5. August 2021 Dr. Michael Rath*

Schrems II Checkliste: So geht rechtskonformer Datentransfer

Seit Schrems II müssen sich Unternehmen mit der Frage befassen, wie sie Datentransfers in Staaten außerhalb der europäischen Wirtschaftsraumes rechtskonform gestalten können. [...]

Standarddatenschutzklauseln bilden den Grenzzaun für Daten, die mit Ländern außerhalb der EU ausgetauscht werden. Die fortlaufenden Anpassungen dieser Regelungen sollten Unternehmen im Blick haben (c) pixabay.com

Auf das Privacy Shield kann die Datenübertragung in die USA nicht mehr gestützt werden und auch die Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) reichen trotz der jüngsten Novelle vom 4.Juni 2021 nicht in jedem Fall aus. Zudem werden die neuen SCC, trotz ihrer generellen Wirksamkeit, von Datenschützern zunehmend kritisch gesehen. Um die Standarddatenschutzklauseln weiter verwenden zu können, müssen Unternehmen das Schutzniveau des betroffenen Drittstaates kritisch überprüfen und gegebenenfalls zusätzliche Maßnahmen ergreifen.

Schrems II: Zur Compliance in 6 Schritten

Als Reaktion auf die Schrems-II-Entscheidung hat der Europäische Datenschutzausschuss (EDSA) am 10. November 2020 eine Reihe von Handlungsempfehlungen verabschiedet. Nur zwei Tage später veröffentlichte die Europäische Kommission ihren Entwurf für eine Neufassung der Standarddatenschutzklauseln. Am 4. Juni 2021 veröffentlichte die EU-Kommission die neuen SCC. Diese bringen Unternehmen zwar mehr Klarheit, erzeugen jedoch auch dringenden Handlungsbedarf. Die neuen SCC unterscheiden sich deutlich von den bisherigen Standarddatenschutzklauseln. Sie sind als „Module“ strukturiert und decken Übermittlungen in allen denkbaren Konstellation ab. Nach Inkrafttreten der Neufassung ist derzeit geplant, dass die alten Klauseln nach einer Karenzzeit von 18 Monaten ab Veröffentlichung der neuen SCC ungültig werden und nach Ablauf weiterer 15 Monate muss die Umstellung auf die neuen SCC abgeschlossen sein.

Um unnötige Mehrarbeit und problematische rechtliche Graubereiche zu vermeiden, sollten Unternehmen bereits jetzt abgeschlossene oder noch abzuschließende Standarddatenschutzklauseln an die neuen Anforderungen anpassen und eine Öffnungsklausel aufnehmen, die nach Wirksamwerden der neuen SCC und Ablauf der Karenzzeit eine leichtere Vertragsanpassung ermöglicht. Zur Unterstützung der Verantwortlichen bei der Anpassung hat der EDSA am 18. Juni 2021 Empfehlungen veröffentlicht, um den Verantwortlichen einen Leitfacen an die Hand zu geben. Die folgenden sechs Schritte spielen dabei eine wichtige Rolle:

1. Checkliste nutzen, Datentransfers erfassen

Zunächst sollten in einem ersten Schritt sämtliche Datenübertragungen in Drittstaaten, sowie der Einsatz von Drittstaaten-Dienstleistern identifiziert werden. Diese Datentransfers müssen einer umfassenden Evaluation hinsichtlich ihres Risikos unterzogen werden, wobei auch risikoerhöhende und -minimierende Faktoren zu berücksichtigen sind. An dieser Stelle sollte untersucht werden, ob der Zugriff auf unverschlüsselte Daten im Drittstaat zwingend notwendig ist. Eine Kategorisierung der Datenübermittlungen kann anhand der nachfolgenden Checkliste, die per Download zur Verfügung steht, durchgeführt werden.

2. Geeignete Garantien identifizieren

Im Anschluss daran empfiehlt es sich zu untersuchen, auf Grundlage welcher geeigneter Garantien der Datentransfer bisher erfolgt ist – bestehende Vereinbarungen und Maßnahmen sollten überprüft werden. Dabei sollte insbesondere zwischen Übertragungen auf Basis des Privacy Shields (welche so nicht mehr zulässig sind) und solcher durch Standarddatenschutzklauseln unterschieden werden. Handelt es sich dabei um einen Angemessenheitsbeschluss,müssen keine weiteren Maßnahmen unternommen werden, solange er in Kraft ist.

