single.php
< Beitrag von Matthias Rosa

Rechtliche Entwicklung im Cloud Computing: Neues zum transatlantischen Datenverkehr – Gastbeitrag

Häufig greifen deutsche Unternehmen auf Cloud-Computing-Lösungen US-amerikanischer Anbieter zurück. Die Bedeutung des transatlantischen Datenverkehrs ist entsprechend hoch. Veranlasst ein deutsches Unternehmen die Übertragung personenbezogener Daten von Deutschland in die USA, sind die datenschutzrechtlichen Vorgaben zu beachten. Im Folgenden wird die rechtliche Entwicklung im Cloud Computing näher beleuchtet.

Grundsatz der Zwei-Stufen-Prüfung

Für die rechtlich zulässige Übertragung personenbezogener Daten von Deutschland in das außereuropäische Ausland ist grundsätzlich eine zweistufige Prüfung vorzunehmen:

  1. Die Datenverarbeitung muss durch einen Dritten generell erlaubt sein, bspw. durch Einwilligungen der Betroffenen oder bestimmte Erlaubnistatbestände. Siehe auch Blog-Artikel Rechtliche Fragen des Cloud Computing.
  2. Es ist abzuklären, ob in dem Empfängerland der betreffenden Daten ein angemessenes Datenschutzniveau vorliegt.

Bereits die fehlende Rechtfertigung für die Datenverarbeitung auf der 1. Stufe führt direkt zur Unzulässigkeit auf der 2. Stufe. Erst wenn auf der 1. Stufe die Zulässigkeit feststeht, stellt sich die Frage zur Angemessenheit des Datenschutzniveaus im Empfängerland.

Der transatlantische Datentransfer mit den USA auf Grundlage des Privacy Shield

Zur Gewährleistung eines angemessenen Datenschutzniveaus in den USA, können Unternehmen derzeit auf den sog. EU-US-Privacy-Shield (nachfolgend Privacy Shield) zurückgreifen. Eine Angemessenheitsentscheidung der EU-Kommission, ergangen auf Grundlage des dokumentierten Verhandlungsergebnisses zwischen den USA und der Europäischen Union. Das Privacy Shield löst die bis Oktober 2015 praktizierte „Safe-Harbor-Entscheidung“ der EU-Kommission ab. Neu geregelt wurden dabei Datenschutzvorgaben für US-Firmen, der Datenzugriff von US-Behörden, eine Rechtsdurchsetzung Betroffener in den USA sowie bestimmte Review-Mechanismen. In den USA ist der Privacy Shield sehr beliebt. Aktuell (11.04.2017) sind 1.977 US-Firmen registriert. Allein die Registrierung eines Betriebs reicht jedoch für eine Konformität mit geltendem Datenschutzrecht nicht aus.

Wie müssen Unternehmen das Privacy Shield umsetzen?

Zur praktischen Umsetzung des Privacy Shield veröffentlichte die Artikel-29-Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden innerhalb der EU, im Dezember 2016 das Working Paper 245 – einen Leitfaden für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln und dort verarbeiten lassen. Diese sollten als verantwortliche Stelle die Vorgaben des Leitfadens berücksichtigen:

