Empfehlungen des Europäischen Datenschutzausschusses: ein Silberstreif am Horizont für Datenexporteure?
Der Europäische Datenschutzausschuss („EDSA“) ist eine offizielle Einrichtung der Europäischen Union, die mit der Aufgabe betraut ist, die einheitliche Anwendung der Datenschutz-Grundverordnung („DSGVO“) in der gesamten EU zu überwachen und sicherzustellen. Seine Existenz und sein Auftrag sind in Art. 68 ff. DSGVO definiert. Im Rahmen dieser Funktion gibt der EDSA regelmäßig Stellungnahmen, Leitlinien und Empfehlungen zu Fragen des europäischen Datenschutzrechts heraus. Die Papiere des EDSA sind eine wichtige Informationsquelle zum europäischen Datenschutzrecht und zu dessen Auslegung.
Am 10. November 2020 veröffentlichte der EDPB zwei „recommendations“, also Empfehlungen: eine zu „Überwachungsmaßnahmen“ und wie sich diese auf europäische „wesentliche Garantien“ auswirken können. Und eine weitere zu „Übermittlungsinstrumenten“ und ergänzenden Maßnahmen, die dazu dienen sollen beim Export von Daten aus der EU in Drittstaaten die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten.
Anlass für die Schaffung dieser Papiere ist offensichtlich das im Juli 2020 ergangene „SCHREMS II“-Urteil des EuGH (EuGH Az. C311-18). In dieser Entscheidung hat der EuGH den Angemessenheitsbeschluss der Europäischen Kommission für Datenexporte in die USA (besser bekannt unter dem Namen „Privacy Shield„) aufgehoben und damit im Handstreich die Legitimationsgrundlage für viele (wenn nicht sogar die meisten) Datenexporte aus der EU in die USA außer Kraft gesetzt. Die Entscheidung basierte im Kern auf der Feststellung, dass die Überwachungsmechanismen und Befugnisse der US-Geheimdienste nicht im Einklang stehen mit dem Datenschutzniveau, das Europäern unter der DSGVO garantiert wird und das aufrechtzuerhalten ist, wenn ihre Daten in Länder außerhalb des Geltungsbereichs der DSGVO exportiert werden.
Während der EuGH in seiner Entscheidung sehr deutlich gemacht hat, wann ein Datenexport in die USA als rechtswidrig anzusehen ist, hat er die Frage, wie und wann ein solcher Datenexport noch rechtmäßig sein könnte de facto unbeantwortet. Das Ergebnis ist eine Situation, die sowohl für die Datenexporteure als auch für deren Rechtsberater höchst unbefriedigend ist: Es gibt viele Unternehmen, die aufgrund der Natur ihrer Geschäftstätigkeit keine andere Wahl haben, als Daten in die USA zu exportieren. Mit seinem klaren „Nein“ zu „Privacy Shield“ und der damit verbundenen Formulierung von (sehr) hohen Anforderungen an die Legitimität von Datenexporten hat der EuGH diese Unternehmen im Regen stehen lassen: Neben der Aussage, dass die „Standarddatenschutzklauseln“ im Sinne Art. 46 Abs. 2c DSGVO eine mögliche Legitimation für Datenexporte bleiben könnten, gibt das „SCHREMS II“-Urteil wenig bis gar keine praktischen Hinweise, wie die Anforderungen zu erfüllen sind – und lässt damit auch offen, ob diese überhaupt zu erfüllen sind.
An dieser Stelle kommen nun der EDSA und die oben genannten Empfehlungen ins Spiel. Sie knüpfen an das Urteil des EuGH an und versuchen, offene Fragen zu beantworten und Datenexporteuren eine Handreichung in der aktuell schwierigen Lage zu geben.
1. Datenexporte in die USA: immer noch möglich
Die erste, sehr wichtige Botschaft, die man aus den EDSA-Empfehlungen mitnehmen kann, ist nicht explizit ausformuliert: Datenexporte in die USA sind weiterhin möglich.
Das ist keine Selbstverständlichkeit: die Bewertung der Rechtslage in den USA durch den EuGH klingt wenig vielversprechend und basiert im Wesentlichen auf der Annahme, dass Grundrechte der EU-Datensubjekte nicht hinreichend geschützt werden. „Ein bisschen schwanger“ gibt es bekanntlich nicht und ebenso digital kann man auch die Frage sehen, ob Grundrechtschutz geschützt werden. Entsprechend könnte man die Bewertung des EuGH auch als eine absolutes Verbot von Datenexporten in die USA lesen.
Allerdings hat der EuGH in seiner „SCHREMS II“-Entscheidung darauf hingewiesen, dass die Zulässigkeit eines Datenexports in jedem Einzelfall zu prüfen sei. Dieser Teil des Urteils wird nun auch vom EDSA betont: Jeder Datenexport muss im Einzelfall bewertet werden. Würde man aber die Bewertung der Rechtslage in den USA durch den EuGH als absolute Beschränkung von Datenexporten verstehen, wäre eine Einzelfallprüfung von Datenexporten schlicht überflüssig.
