Übermittlung personenbezogener Daten in die USA

Was tun ohne Privacy Shield? Zusätzliche Garantien als „Must Have“!

Seitdem der Europäische Gerichtshof in seinem Urteil C-311/18 vom 16.07.2020 („Schrems II“) die Ungültigkeit des EU-U.S. Privacy Shield Abkommens erklärt hat, gibt es keinen klaren Fahrplan für die Zulässigkeit von Datenübermittlungen aus der EU in die USA. Wir möchten Ihnen einen Überblick über die Hintergründe, Handlungsempfehlungen und mögliche Entwicklungen bieten.

Aus der Datenschutz-Grundverordnung ergibt sich, dass eine Datenübermittlung an Drittländer den besonderen Anforderungen gem. Art. 44 ff. DSGVO standhalten muss. In diesem Zuge war das EU-US-Privacy Shield Abkommen ein geeignetes Instrument, um für die Übermittlung von personenbezogenen Daten an Privacy-Shield gelistete Unternehmen ein angemessenes Datenschutzniveau zu attestieren. Diese Tür wurde durch den EuGH geschlossen.
Nach US-amerikanischem Recht bestehen weitreichende Eingriffsrechte der US-Behörden, die vom Europäischen Gerichtshof als zu umfassend und unverhältnismäßig angesehen werden. Dem in der DSGVO geforderten Schutzniveau bei der Übermittlung von Daten in die USA, muss daher auf andere Weise entsprochen werden.
Im Zentrum der Diskussion, wie sich nun ein Einsatz von Dienstleistungsunternehmen mit Sitz in den USA datenschutzrechtlich zulässig ausgestalten lässt, stehen die durch den EuGH geforderten „weiterführende Garantien“ als Bestandteil der EU-Standardvertragsklausen. Mit zusätzlich zu vereinbarenden Vertragsbedingungen soll zwischen Auftraggeber und Auftragnehmer eine Lösung dafür gefunden werden, die Befugnisse der US-Behörden, auf personenbezogene Daten von US-amerikanischen Unternehmen Zugriff zu nehmen wirksam zu unterbinden.
Vertragliche Vereinbarungen können darin bestehen, festzulegen, dass im Falle einer gerichtlichen Anordnung zur Erteilung von Auskünften an eine Vertragspartei, die Vertragspartei vor der Weitergabe der Daten die andere Vertragspartei über das Auskunftsersuchen informiert und alle Maßnahmen ergreift, um einen unrechtmäßigen Zugriff Dritter auf die Daten zu verhindern.
Der Europäische Datenschutzausschuss sieht organisatorische und vertragliche Maßnahmen als zusätzlichen Bedingungen nicht als ausreichend an. Nach seinem 6-stufigem Plan für privatwirtschaftliche Unternehmen sind vor allem technische Maßnahmen zu ergreifen, die im Einzelfall nach ihrer Effektivität bewertet werden müssen.
Die zusätzlichen technischen Garantien, welche in Frage kommen sind vielseitig und variieren je nach Szenario.

Szenario 1: Verschlüsselung bei der Übermittlung

Durch eine Vollverschlüsselung der Daten vor Übermittlung in die USA kann ein Zugriff durch den US-amerikanischen Dienstleister und damit auch durch die Behörde ausgeschlossen werden, wobei die Schlüsselhoheit in Händen des Datenexporteurs bleiben muss.
Hierbei stellen sich die Fragen, inwieweit sichergestellt werden kann,
  • dass, die Verschlüsselungsprotokolle den aktiven und passiven Angriffen der Drittlandbehörde standhalten;
  • dass, die Daten nur außerhalb des Drittlands entschlüsselt werden können;
  • dass, eine vertrauensvolle Public Key Zertifizierungsstelle für die Kommunikation genutzt wird;
  • dass, personenbezogenen Daten darüber hinaus Ende zu Ende verschlüsselt sind und
  • dass, Hintertüren in der Soft oder Hardware ausgeschlossen sind.