Bitkom: Mehr Rechtssicherheit bei globalen Datentransfers

3. Rechtsordnung des Drittlandes überprüfen

Der EDSA verlangt ausdrücklich, dass Unternehmen die Angemessenheit des Datenschutzniveaus im Land des Datenempfängers kritisch überprüfen. In diesem Zusammenhang sollten auch die Datenimporteure einbezogen werden. Dabei ist wichtig, welchen Regelungen sie in ihren Sitzländern unterliegen und ob sie ihre Pflichten aus den SCC einhalten können. Der einschlägige rechtliche Rahmen kann dabei von unterschiedlichen Aspekten wie der Branche oder den involvierten Akteuren abhängen.

Führt die Prüfung zu dem Ergebnis, dass die gesetzlichen Regelungen oder sonstige Praxis im Drittland die Effektivität der SCC beeinträchtigen, müssen Unternehmen als Datenexporteure zusätzliche Maßnahmen ergreifen. Besonders wichtig ist auf dieser Stufe, sämtliche Evaluierungsmaßnahmen sorgfältig zu dokumentieren, um im Ernstfall die Nachweisbarkeit gegenüber den Aufsichtsbehörden sicherstellen zu können.

Vom Ergebnis der Risikobewertung hängt ab, welche weiteren Schritte notwendig sind. Neben zusätzlichen technischen und/oder vertraglichen Maßnahmen kann es auch erforderlich sein, die Übermittlung in gewisse Drittstaaten gänzlich zu unterbinden und dafür entsprechende Exit-Strategien auszuarbeiten.

4. Zusätzliche Maßnahmen ergreifen

Im vierten Schritt erfolgt eine Anpassung der technisch-organisatorischen und/oder vertraglichen Maßnahmen an die Anforderungen des EDSA. In seinen Empfehlungen nennt der Europäische Datenschutzausschuss verschiedene Konstellationen und welche konkreten Maßnahmen in diesen Fällen vereinbart werden können.

Das Repertoire reicht dabei von stärkerer Verschlüsselung, über erhöhte Transparenzverpflichtungen bis hin zu Maßnahmen zur Datenminimierung. Ebenso thematisiert wird die Vorgabe, Rechtsmittel gegen den Zugriff durch Regierungsbehörden auszuschöpfen und Statistiken über derartige Zugriffe zu führen.

Die Verschlüsselung der Daten gewährleistet ein angemessenes Schutzniveau in einem unsicheren Drittstaat aber nur, wenn die Daten durchgehend verschlüsselt und pseudonymisiert bleiben. In diesem Zusammenhang sieht der EDSA besonders die Übermittlung unverschlüsselter Daten an Cloud-Dienstleister in Drittstaaten ohne adäquates Schutzniveau sehr kritisch. In diesem Schritt ist die Dokumentation der Maßnahmen für den Compliance-Nachweis gegenüber der Aufsichtsbehörde ebenfalls von besonderer Bedeutung.

5. Formelle Verfahrensschritte beachten

Aus formeller Sicht können sich die Anforderungen an eine Anpassung der bestehenden Regelungen je nach gewählter, geeigneter Garantie unterscheiden. So muss beispielsweise die Aufsichtsbehörde informiert werden, wenn die Standarddatenschutzklauseln abgeändert oder zusätzliche Klauseln eingefügt werden sollen, die den Grundentscheidungen widersprechen.

6. Regelmäßige Überprüfungen fahren

Ob die getroffenen Maßnahmen den Anforderungen zur Wahrung eines angemessenen Schutzniveaus bei einem Drittstaatentransfer genügen, muss kontinuierlich evaluiert werden. Dies gilt in der momentanen Übergangsphase bis zum Wirksamwerden der neuen Standarddatenschutzklauseln umso mehr, da bestehende Vereinbarungen im Laufe des Jahres 2021 an die neue Rechtslage angepasst werden müssen. Je nach Umfang des Drittstaatentransfers sollten Unternehmen bereits jetzt die Umsetzung der neuen SCC planen und gegebenenfalls rechtlichen Rat einholen.

