In einem Beschluss vom 31. Januar 2023 setzen sich die deutschen Datenschutzaufsichtsbeh\u00f6rden mit der rechtlichen Bewertung von Zugriffsm\u00f6glichkeiten \u00f6ffentlicher Stellen von Drittl\u00e4ndern auf personenbezogene Daten auseinander. Insbesondere f\u00fcr internationale Unternehmensgruppen und Cloud-Anbieter hat dieser eine hohe Praxisrelevanz. Der DSK-Beschluss ist rechtlich nicht bindend, zeigt aber klar die Erwartungshaltung der 18 deutschen Datenschutzbeh\u00f6rden.<\/p>\n
Seit dem Schrems II-Urteil ist klar, dass das Datenschutzniveau in den USA nicht mit dem in der EU vergleichbar ist. Hauptproblem ist dabei, dass durch verschiedene Gesetzgebungen in den USA, wie bspw. der CLOUD Act oder FISA 702<\/a> , den staatlichen Stellen Zugriffs- und \u00dcberwachungsm\u00f6glichkeiten geboten werden, die auch \u00fcber die Grenzen der USA bestehen. EU-B\u00fcrger haben dabei nicht das Recht der Datenverarbeitung zu widersprechen und k\u00f6nnen somit auch nicht ihre Betroffenenrechte wahrnehmen. \u2022 Die blo\u00dfe Gefahr einer Daten\u00fcbermittlung in ein Drittland stellt noch keine Drittlands- \u00dcbermittlung im Sinne der DSGVO dar. Es wird nicht leichter aus der Sicht der Unternehmen.<\/p>\n 1. Es muss gepr\u00fcft werden, ob es Gesetze oder Verordnungen im Drittstaat gibt, die gegen Vorgaben der DSGVO versto\u00dfen oder diese einschr\u00e4nken. Das Ergebnis dieser Pr\u00fcfung soll mit in die abschlie\u00dfende \u00dcberpr\u00fcfung einflie\u00dfen. Der Beschluss f\u00e4llt ziemlich streng aus. Das einzig Positive ist die Klarstellung, dass allein die Gefahr, dass ein EWR-Unternehmen von der Muttergesellschaft (oder \u00fcber andere gesellschaftsrechtliche Weisungsrechte) oder \u00f6ffentlichen Stellen in Drittstaaten angewiesen werden k\u00f6nnten, nicht gen\u00fcgt, um eine Drittlands\u00fcbermittlung i.S.d. Art. 44 ff. DSGVO anzunehmen. Achtung!<\/strong><\/p>\n Auch ohne Drittlandtransfer kann eine solche Struktur nach Ansicht der Beh\u00f6rden dazu f\u00fchren, dass der Auftragsverarbeiter nicht eingesetzt werden darf. Besteht die realistische Gefahr, dass der Auftragsverarbeiter seine Pflichten aus dem Auftragsverarbeitungsvertrag nicht einhalten kann, darf er nicht eingesetzt werden! Dies muss in einer – dem Transfer Impact Assessment (TIA)<\/a> vergleichbaren – Einzelfallpr\u00fcfung bewertet werden.<\/p>\n Unternehmen sollten jetzt pr\u00fcfen, inwieweit sie den recht strengen Anforderungen gen\u00fcgen und wo Abweichungen gerechtfertigt sein k\u00f6nnen. In einem Beschluss vom 31. Januar 2023 setzen sich die deutschen Datenschutzaufsichtsbeh\u00f6rden mit der rechtlichen Bewertung von Zugriffsm\u00f6glichkeiten \u00f6ffentlicher Stellen von Drittl\u00e4ndern auf personenbezogene Daten auseinander. Insbesondere f\u00fcr internationale Unternehmensgruppen und Cloud-Anbieter hat dieser eine hohe Praxisrelevanz. Der DSK-Beschluss ist rechtlich nicht bindend, zeigt aber klar die Erwartungshaltung der 18 deutschen Datenschutzbeh\u00f6rden. Wo ist das … <\/p>\n
\nAufgrund dessen war es in den letzten Jahren f\u00fcr viele Unternehmen sehr aufw\u00e4ndig US-Diensteanbieter einzusetzen, weil umfangreiche Risikoeinsch\u00e4tzungen und Interessensabw\u00e4gungen notwendig waren. Die Frage f\u00fcr viele Datenschutzexperten war; handelt es sich bei einer Zugriffsm\u00f6glichkeit auch automatisch um einen Datentransfer?<\/p>\nDer DSK-Beschluss zusammengefasst:<\/h3>\n
\n\u2022 Eine solche Gefahr kann aus Sicht der Beh\u00f6rden allerdings dazu f\u00fchren, dass der Auftragsverarbeiter keine ausreichende Zuverl\u00e4ssigkeit hat.
