Kürzlich haben wir die Kriterien für das Kapitel 6 – Datenschutzmanagement – des DSGVO – information privacy standard erklärt. Nun folgt Kapitel 7 dieser Blogreihe: Datenverarbeitung außerhalb der EU (P.7.1) und Vertreter innerhalb der EU (P.7.2).
Datenverarbeitung außerhalb der EU
Zunächst einmal bescheinigt ein Zertifikat nach dem DSGVO – information privacy standard NICHT die Rechtmäßigkeit des konkreten Drittstaatentransfers. Es wird lediglich geprüft, ob der zu zertifizierende Vorgang einen Drittstaatenbezug hat und ob der Verantwortliche bzw. Auftragsverarbeiter sicherstellt, dass dies zulässig ist.
Dazu muss der Drittstaaten-Transfer zunächst identifiziert werden. Werden personenbezogene Daten etwa in einem Rechenzentrum bei einem international tätigen Konzern gehostet und sehen das Vertragswerk oder eine verbindliche Regelung vor, dass Zugriff aus Drittstaaten bestehen könnte, dann ist ein Transfer zumindest möglich und die Kriterien einschlägig. Das allseits beliebte Argument, dass vereinbart wurde, nur Rechenzentren in der EU (z. B. in Amsterdam oder Irland) einzusetzen, nützt hier nichts, wenn im Vertragswerk auch Ausnahmen dazu vorgesehen sind.
Liegt ein Drittstaaten-Transfer (potentiell oder tatsächlich) vor, greifen für die Bewertung der Zulässigkeit die „Basics“ des Datenschutzes, die gleichwohl herausfordernd sind. Die Datenübermittlung ist in folgenden Fällen zulässig:
Variante 1: Angemessenheitsbeschluss
Es liegt ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO vor, welcher ein angemessenes Schutzniveau für das betreffende Drittland feststellt.
Variante 2: geeignete Garantien
Der Verantwortliche oder Auftragsverarbeiter hat geeignete Garantien vorgesehen, welche ein angemessenes Schutzniveau für das betroffene Drittland gewährleisten, und den betroffenen Personen stehen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung (Art. 46 Abs. 1 DSGVO).
Unter anderem spielen hier die EU-Standardvertragsklauseln (Standard Contractual Clauses – SCC) nach Art. 46 Abs. 2 lit. c DSGVO eine Rolle. Dabei ist darauf zu achten, dass diese in der aktuellen Version unverändert durch die Parteien abgeschlossen wurden. Andere eventuell hinzugefügte Klauseln oder zusätzliche Schutzklauseln dürfen die Verpflichtungen in den SCC nicht untergraben oder negativ beeinflussen oder die Einhaltung der in den SCC enthaltenen Verpflichtungen verhindern.
Auch genehmigte, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) können einen Drittstaatentransfer nach Art. 46 Abs. 2 lit. b DSGVO i. V. m. Art. 47 DSGVO rechtfertigen.
Unter Beachtung der Rechtssache „Schrems II“, EuGH, 16.07.2020 – C-311/18, reicht das Vorliegen von EU-Standardvertragsklauseln oder genehmigten Binding Corporate Rules (BCR) allein nicht aus. Vielmehr ist das vom EU-Recht geforderte Schutzniveau in dem betreffenden Drittland einzuhalten, um festzustellen, ob die von den SCC oder den BCR gebotenen Garantien in der Praxis eingehalten werden können. Die Beurteilung obliegt sowohl dem Datenimporteur als auch dem Datenexporteur.
Variante 3: Ausnahmen des Art. 49 DSGVO
Es liegt eine Ausnahme gem. Art. 49 S. 1 lit. a-g DSGVO vor. Zu nennen sind hier etwa die Einwilligung oder das berechtigte Interesse an einer Übermittlung.
Nachweise sind wichtig
Dabei muss für eine Zertifizierung nachgewiesen werden, dass die Vorgaben des Europäischen Datenschutzausschusses (EDSA) und des EuGH (z. B. Rs. C-311/18) zu Drittstaatentransfers beachtet wurden. Dies kann z. B. in einem Verzeichnis der Verarbeitungstätigkeiten oder einer Risikoanalyse ausführlicher dargelegt werden.
In vielen Fällen wird hier ein „Transfer Impact Assessment“ (TIA) gefordert sein. Bei einer TIA handelt es sich um eine von einem für die Datenverarbeitung Verantwortlichen oder einem Datenverarbeiter durchgeführte Analyse der Auswirkungen und Sicherheitsimplikationen einer Übermittlung in ein Drittland, für das die Kommission keine Angemessenheitsfeststellung getroffen hat. Auch Art. 14 und Art. 15 der SCC sehen eine TIA vor.
Oftmals wird es hier auch um die Listung von relevanten (Sub-)Dienstleistern im EU-U.S. Privacy Shield Framework gehen, zumindest, solange das Framework Bestand hat.
Spätestens an dieser Stelle wird klar, dass eine gute Vorbereitung durch Datenschutzexpertinnen und -experten notwendig ist, um in einem Zertifizierungsverfahren die kritischen Evaluatorinnen und Evaluatoren zu überzeugen.
Da ein DSGVO-Zertifikat vor der Erteilung immer der zuständigen Datenschutzaufsichtsbehörde vorzulegen ist, muss ferner berücksichtigt werden, dass diese einen Drittstaatenbezug oftmals kritisch sehen.
Vertreter innerhalb der EU
Dieses Kriterium hat nach unserer bisherigen Erfahrung keine Relevanz, da die meisten Antragsteller eines Zertifikates ihren Sitz innerhalb der EU haben. Gleichwohl sei es kurz erläutert: Sofern die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen erfolgt, muss gem. Art. 27 DSGVO ein Vertreter innerhalb der Union schriftlich bestellt worden sein. Dieser muss in einem Mitgliedsstaat niedergelassen sein, in denen sich die Personen befinden, deren personenbezogene Daten verarbeitet werden.
Der Verantwortlicher bzw. Auftragsverarbeiter muss sicherstellen, dass der Vertreter als Kontaktstelle auftritt und betroffenen Personen die Ausübung ihrer Rechte ermöglicht, sowie den Datenschutzaufsichtsbehörden die Durchsetzung ihrer Aufsichtsmaßnahmen.
Fazit
Für Datenverarbeitungen außerhalb der EU gelten durchaus herausfordernde Vorgaben, welche jedoch kein Show-Stopper für eine erfolgreiche Zertifizierung im Rahmen des DSGVO – information privacy standard darstellen müssen.
Im nächsten Beitrag stellen wir Ihnen die Anforderungen von P.8 – Betroffenenrechte für eine DSGVO Zertifizierung vor.