Viele Unternehmen in der EU betreiben Webseiten oder stellen Dienstleistungen im Internet zur Verfügung, welche die Verarbeitung von personenbezogenen Daten umfassen. Selbst für Unternehmen aus Drittstaaten gelten in den meisten Fällen aufgrund des Marktortprinzips für diese Datenverarbeitungen die Vorgaben der DSGVO. Eine große Rolle spielt in diesem Zusammenhang die Übermittlung von Daten in Drittländer außerhalb der EU oder des EWR. Aber wann werden überhaupt Daten in Drittländer übermittelt? Nehmen wir folgendes Beispiel: Ein externer Dienstleister entwickelt die Oberfläche der Webseite eines Unternehmens, füllt die Seite mit Informationen, mietet die virtuellen Server bei einem zweiten Dienstleister, der dann noch Server in einem Rechnerzentrum (oder aus Redundanzgründen in mehreren Rechenzentren) mietet. Was passiert am Ende? Wenn wir die tatsächliche IP oder DNS Adresse untersuchen, stellt sich oftmals heraus, dass der Standort des Servers irgendwo in den USA oder Asien liegt.
Wissen Sie genau welche Server für Ihre Webseite oder Ihre Services eingesetzt werden und wo diese Server stehen?
In einer kleinen Beitragsreihe möchten wir die Übermittlung personenbezogener Daten im Rahmen des Webseitenbetriebs aus juristischer und technischer Perspektive ein wenig beleuchten. Ab Wirksamwerden der DSGVO führen datenschutzrechtliche Verstöße zu deutlich höheren Bußgeldern als es bisher der Fall war. Ein Bußgeld nach Art. 83 Abs. 5 lit. c DSGVO kann verhängt werden, wenn „die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49“ unrechtmäßig erfolgt.
Dies bedeutet, dass die Übermittlung in Drittstaaten nur unter Beachtung der besonderen Regelungen der Art. 44 ff. DSGVO erfolgen darf. Die Regelungen, die solche Übertragungen erlauben (z.B. Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln, EU-US-Privacy Shield, BCR, Einwilligung), wurden bereits in anderen Blogbeiträgen ausführlich betrachtet und sollen an dieser Stelle nicht nochmals beleuchtet werden. Dieser Beitrag setzt sich vielmehr damit auseinander, dass die Anwendungen und IT Systeme zwischenzeitlich viel komplizierter geworden sind und die Komponenten des Systems üblicherweise stark verteilt sind. Server in verschiedenen Rechenzentren, Cloud Dienste oder der Einsatz zahlreicher externer Dienstleister erschweren den Überblick über die relevanten Prozesse der Verarbeitung und Übermittlung von Daten bei dem Betrieb von Webseiten oder Services.
Aus Sicht der Autoren sind vor allem folgende Fragen noch ungeklärt und können manchem Verantwortlichen, aber auch Datenschutzbeauftragten Kopfschmerzen bereiten:
- In welchen Fällen findet überhaupt die Übermittlung der personenbezogenen Daten statt?
- Wie kann und muss ein Verantwortlicher durch interne Audits überprüfen und nachweisen, dass sich keiner der Empfänger der personenbezogenen Daten in einem Drittland befindet? Wie weit muss die Kette der Unterauftragnehmer aufgeschlüsselt werden?
Übermittlung personenbezogener Daten an einen Empfänger
Bevor die besonderen Regelungen beachtet werden, muss die Frage beantwortet werden, was genau unter der „Übermittlung personenbezogener Daten an einen Empfänger“ zu verstehen ist. Laut Art. 4 DSGVO ist ein
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Klar ist, dass jede „Offenlegung“ von personenbezogenen Daten schon eine Übermittlung ist. Aus technischer Sicht werden die Daten bei dem Senden per Internet jedes Mal „übermittelt“. Folglich findet auch immer eine solche Übermittlung statt.
Was muss man in erster Linie aus juristischer Sicht beachtet werden? Nach Möglichkeit sollten alle Auftragsverarbeiter aktualisiert und überprüft werden. Sind in allen Verträgen zur Auftragsverarbeitung die Anforderungen an die Speicherung der Daten innerhalb der EU/des EWR geregelt? Sollten zusätzliche technische Einstellungen durchgeführt werden oder zusätzliche Anträge an den Dienstleister geschickt werden?
Auf technischer Ebene müssen die obengenannten Einstellungen überprüft werden. Dabei muss bei Dienstleistern oftmals ein sogenanntes „Regional Routing“ oder die konkreten eingesetzten Rechenzentren ausgewählt werden. Selbst wenn dies vertraglich geregelt ist, kann es vorkommen, dass diese Einstellungen in der Realität jedoch nicht freigeschaltet sind.
Zusätzlich können und sollten die tatsächlichen Standorte auch technisch überprüft werden. Für die Überprüfung aller Übermittlungen kann ein vereinfachtes Model „Sender-Empfänger“ benutzt werden. Das Model enthält allerdings gewisse Einschränkungen. Wie oben dargestellt, kann die gesamte Verarbeitung von Daten durch eine komplexe Infrastruktur externer Dienstleister und Unterauftragnehmer erfolgen (in einem externen Rechenzentrum oder auf der Basis von Cloud Diensten usw.). Genau deshalb ist es sinnvoll, nicht nur den Standort des Empfängers, sondern auch die Standorte aller beteiligten Parteien zu untersuchen. Dabei ist es am einfachsten, die Adresse (IP oder DNS Adresse) aller bei dem Austausch der Informationen beteiligten Parteien festzustellen und die entsprechenden Standorte des zugehörigen Servers bei einem der zahlreichen Anbieter von (kostenlosen) Testtools (z.B. geoiplookup.net oder iplookup.flagfox.net) im Internet zu prüfen. Bei solchen Prüfungen können auch „plötzlich“ weitere – als Unterauftragnehmer eingesetzte – Dienstleister auftauchen (die z.B. ein Content Delivery Network anbieten). Solche technischen Tests stellen eine gute Möglichkeit dar, die beiden Welten (dokumentierte und tatsächliche) zu vergleichen.
Fazit
In diesem ersten Teil wollten wir nur kurz auf das Problem der Übermittlung personenbezogener Daten an Empfänger in einem Drittland mit einem langen Rattenschwanz an Unterauftragnehmern aufmerksam machen. Wichtig aus unserer Sicht ist, dass solche Übermittlungen nicht nur dokumentiert und geregelt sind, sondern auch von der technischen Seite regelmäßig überprüft werden.
Die sich daran anschließende Fragen sind: „Wie präzise sind online Tools?“, „Wie kann der Netzwerktrafik gespeichert und analysiert werden?“ und „Wer darf die Adresse des Servers im Internet überprüfen?“. Diese und weitere Aspekte beleuchten wir in den nächsten Beiträgen.