  1. Besitzt das US-Unternehmen ein gültiges Zertifikat? Dies wird über die Liste des US-Handelsministeriums veröffentlicht und sollte zusätzlich durch die US-Firma nachgewiesen werden. Zu beachten ist, dass die Zertifikate jährlich erneuert werden müssen. Ist ein Unternehmen hier nicht gelistet, verweist die Artikel-29-Datenschutzgruppe auf die Möglichkeit der Verwendung der sogenannten EU-Standardvertragsklauseln hin.
  2. Welche Daten-Kategorien werden über das Zertifikat abgedeckt? Anhand des Listeneintrags ist nachzuvollziehen, ob die Daten, die in die USA transferiert werden sollen, vom Zertifikat des US-Betriebs umfasst sind. Dies gilt vor allem für die Beschäftigtendaten.
  3. Compliance-Prüfung: Kommt das US-Unternehmen seinen Informationspflichten gegenüber Betroffenen nach? Die verantwortliche Stelle hat sich auch nachweisen zu lassen, wie das US-Unternehmen seinen Informationspflichten gegenüber den von der Datenverarbeitung betroffenen Personen nachkommt.
  4. Werden die Anforderungen einer Auftrags(daten)verarbeitung erfüllt? Ein deutsches Unternehmen, das einen US-Betrieb mit der Verarbeitung personenbezogener Daten beauftragt hat, darf sich dabei nicht allein auf das Privacy Shield Zertifikat verlassen. Erforderlich ist vielmehr der Abschluss eines Vertrages zur Auftrags(daten)verarbeitung. Mit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) zum 25.05.2018 hat die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrages oder eines anderen bindenden Rechtsinstruments stattzufinden. Hierfür wird allerdings auch eine elektronische Form ausreichend sein.

Künftige Entwicklung unter der Datenschutzgrundverordnung (DSGVO)

Sofern das Privacy Shield der nächsten Überprüfung standhält, gelten wahrscheinlich auch mit Inkrafttreten der DSGVO am 25.05.2018 weiterhin ähnliche Anforderungen (zweistufige Prüfung) an den Datentransfer in die USA:

Zur Vorbereitung sollten Unternehmen die 2018 geltenden neuen Instrumentarien erkennen und nutzen. Nachweispflichten der Verantwortlichen werden z. B. durch die Einhaltung genehmigter Verhaltensregeln (Codes of Conduct) oder durch Zertifizierungen erleichtert. Solche Instrumente können auch Übermittlungen aus mehreren Mitgliedstaaten abdecken, sofern sie mit den Datenschutzbehörden aller Mitgliedstaaten im Kohärenzverfahren abgestimmt sind. Bestehende Verträge mit US-Firmen sollten für den Stichtag, den 25.05.2018, frühzeitig angepasst werden.

Relevant dürften vor allem die künftig geltenden, sehr hohen Bußgelder der DSGVO sein (10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes / 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes), so dass nicht zuletzt dem internationalen Datentransfer als Compliance-Thema mehr Beachtung im Bereich des unternehmenseigenen Risikomanagements geschenkt werden sollte.

Was sollten Unternehmen aktuell beachten?

Auf jeden Fall ist die aktuelle Entwicklung, die nach wie vor extrem unsicher ist, im Auge zu behalten. Verschiedene nichtstaatliche Organisationen haben bereits Klage vor dem Europäischen Gerichtshof gegen den Privacy Shield eingereicht. Aber auch die aktuelle Politik der US-Regierung, etwa die am 25.01.2017 erlassene Anordnung zur Verbesserung der Inneren Sicherheit in den USA (Executive Order: Einhändig Public Safet in the Interior of the United States), sorgte bei der EU-Kommission für Diskussionsbedarf. So hat das EU-Parlament am 05.04.2017 eine kritische Resolution zum Privacy Shield angenommen und vorhandene Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.

Ferner findet voraussichtlich im Sommer 2017 eine weitere Überprüfung des Privacy Shield statt. So wird hierbei u. a. zu bewerten sein, ob die vorhandenen Schutzmaßnahmen funktionsfähig und effektiv sind. Je nach Ausgang können sich daraus Maßnahmen der Aufsichtsbehörden ergeben. Auswirkungen können sich dann auch auf andere Übermittlungsinstrumente ergeben, wie verbindliche Unternehmensregelungen (BCR) und Standardvertragsklauseln.

Fazit

Unternehmen sollten sich neben dem Privacy Shield auch um Alternativen bemühen, bspw. die EU-Standardvertragsklauseln, mit denen das Datenschutzniveau gewährleistet werden kann. Solche Lösungen könnten dabei mit dem Privacy Shield als „Sicherheitsnetz“ kombiniert werden.

Zum Autor:
Matthias Rosa ist Fachanwalt für Informationstechnologierecht bei der Kanzlei RESMEDIA Mainz.

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.