Szenario 2: Datenspeicherung beim US-Auftragnehmer als Backup oder für andere Zwecken – ohne Zugriff auf Klartexte

Sollten Unternehmen z.B. ihre Backups auf Servern US-amerikanischer Rechenzentren speichern wollen, sollten die Daten so verschlüsselt werden, dass weder der Dienstleister noch die Behörden den Klartext erkennen könnten.
Hierbei wäre sicherzustellen,
  • dass, eine Verschlüsselung mit einem Verschlüsselungsalgorithmus und einer Parametrisierung, die dem Stand der Technik entspricht und unter Beachtung der Ressourcen und technischen Fähigkeiten der Kryptoanalyse der Behörden im Empfängerland als robust gilt;
  • dass, die Verschlüsselungsstärke an den Zeitraum der Speicherung angepasst ist;
  • dass, der Verschlüsselungsalgorithmus mit ordnungsgemäßer und ggf. zertifizierter Software fehlerfrei implementiert wurde;
  • dass, Schlüssel zuverlässig im EWR bzw. angemessenem Drittland gespeichert und verwaltet werden und nur der Datenexporteuer bzw. die damit betraute Stelle darauf Zugriff hat;
  • dass, die personenbezogenen Daten vor der Übertragung angemessen stark verschlüsselt werden müssen.

Szenario 3: Transfer von pseudonymisierten Daten

Ein drittes Szenario beschreibt die Möglichkeit, personenbezogene Daten im Ursprungsland zu pseudonymisieren (z.B. durch Umwandlung in Kennzahlen) und erst danach in die USA zu übertragen. Dadurch, dass die Zusatzinformationen für die pseudonymisierten Daten beim Datenexporteur bleiben, hat weder das amerikanische Unternehmen noch die jeweiligen Behörden die Möglichkeit diese Daten zuzuordnen.
Hierbei wäre sicherzustellen,
  • dass, der Datenexporteur personenbezogene Daten nur so übermittelt, dass diese keiner bestimmten Person zugeordnet werden können, ohne Zugriff auf Zusatzinformationen zu haben;
  • dass die Zusatzinformationen im EWR oder in einem Land gespeichert werden, für welches ein Angemessenheitsbeschluss der EU vorliegt;
  • dass, diese Zusatzinformationen durch geeignete technische und organisatorische Sicherheitsvorkehrungen geschützt sind und der Exporteur die alleinige Kontrolle hat;
  • dass, der Exporteur sicherstellt, dass die Behörden im Empfängerland die pseudonymisierten Daten aufgrund ihrer Informationen keiner Person zuordnen können.

Szenario 4: Zusätzliche Maßnahmen bei der Übermittlung von Daten mit besonderem Schutzniveau (Daten von Berufsgeheimnisträgern, z.B. Gesundheitsdaten)

Sensiblen Daten wie etwa Gesundheitsdaten kommt nach dem europäischem Datenschutzrecht ein besonders hohes Schutzniveau zu. Die Gewährleistung zusätzlicher Garantien durch den US-amerikanischen Datenimporteur für den Schutz der Daten ist daher umso bedeutender.
Hierbei wäre sicherzustellen,
  • dass, das nationale Recht den Datenimporteur davor schützt die Daten offenlegen zu müssen;
  • dass, diese Ausnahme sich auf alle Informationen erstreckt, die verwendet werden können, um den Datenschutz zu umgehen (Passwörter, kryptographische Schlüssel);
  • dass, der Datenimporteur keinen Auftragsverarbeiter in Anspruch nimmt, der den Behörden Zugang zu diesen Daten gewährt bzw. der Datenimporteur die Daten an eine ungeschützte Stelle weiterleitet;
  • dass, die Daten nach dem Stand der Technik verschlüsselt sind und darüber hinaus auch Ende zu Ende verschlüsselt sind;
  • dass, der Schlüssel zuverlässig im EWR bzw. in einem Land gespeichert wird, für welches ein Angemessenheitsbeschluss der EU vorliegt;
  • dass nur der Datenexporteuer bzw. die damit betraute Stelle Zugriff auf den Schlüssel hat;
  • dass, der Datenexporteur zuverlässig feststellt, dass der Verschlüsselungsschlüssel dem des Entschlüsselungsschlüssels des Datenimporteurs entspricht (Überprüfung bei der Übermittlung).

