Neben der Digitalisierung ist die Internationalisierung zweifelsohne ein Zukunftsthema, Rechte stetig an Bedeutung gewinnt. Dies gilt in zunehmendem Maße auch für den Datentransfer in Nicht-EU- Länder, sog. Drittländer. Ein prominentes Beispiel ist dabei das Cloud-Computing, welches auch kleine und mittelständische Unternehmen betrifft. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs steht der Transfer von Daten und die Nutzung des Cloud Computing jedoch vor rechtlichen Schwierigkeiten, die eine hohe Zahl von Unternehmen betreffen, vgl. https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18. Wir helfen Ihnen dabei, diese komplizierte Materie rechtssicher zu gestalten. Gerne analysieren wir Ihren Datentransfer und legen Ihnen die unterschiedlichen Gestaltungsalternativen offen. Uns ist bewusst, dass die veröffentlichten Lösungsansätze zur Datenübermittlung seitens öffentlicher und privater Stellen sehr unterschiedlich und daher verwirrend sind, vgl. https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF und https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf
Das Feuer beim größten Cloud-Anbieter Europas OVH cloud in Straßburg hat das Thema Cloud Computing im März 2021 wieder ins Bewusstsein vieler Menschen gerückt.
Für den größten Cloud-Anbieter Europas war der Brand in jeglicher Hinsicht eine Katastrophe.
Doch auch für die Kunden des Cloud Anbieters erwies sich der Brand als Katastrophe. Denn viele hatten aus Kostengründen auf ein Sicherheitsnetz mit Kopien verzichtet. Dies führte dazu, das viele Daten unwiderruflich verloren gingen.
Der einzig positive Aspekt dieser Katastrophe war, dass die Thematik Cloud Computing und die damit verbundenen Chancen und Risiken wieder in den Vordergrund geriet. Aus unserer Sicht gehört dem Cloud Computing die Zukunft. Die praktische Verwendbarkeit und Abrufbarkeit von Daten an jeglichem Ort wird im digitalen Zeitalter von Tag zu Tag wichtiger. Umso bedeutsamer ist es, dass die Daten vor dem Zugriff Dritter gesichert sind und Datenschutzbestimmungen eingehalten werden. Diesbezüglich bieten wir gerne unsere Hilfe an.
Diese Hilfe ist notwendig, weil der Großteil der Cloud Anbieter auf eine US-amerikanische Infrastruktur zurückgreift. Dies hat wiederum die datenschutzrechtliche Problematik zur Folge, dass der Patriot Act anwendbar ist. Somit vermischt sich die Problematik des Cloud Computing mit der des Datentransfers in Drittstaaten, siehe unten.
Für das Cloud Computing bieten wir unsere spezifische Hilfe nach eingehender Analyse der Verarbeitung der Daten in Ihrem Unternehmen an.
Grundsätzlich kommen folgende Lösungsansätze für eine datenschutzkonforme Cloud Nutzung in Betracht:
Die übrigen Ansätze decken sich zum Großteil mit denen zum Datentransfer in den USA, siehe unten. Deshalb wird darauf Bezug genommen, siehe unten.
Grundsätzlich ist durch die europäische Datenschutz Grundverordnung ein einheitlicher datenschutzrechtlicher Standard innerhalb der Europäischen Union gewährleistet. Folgerichtig ist ein Datentransfer in Länder der Europäischen Union relativ unproblematisch. Dieses Datenschutzniveau ist in den meisten Ländern außerhalb der EU jedoch nicht gewährleistet. Daher ist der Datenschutztransfer in das Nicht-EU Ausland mit besonderen datenschutzrechtlichen Problemen behaftet.
Art. 44 ff. DSGVO konkretisieren diese Problematik und legen dar, unter welchen Umständen ein Datentransfer in Drittstaaten dennoch möglich ist. Zu beachten ist, dass an dieser Stelle mit Datentransfer eine unverschlüsselte Übertragung von Daten gemeint ist. Durch die Verschlüsselung verlieren Daten Ihren personenbezogenen Charakter. Die Übermittlung verschlüsselter Daten ist daher unproblematisch.
Sofern es sich aber um personenbezogene Daten handelt, wird in einem zweistufigen Verfahren geprüft, ob der Transfer datenschutzkonform verläuft.