\n\u2022 Ein Risiko daf\u00fcr besteht, wenn im Drittland Normen oder Praktiken existieren, die nach der DSGVO unzul\u00e4ssige Daten\u00fcbermittlungen legitimieren. In diesen F\u00e4llen stellen die Datenschutzaufsichtsbeh\u00f6rden besonders hohe Anforderungen an die Zuverl\u00e4ssigkeitspr\u00fcfung.
\n\u2022 Konkret soll erforderlich sein, dass der Verantwortliche eine umfangreiche Einzelfallpr\u00fcfung durchf\u00fchrt. Die Beh\u00f6rden f\u00fchren hierf\u00fcr zehn Punkte an, die \u201einsbesondere\u201c zu ber\u00fccksichtigen sein sollen.
\n\u2022 Der Verantwortliche muss in der Lage sein, den Nachweis zu f\u00fchren, dass ein Auftragsverarbeiter die Anforderungen aus Art. 28 Abs. 1 und ErwG 81 DSGVO erf\u00fcllt.<\/p>\nDie Ber\u00fccksichtigungspunkte:<\/h3>\n
\n2. Das Ergebnis einer Pr\u00fcfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeintr\u00e4chtigen k\u00f6nnten.
\n3. Das Risiko, dass die Drittlands-Muttergesellschaft eines EWR-Tochterunternehmens dieses anweisen k\u00f6nnte, personenbezogene Daten in ein Drittland zu \u00fcbermitteln.
\n4. Ob der Auftragsverarbeitungsvertrag nach europ\u00e4ischen Ma\u00dfst\u00e4ben unzul\u00e4ssige Verarbeitungen auf der Grundlage von Drittlands-Recht erlaubt.
\n5. Etwaige Zusicherungen der Drittlands-Muttergesellschaft und des EWR-Unternehmens zum Umgang mit kollidierenden Anforderungen des Rechts eines Drittstaates und der EU.
\n6. Eine Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen auch tats\u00e4chlich eingehalten werden k\u00f6nnen.
\n7. Eine Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tats\u00e4chlich eingehalten werden.
\n8. Etwaige in der Vergangenheit festgestellte Datenschutzverst\u00f6\u00dfe.
\n9. Die Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands sowie;
\n10. Der Ausschluss unzul\u00e4ssiger \u00dcbermittlungen durch geeignete technische und organisatorische Ma\u00dfnahmen.<\/p>\nDSK-Beschluss f\u00e4llt streng aus<\/h3>\n
\nDas Thema wird oft im Zusammenhang mit Cloud-Services der EU-T\u00f6chtern gro\u00dfer US-IT-Anbieter diskutiert. Diese speichern die Daten zwar in der EU – es gibt jedoch die abstrakte Gefahr, dass die Muttergesellschaften sie (ggf. auf Druck von US-Beh\u00f6rden) gesellschaftsrechtlich anweisen, Daten in die USA zu \u00fcbermitteln. Anders, als dies bspw. die Vergabekammer Baden-W\u00fcrttemberg bewertet hatte, sieht die DSK in der reinen Gefahr eines solchen Zugriffs keinen Drittlandtransfer!<\/p>\nFazit zum DSK-Beschluss<\/h2>\n
\nDer Beschluss bringt ein gewisses Ma\u00df an Rechtssicherheit, was die abstrakte Gefahr von Drittstaatentransfers angeht. Die hohen Anforderungen an die Auswahl des Auftragsverarbeiters erfordern bei Unternehmen in der Praxis dennoch weiterhin eine genaue (und dokumentierte) Pr\u00fcfung, welche Dienste verwendet werden k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"