Dieser Einzelfallbezogene Ansatz spiegelt zwei zentrale, systemische Prinzipien der DSGVO wider: das Konzept der „Verantwortlichkeit“ und das Konzept des „risikobasierten Ansatzes“. Vor allem ist nach der DSGVO nicht jede Verarbeitung personenbezogener Daten „gleich“. Weder verlangt die DSGVO verlangt, dass die Schutzmaßnahmen immer die höchstmöglichen sein müssen. Noch verlangt sie, dass für jede einzelne Verarbeitung identische Schutzmaßnahmen ergriffen werden müssen. Vielmehr ist der Verantwortliche – also derjenige, der für die Datenverarbeitung verantwortlich (und schadensersatz- und bußgeldpflichtig gemäß Art. 82 ff. DSGVO) ist – durch die DSGVO ermächtigt, im Rahmen einer angemessenen Risikobewertung zu bestimmen, dass einige Datenverarbeitungen schwächeren Schutzmaßnahmen unterliegen können als andere, risikoreichere Datenverarbeitungen. Dementsprechend bleibt der Datenexport in die USA als solcher möglich – wenn die gesetzlichen Anforderungen erfüllt sind.
2. Die EDSA „roadmap to compliance“
Wie diese Anforderungen zu erfüllen sind, ist Gegenstand der Empfehlungen des EDSA. Das Papier enthält eine „roadmap“ mit sechs Schritten, anhand derer die Rechtmäßigkeit eines Datenexports bestimmt werden kann bzw. soll. Diese Schritte spiegeln, wenig überraschend, insbesondere die oben erwähnten Prinzipien der „Verantwortlichkeit“ und des „risikobasierten Ansatzes“ wider:
Schritt 1: Kenne deine Datenexporte!
Jeder datenschutzrechtlich Verantwortliche sollte alle in seiner Verantwortung erfolgenden Datenexporte identifizieren – ohne dieses Wissen ist eine Risikobewertung solcher Transfers natürlich unmöglich.
Schritt 2: Identifiziere Deine Legitimationsgrundlage!
Datenexporte sind nur rechtmäßig, wenn sie im Rahmen und auf Basis einer Legitimationsgrundlage erfolgen – d.h. auf einer der abschließend in Kapitel V DSGVO (Art. 46 bis 49 DSGVO) aufgezählten Tatbestandsalternativen. Entsprechend muss jeder Datenexport, der in Schritt 1 identifiziert wurde, durch mindestens einem der von der DSGVO vorgesehenen Instrumente zugeordnet und dessen Voraussetzungen müssen erfüllt sein.
Schritt 3: Analysiere das Risiko!
Jetzt kommen die kniffligen Fragen: Ist erst jeder einzelne Datenexport und seine Legitimationsgrundlage identifiziert, muss nun die Wirksamkeit des Instrumentes seiner Legitimation im Rahmen einer Risikoanalyse überprüft werden. Mit anderen Worten: das dem konkreten Datenexport innewohnende Risiko muss identifiziert und bewertet werden. Und anschließend muss die Frage beantwortet werden, ob im Rahmen der konkreten Anwendung der Legitimationsgrundlage dieses Risiko hinreichend adressiert wird.
Dies ist insbesondere dann entscheidend, wenn man sich auf „Standarddatenschutzklauseln“ im Sinne von Art. 46 Abs. 2 c DSGVO als Legitimationsinstrument verlässt – die nach dem Ableben von „Privacy Shield“ wohl derzeit das wesentliche Instrument für die Legitimation eines Datenexports in die USA darstellen. Dabei muss die Frage gestellt und beantwortet werden, ob vertragliche Verpflichtungen das Schutzbedürfnis auch gegen staatliches Handeln tatsächlich befriedigen können. In der Risikoanalyse gilt es eine Vielzahl möglicher Fragestellungen zu berücksichtigen, wie z.B. die Rechtslage in dem Land, in das die Daten exportiert werden, bekannte Präzedenzfälle und die technischen, finanziellen und rechtlichen Ressourcen sowohl des Datenexporteurs als auch des Datenimporteurs.
Kommt die Risikoanalyse nun zu dem Ergebnis, dass das Legitimationsinstrument an und für sich dem Risiko des Datenexports hinreichend gerecht wird, ist alles in Ordnung und die „roadmap“ endet genau hier.
Schritt 4: Ergreife ergänzende Maßnahmen!
Hat die Risikoanalyse jedoch ergeben, dass das gewählte Legitimationsinstrument den Risiken des Datenexports nicht vollständig gerecht wird, bedeutet dies noch nicht, dass der Datenexport unzulässig ist. Festgestellte Defizite können durch „ergänzende Maßnahmen“ zu dem bereits gewählten Werkzeug geheilt werden.
Dies ist genau der Punkt, an dem der EuGH in „SCHREMS II“ aufgehört hat: Er stellte fest, dass „Standarddatenschutzklauseln“ weiterhin verwendet werden können, und dass diese durch zusätzliche „ergänzende Maßnahmen“ ergänzt werden sollten, falls die „Standarddatenschutzklauseln“ als unzureichend erachtet werden.