Zu prüfen ist zunächst, ob grundsätzlich von einer datenschutzkonformen Datenübermittlung auszugehen ist. Das bedeutet, dass eine grundsätzliche Prüfung der Datenschutzkonformität erfolgt. Ein Beispiel wäre etwa die Einhaltung des Art 9 DSGVO bezüglich personenbezogene Daten mit Blick auf rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Wenn die grundsätzliche Datenschutzkonformität bejaht werden kann, kommt es zur zweiten Stufe der Prüfung, welche sich an den spezifischen Anforderungen der Art. 45 ff. DSGVO ausrichtet. Kernpunkt ist dabei die Beurteilung, ob das Datenschutzniveau im Datenempfängerland dem Datenschutzniveau in der EU entspricht. Diese Frage ist durchaus kompliziert zu beantworten. Häufig entspricht die Software in Drittstaaten nicht dem europäischen Datenschutzniveau. Unproblematisch erfolgt der Datentransfer nur, wenn es einen Angemessenheitsbeschluss der Europäischen Kommission gibt, der ein angemessenes Schutzniveau zusichert. Sofern dann der Betroffene über den Transfer ins Ausland informiert wird, ist ein Datentransfer in datenschutzkonformer Weise möglich.
Das angesprochene angemessene Schutzniveau stellt auch die größte Problematik beim Datentransfer in die USA dar. Hiervon ist auch ein Großteil der Cloud-Anbieter betroffen, siehe oben.
Mit Urteil vom 16.07.2020 ( C-311/18) hat der Europäische Gerichtshof entschieden, dass der angemessenheitsbeschluss der EU-Kommission bezüglich der Datenübermittlung in die USA, weithin bekannt als das sog. Privacy Shield, ungültiges ist. Dieses als Schrems II bekannte Urteil hat den Datentransfer in die USA vor völlig neue Probleme gestellt. Nach Ansicht des Europäischen Gerichtshofs bot das Privacy Shield keinen ausreichenden Schutz gegenüber Aufforderungen amerikanische Nachrichtendienste, personenbezogene Daten von EU-Bürgern zu übermitteln. Die Problematik stellte sich vor allen Dingen bezüglich solcher Daten dar, die, etwa im Rahmen des Cloud-Computing, lediglich in den USA verarbeitet bzw. empfangen werden.
Eine Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses scheidet folglich für die Zukunft aus.
Für Ihr Unternehmen bedeutet dies konkret, dass sie angehalten sind zu prüfen, ob sie oder ihre Dienstleister personenbezogene Daten in Drittländern verarbeiten. Sofern dies der Fall ist, muss die Übermittlung auf eine neue datenschutzrechtliche Grundlage gestützt werden. Auch die Verarbeitungsverzeichnisse und Datenschutzerklärungen müssen überarbeitet werden. Häufig finden sich in diesem noch immer ein Hinweis auf den Angemessenheitsbeschluss.
Eine Möglichkeit die sich nun anbietet sind die Standardvertragsklauseln. Es handelt sich hierbei um vorgefertigte Vertragsmuster der Europäischen Kommission zur Datenübermittlung, welche ohne Zusätze übernommen werden. Allerdings ist dies nur ein erster Schritt. Auch die Standardvertragsklauseln können keinen angemessenen Schutz der Daten in den USA bewerkstelligen. Es ist daher zusätzlich notwendig, Regelungen mit dem amerikanischen Datenempfänger zu treffen. Im Vorfeld erörtern wir daher, welche Verpflichtungen gegenüber den Nachrichtendiensten bestehen. Achten Sie in diesem Zusammenhang bitte auch auf die Beziehung zwischen Empfänger und Subunternehmen, die ebenfalls durch Standardvertragsklauseln gesichert werden sollte.
Eine recht praktische Lösung ist es, auf Server innerhalb der Europäischen Union auszuweichen. Solchen Dienstleistern hat in der Vergangenheit zugenommen. Da es sich aber häufig dennoch um US Anbieter handelt, die lediglich einen Teil ihrer Dienstleistungen in die EU auslagern, bleibt die datenschutzrechtliche Problematik der möglichen Übermittlung an Nachrichtendienste bestehen. Denn es kann nicht ausgeschlossen werden, dass es dennoch einen Zugriff der US Nachrichtendienste gibt.
Eine weitere datenschutzkonforme Lösung wäre die Einwilligung des Betroffenen in den Datentransfer. Voraussetzung ist, dass der Betroffene über die Diskrepanz bezüglich des Datenschutzniveaus informiert wurde. Hierbei ist genau abzuwägen, ob diese Möglichkeit in Anspruch genommen wird und wie die Einwilligung formuliert wird. Zum einen ist ein die Einwilligung und die vorherige Information ein hohes Erfordernis zu richten. Der einwilligen de soll sich der Tragweite seine Einwilligung bewusst sein. Zum anderen sollte nicht außer Acht gelassen werden, welche psychologischen Folgen dies beim Betroffenen hat. Der Hinweis auf die US-amerikanischen Nachrichtendienste kann sehr abschreckend wirken. Wir helfen Ihnen hier bei der genauen Abwägung.
In manchen Fällen kann ein Datentransfer aufgrund vorvertraglicher Tätigkeiten oder im Rahmen der Abwicklung eines Vertrages notwendig sein. Meist liegt hier eine Veranlassung durch den Betroffenen vor.