Szenario 5: Zwei- oder Mehrparteienvereinbarung

Als letztes Szenario führt der europäische Datenschutzausschuss an, dass die Vertragsparteien die Datenmenge vor der Übertragung in die USA aufteilen und auf verschiedene Datenimporteure verteilen könnten. Dies führe dazu, dass weder die jeweiligen Unternehmen noch die Behörden einen Zugriff auf die Gesamtmenge der Daten haben und so kein Gesamtbild der empfangenen Daten erstellen können.
Hierbei wäre sicherzustellen,
  • dass, der Datenexporteur personenbezogenen Daten so verarbeitet, dass diese in zwei oder mehr Teile zerlegt werden und dadurch nicht mehr interpretiert und keiner Person zugeordnet werden können;
  • dass, jeder Teil an einen unabhängigen Bearbeiter übertragen wird, der sich in einem anderen Rechtsraum/andere Rechtsordnung befindet;
  • dass, die Bearbeiter die Daten optional unter einer Mehrparteien Rechnergrundlage verarbeiten können ohne, dass die Informationen offenbart werden und der gemeinsame Algorithmus sicher gegen Angriffe ist;
  • dass, es keinen Hinweis zu einer behördlichen Zusammenarbeit der beiden Rechtsräume/Rechtsordnungen gibt, welcher einen Zugang zu den Datensätzen und eine Rekonstruierung der personenbezogenen Daten ermöglichen würden;
  • dass, der für die Verarbeitung Verantwortliche durch eine Analyse aller Informationen sichergestellt hat, dass die Behörden der Empfängerländer keinen Bezug von Personen und personenbezogenen Daten herstellen können.
Inwieweit die vom Europäischen Datenschutzausschuss vorgebrachten technischen Maßnahmen in der Praxis umgesetzt werden können, unterliegt der Einzelfallprüfung. Für diese Prüfung bietet bspw. der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg eine Orientierungshilfe an. Erste Reaktionen großer US-Unternehmen sind erkennbar. Bspw. bietet Amazon Web Services ein Verschlüsselungsmanagement „KWS“ an, während Microsoft sich im Wege eines „Additional Safeguards Addendum“ in den Standardvertragsklauseln (SCC) den Schutz der Betroffenenrechte über das in den SCC enthaltene Maß ausweitet.
 

Was tun?

Für Unternehmen, die als Auftraggeber Daten an Auftragnehmer in die USA übermitteln, die keine zusätzlichen Garantien anbieten, bestehen verschiedene Handlungsmöglichkeiten:
  1. Sie können das Risiko in Kauf nehmen und weiterhin die Auftragnehmer für ihre betrieblichen Zwecke einbinden. Vorausgesetzt, dass abgesehen von den fehlenden Garantien der zugrundeliegende Auftragsverarbeitungsvertrag datenschutzkonform zu bewerten ist. Bei dieser Abwägung sollten Art und Umfang der verarbeiteten Daten eine zentrale Rolle spielen.
  1. Sie können auf alternative Dienstleistungsunternehmen ausweichen, die keine Daten in die USA übermitteln, um somit die Notwendigkeit gesonderter Vereinbarungsgegenstände zu umgehen.
  1. Sie können mit ihren Auftragnehmern in Kontakt treten, um mögliche zusätzliche Garantien abzustimmen und so eine datenschutzkonforme Datenübermittlung sicherzustellen.
Die Stimmen in der Wirtschaft, die eine klare Handlungsanweisung fordern, wie solche zusätzlichen Garantien ausgestaltet werden können werden lauter. In Zweifel gezogen wird vor allem die Anwendbarkeit der vorgeschlagenen Verschlüsselungstechniken auf Cloud Dienste, deren Nutzung voraussetzt, die Daten in entschlüsselter Form verarbeiten zu können. In einem Positionspapier wendeten sich Vertreter großer deutscher Konzerne am 3. März 2021 mit der Forderung an das Bundeskanzleramt, rechtssichere und praktikable Lösungen für den Datentransfer in die USA zu finden. Der von den Konzernen vorgeschlagene runde Tisch mit Vertretern aus Politik und Wirtschaft soll laut Bundeswirtschaftsministeriums im Juni 2021 stattfinden. Spannend bleibt, ob dieser für neue Entwicklungen sorgen wird.
Bis sich konkretere Vorgaben der Gesetzgebung oder Rechtsprechung abzeichnen, empfehlen wir, den Entscheidungsprozess für ein US-amerikanisches Dienstleistungsunternehmen zu dokumentieren und nachhalten zu können, dass geeignete zusätzliche Garantien vertraglich vereinbart wurden. Andernfalls könnten Untersagungsverfügungen von Datenschutz-Aufsichtsbehörden wie bspw. jene des Bayrischen Landesbeauftragten für Datenschutz und Informationsfreiheit für den Einsatz von Mailchimp verhängt werden.
Sobald wir Neuigkeiten durch den Gesetzgeber, die Rechtsprechung oder auch von aufsichtsbehördlicher Seite erhalten, bewerten und informieren wir erneut.
Freitag, der 7. Mai 2021