaten. Wichtig: Dieses Vertragsmuster muss unverändert von den US-amerikanischen Unternehmen übernommen werden. Alle Verträge, die man vorher hatte, müssen auf den die bisherigen Standardvertragsklauseln angepasst werden. Frist dafür ist Ende 2022.
Als zweites solltet ihr eine Risikoanalyse vornehmen, Teile davon stellen das Transfer Impact Assessment dar:
1. Schritt habt ihr ja schon abgeschlossen: Datentransfers in die USA erkennen. Entweder arbeitet ihr direkt mit einem in den US ansässigem Unternehmen zusammen. Oder: Mit Unternehmen, die Subunternehmer aus den USA einsetzen (wenn unbekannt, nachfragen).
2. Schritt: (EU-)Alternativen prüfen: Das wird in der Regel negativ ausfallen. Die Frage ist nämlich, gibt es eine bessere Alternative in der EU. Ich persönlich brauchte für mein Unternehmen Slack und habe nach einer Alternative gesucht. Da habe ich Stackfield gefunden – die sind ganz gut und vergleichbar. Kriterien: Gleiche Eignung, Funktionen, Usability, Kosten.
3. Schritt: Rechtsgrundlagen prüfen
a) Abschluss von Standardvertragsklauseln (Regelfall)
b) Binding Corporate Rules
c) Erforderliche Datentransfers
d) Einwilligungen
e) Weitere Ausnahmen
4. Schritt: Anfrage stellen
5. Schritt: Bestimmung des Risikos für Betroffene
6. Schritt: Bewertung der Schutzmaßnahmen
a) Verarbeitung auf EU-Servern.
b) Verschlüsselung.
c) Kein Vorhandensein von Backdoors.
d) Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörden.
e) Zusicherung der Information über Behördenanfragen.
f) Nachweis durch Audits und Zertifikate.
g) Art der Zusicherungen (einseitig/ vertraglich).
Schaut, dass in eurem Hauptvertrag Garantien drin sind, dass die Daten unter dem Cloud Act nicht ohne weiteres an die US-Sicherheitsbehörden ausgeliefert werden.
h) Keine Änderung der Standardvertragsklauseln.
i) Information der Betroffenen über Risiken der US-Verarbeitung.
7. Schritt: (Negatives Ergebnis)
a) Verarbeitung einstellen und eine Alternative wählen
b) Anfrage bei der Datenschutzaufsichtsbehörde stellen
c) Risiko eingehen