Der Neufassung der Standarddatenschutzklauseln nach zu urteilen, dürfte sich in Sachen Drittstaatentransfer noch einiges ändern. Sie greifen viele Empfehlungen des EDSA auf – berücksichtigen die Interessen der Datenimporteure und die spezifische Rechtslage, der diese in ihren Sitzstaaten unterliegen, jedoch etwas stärker.

Den neuen SCC kommt als geeignete Garantie eine erhebliche Bedeutung für die zuküntigen Datentransfers mit Drittlandbezug zu. Abzuwarten bleibt die Auslegung einzelner SCC, insbesondere mit Blick auf die teilweise ausfüllungsbedürftigen Begrifflichkeiten in einzelnen Klauseln. Dennoch sollten Unternehmen spätestens jetzt ihre internationalen Datenübermittlungen kritisch überprüfen und die erforderlichen Anpassungen vornehmen. Es empfiehlt sich ein mehrstufiges Vorgehen:

  • Mapping aller Datenvorgänge mit Drittlandbezug
  • Analyse und Anpassung der neuen SCC auf die eigenen Bedürfnisse unter Berücksichtigung potenzieller zusätzlicher unterstützender Maßnahmen
  • Standardisierung der Arbeitsschritte einer Risikoeinschätzung
  • Kontaktaufnahme und anschließende Vereinbarung neuer SCC
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

*Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.


Mehr Artikel

Das Grazer Tietoevry Team von l.n.r.: Patrick Monschein (Solution Consultant), Martin Strobl (Director, Public Austria), Alexander Jeitler (Solution Consultant), Josef Schmid (Solution Consultant), Daniel Wonisch (Solution Consultant), Martin Bauer (Solution Consultant) & Kristina Hristova (HR Business Partner) (c) Tietoevry
News

Tietoevry eröffnet neues Büro in Graz

5. Juli 2024 pi/cb

Der nordeuropäische IT-Dienstleister Tietoevry hat letzte Woche sein Büro im Salix Campus unweit des Stadtentwicklungsgebiets „Smart City“ in Graz eröffnet. Mit diesem Schritt will das Unternehmen seine Expertise in Software engineering und digitaler Innovation tiefer in die Technologieszene der Steiermark einbringen. […]

News

E-Government Benchmark Report 2024: Nutzerzentrierung bleibt der Schlüssel für Behördendienste in der EU

5. Juli 2024

Grenzüberschreitende Nutzer stoßen immer noch auf zahlreiche Hindernisse, wenn sie E-Government-Dienste in Anspruch nehmen möchten. Behörden sollten daher an der Verbesserung der technologischen Infrastruktur arbeiten. Interoperabilität ist der Schlüssel zur Verbesserung dieser Dienste. Architektonische Bausteine wie die eID und eSignatur können leicht in die Behördenwebseiten integriert werden, sodass die Dienste in ganz Europa einheitlicher und unabhängig von Land und Dienstanbieter sind. […]

News

6 Voraussetzungen für den Einsatz von KI in der Produktion

5. Juli 2024

Dank künstlicher Intelligenz können Industrieunternehmen effizienter und kostengünstiger produzieren, die Produktionsqualität erhöhen und Produktionsstörungen vermeiden. Um das volle Potenzial von KI auszuschöpfen, benötigen sie dafür geeignete IT-Infrastrukturen. Dell Technologies erklärt, was diese bieten müssen. […]

News

Hyperconverged Infrastructure: Wettbewerber positionieren Alternativen zu VMware

5. Juli 2024 Tobias Pföhler *

Kunden mit VMware-basierten HCI-Systemen im produktiven Einsatz haben im Grunde drei Möglichkeiten: Sie können in den sauren Apfel beißen, bei VMware bleiben und weiterhin die neuen höheren Preise zahlen, sie können zu einer anderen Appliance eines HCI-Anbieters mit einem integrierten Stack wechseln oder sie können zu einer alternativen Software-definierten Lösung wechseln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*