Das EDSA-Papier nun bietet sowohl eine theoretische Anleitung dafür wie solche „ergänzenden Maßnahmen“ möglicherweise aussehen können. Es bietet aber auch eine (ausdrücklich nicht erschöpfende) Liste konkreter praktischer Fälle und Beispiele für „ergänzende Maßnahmen“, die einbezogen werden könnten. Es wird jedoch gerade nicht gesagt, dass diese in jedem Fall wirksam sein könnten – angesichts der grundsätzlichen Aussage, dass jeder Datenexport von Fall zu Fall beurteilt werden muss, keine Überraschung.
Schritt 5: Setze die „ergänzenden Maßnahmen“ in die Praxis um!
Den Datenexport, das ihn legitimierende Werkzeug und die „ergänzenden Maßnahmen“ als solche identifiziert zu haben, reicht natürlich nicht aus – sie müssen umgesetzt und mit Leben gefüllt werden. Dies mag eine Binsenweisheit sein, ist aber dennoch unerlässlich: „Papier ist geduldig“ und natürlich sind selbst hervorragende Vereinbarungen zum Datenschutz wertlos, wenn sie nicht auch in die Praxis umgesetzt werden. Jede Datenschutzbehörde wird nicht nur darauf achten, dass die formellen Anforderungen an das Legitimitätsinstrument erfüllt sind, sondern natürlich auch darauf, ob es tatsächlich funktioniert und die Rechte der Betroffenen auch praktisch ausreichend schützt.
Schritt 6: Re-evaluiere in angemessenen Abständen!
Der letzte Schritt der EDSA-roadmap mag offensichtlich erscheinen, wird aber leicht vergessen: Datenprozesse sind nicht statisch und entwickeln sich ständig weiter, schon weil die eingesetzte Hard- und Software laufend erneuert und verbessert wird. Der datenschutzrechtlich Verantwortliche muss über seine Datenexporte und die zu ihrer Legitimation eingesetzten Werkzeuge sowie deren rechtliche, technische und praktische Auswirkungen auf dem Laufenden bleiben.
3. Unsere Meinung
Intention des EDSA war ausdrücklich, dort anzuknüpfen, wo der EuGH in „SCHREMS II“ aufgehört hat und zu versuchen, das EuGH-Urteil in die Praxis umzusetzen. Ist dieses Vorhaben gelungen? Dazu die typische Antwort eines Juristen: Es kommt darauf an. Namentlich auf die Perspektive und den konkreten Sachverhalt.
Die vom EDSA vorgeschlagene „roadmap“ ist sicherlich hilfreich, enthält aber im Grunde keine Neuigkeiten. Die genannten Schritte sind durch die DSGVO und ihre Systematik ohnehin impliziert. Sie sollten jedem datenschutzrechtlich Verantwortlichen, der sich um die Einhaltung der Vorschriften der DSGVO für seine Datenverarbeitung im Allgemeinen und für seine Datenexporte im Besonderen bemüht, bereits bekannt sein und bereits Anwendung finden.
Neu sind jedoch die verschiedenen Szenarien und Anwendungsfälle, die im Anhang zu den Empfehlungen niedergeschrieben sind und einige Möglichkeiten aufzeigen, wie man (nicht) erfolgreich mit den Anforderungen der DSGVO umgehen kann. Darüber hinaus werden verschiedene mögliche „ergänzende Maßnahmen“ zu den „Standarddatenschutzklauseln“ genannt, die in Situationen eingesetzt werden können, in denen diese allein nicht ausreichen (was nach „SCHREMS II“ sicherlich bei allen Datenexporten in die USA der Fall ist). Als solche erfüllen sie den beabsichtigten Zweck, da sie Inspiration und eine Orientierungshilfe bieten – nicht weniger, aber auch nicht mehr.
Insgesamt wird jeder enttäuscht sein, der für seine datenschutzrechtlichen Herausforderungen auf eine einfache und bequeme Lösung von der Stange hofft. Denn eine solche bietet auch der EDSA nicht. Vielmehr betonen die Empfehlungen, dass es so etwas wie eine Lösung von der Stange nicht gibt und auch nicht geben kann: Jeder einzelne Datenexport muss bewertet und ein seinem inhärenten Risiko angemessenes Legitimationsinstrument gefunden, theoretisch aufgesetzt und praktisch implementiert werden. Entsprechend bleibt die Situation der verantwortlichen Datenexporteure unbefriedigend – es gibt keine einfache Antwort und keine schnelle, allgemein gültige Lösung für die Herausforderungen, die die DSGVO für den Datenexport stellt.
Die gute Nachricht ist jedoch: die Abwesenheit konkreter, allgemein gültiger Hilfestellungen gibt jedem datenschutzrechtlich verantwortlichen Datenexporteur auch die Freiheit, selbst zu bestimmen, welche zusätzlichen ergänzenden Maßnahmen angemessen sein könnten. Die DSGVO erlaubt ihm ausdrücklich, von Fall zu Fall selbst zu über die Mittel und Wege zu entscheiden, wie er seinen Datenexport legitimiert – sofern die getroffenen Maßnahmen dem jeweiligen Risiko angemessen sind.