DSK-Beschluss: Zugriffsmöglichkeiten US-Behörden
DSK-Beschluss: Neues zu Zugriffsmöglichkeiten durch US-Behörden

DSK-Beschluss: Neues zu Zugriffsmöglichkeiten durch US-Behörden

In einem Beschluss vom 31. Januar 2023 setzen sich die deutschen Datenschutzaufsichtsbehörden mit der rechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten auseinander. Insbesondere für internationale Unternehmensgruppen und Cloud-Anbieter hat dieser eine hohe Praxisrelevanz. Der DSK-Beschluss ist rechtlich nicht bindend, zeigt aber klar die Erwartungshaltung der 18 deutschen Datenschutzbehörden.

Wo ist das Problem?

Seit dem Schrems II-Urteil ist klar, dass das Datenschutzniveau in den USA nicht mit dem in der EU vergleichbar ist. Hauptproblem ist dabei, dass durch verschiedene Gesetzgebungen in den USA, wie bspw. der CLOUD Act oder FISA 702 , den staatlichen Stellen Zugriffs- und Überwachungsmöglichkeiten geboten werden, die auch über die Grenzen der USA bestehen. EU-Bürger haben dabei nicht das Recht der Datenverarbeitung zu widersprechen und können somit auch nicht ihre Betroffenenrechte wahrnehmen.
Aufgrund dessen war es in den letzten Jahren für viele Unternehmen sehr aufwändig US-Diensteanbieter einzusetzen, weil umfangreiche Risikoeinschätzungen und Interessensabwägungen notwendig waren. Die Frage für viele Datenschutzexperten war; handelt es sich bei einer Zugriffsmöglichkeit auch automatisch um einen Datentransfer?

Der DSK-Beschluss zusammengefasst:

• Die bloße Gefahr einer Datenübermittlung in ein Drittland stellt noch keine Drittlands- Übermittlung im Sinne der DSGVO dar.
• Eine solche Gefahr kann aus Sicht der Behörden allerdings dazu führen, dass der Auftragsverarbeiter keine ausreichende Zuverlässigkeit hat.
• Ein Risiko dafür besteht, wenn im Drittland Normen oder Praktiken existieren, die nach der DSGVO unzulässige Datenübermittlungen legitimieren. In diesen Fällen stellen die Datenschutzaufsichtsbehörden besonders hohe Anforderungen an die Zuverlässigkeitsprüfung.
• Konkret soll erforderlich sein, dass der Verantwortliche eine umfangreiche Einzelfallprüfung durchführt. Die Behörden führen hierfür zehn Punkte an, die „insbesondere“ zu berücksichtigen sein sollen.
• Der Verantwortliche muss in der Lage sein, den Nachweis zu führen, dass ein Auftragsverarbeiter die Anforderungen aus Art. 28 Abs. 1 und ErwG 81 DSGVO erfüllt.

Die Berücksichtigungspunkte:

Es wird nicht leichter aus der Sicht der Unternehmen.

1. Es muss geprüft werden, ob es Gesetze oder Verordnungen im Drittstaat gibt, die gegen Vorgaben der DSGVO verstoßen oder diese einschränken. Das Ergebnis dieser Prüfung soll mit in die abschließende Überprüfung einfließen.
2. Das Ergebnis einer Prüfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeinträchtigen könnten.
3. Das Risiko, dass die Drittlands-Muttergesellschaft eines EWR-Tochterunternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln.
4. Ob der Auftragsverarbeitungsvertrag nach europäischen Maßstäben unzulässige Verarbeitungen auf der Grundlage von Drittlands-Recht erlaubt.
5. Etwaige Zusicherungen der Drittlands-Muttergesellschaft und des EWR-Unternehmens zum Umgang mit kollidierenden Anforderungen des Rechts eines Drittstaates und der EU.
6. Eine Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen auch tatsächlich eingehalten werden können.
7. Eine Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tatsächlich eingehalten werden.
8. Etwaige in der Vergangenheit festgestellte Datenschutzverstöße.
9. Die Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands sowie;
10. Der Ausschluss unzulässiger Übermittlungen durch geeignete technische und organisatorische Maßnahmen.

DSK-Beschluss fällt streng aus

Der Beschluss fällt ziemlich streng aus. Das einzig Positive ist die Klarstellung, dass allein die Gefahr, dass ein EWR-Unternehmen von der Muttergesellschaft (oder über andere gesellschaftsrechtliche Weisungsrechte) oder öffentlichen Stellen in Drittstaaten angewiesen werden könnten, nicht genügt, um eine Drittlandsübermittlung i.S.d. Art. 44 ff. DSGVO anzunehmen.
Das Thema wird oft im Zusammenhang mit Cloud-Services der EU-Töchtern großer US-IT-Anbieter diskutiert. Diese speichern die Daten zwar in der EU – es gibt jedoch die abstrakte Gefahr, dass die Muttergesellschaften sie (ggf. auf Druck von US-Behörden) gesellschaftsrechtlich anweisen, Daten in die USA zu übermitteln. Anders, als dies bspw. die Vergabekammer Baden-Württemberg bewertet hatte, sieht die DSK in der reinen Gefahr eines solchen Zugriffs keinen Drittlandtransfer!

Achtung!

Auch ohne Drittlandtransfer kann eine solche Struktur nach Ansicht der Behörden dazu führen, dass der Auftragsverarbeiter nicht eingesetzt werden darf. Besteht die realistische Gefahr, dass der Auftragsverarbeiter seine Pflichten aus dem Auftragsverarbeitungsvertrag nicht einhalten kann, darf er nicht eingesetzt werden! Dies muss in einer – dem Transfer Impact Assessment (TIA) vergleichbaren – Einzelfallprüfung bewertet werden.

Fazit zum DSK-Beschluss

Unternehmen sollten jetzt prüfen, inwieweit sie den recht strengen Anforderungen genügen und wo Abweichungen gerechtfertigt sein können.
Der Beschluss bringt ein gewisses Maß an Rechtssicherheit, was die abstrakte Gefahr von Drittstaatentransfers angeht. Die hohen Anforderungen an die Auswahl des Auftragsverarbeiters erfordern bei Unternehmen in der Praxis dennoch weiterhin eine genaue (und dokumentierte) Prüfung, welche Dienste verwendet werden können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert