Schrems II – Liegt die schnelle Lösung für die Zukunft von grenzüberschreitenden Datentransfers in Verschlüsselung?
Heutzutage wird es einem als Datenschutzexperte niemals langweilig. In diesem Sommer hat Herr Schrems, einer der profiliertesten Datenschutzaktivisten in Europa, es geschafft unsere sich stets entwickelnde Datenschutzlandschaft wieder einmal aufzumischen. Am 16. Juli hat der Gerichtshof der Europäischen Union (EuGH) die wegweisende Entscheidung Nr.C‑311/18 (das Schrems II-Urteil) in Bezug auf Datentransfers an Drittländer gefällt, in der Klage von Herrn Schrems gegen Facebook.
Unsere Datenschutz- und Technologierechtsexpertin Petra Kovacsics LL.M. äußert ihre Meinung zu dem Dilemma, dem Datenschutzexperten nun gegenüberstehen, und zum Zusammenspiel von grenzüberschreitenden Datentransfers und Verschlüsselung.
Hintergrund – Welche Relevanz haben grenzüberschreitende Datenschutzregelungen und das Schrems II-Urteil?
In unserer globalen Datenwirtschaft sind Unternehmen in zunehmendem Maße auf grenzüberschreitende Datenübertragungen angewiesen. Seit dem Inkrafttreten der DSGVO genießen europäische Datensubjekte (Betroffene) den Vorteil eines verbesserten und einheitlichen Schutzes ihrer personenbezogenen Daten innerhalb des EWR. Wenn ihre personenbezogenen Daten außerhalb des EWR übertragen werden, verlieren europäische Betroffene möglicherweise die Garantien der DSGVO zum Schutz ihrer personenbezogenen Daten. Dementsprechend schränkt die DSGVO den Transfer personenbezogener Daten in Länder außerhalb des EWR ein, es sei denn, die spezifischen Anforderungen der DSGVO werden erfüllt.
Herr Schrems’ Rechtsstreit mit Facebook hat maßgebliche Änderungen für die potenziellen Mechanismen für grenzüberschreitende Datentransfers mit sich gebracht. Angesichts der weitreichenden Überwachungsbefugnisse US-amerikanischer Behörden und des Mangels an Rechtsbehelfen für EU-Betroffene in derartigen Verfahren hat der EuGH nun das EU-US Privacy Shield Framework (Privacy Shield) als ungültig erklärt. Nach Auffassung des EuGH sind auf Standarddatenschutzklauseln (Standardvertragsklauseln, SVK) basierende, von der Europäischen Kommission herausgegebene Datenübermittlungsvereinbarungen gültig, aber die Anwendbarkeit von SVK ist ebenfalls unübersichtlich geworden.
(Um mehr über diese Datenübertragungsmechanismen zu erfahren, hören Sie sich doch einmal unser aktuelles Podcast mit Jitty van Doodewaerd an.)
Während die Ungültigkeit des Privacy Shields eine Auswirkung auf Übertragungen zwischen der EU und den US hat, haben die Erkenntnisse des EuGH bezüglich SVK erhebliche Auswirkungen auf alle aus der EU stammenden Datentransfers. Unternehmen, die Daten außerhalb der EU übertragen, müssen ihre Regelungen überprüfen und kontrollieren, dass ein gültiger Mechanismus vorliegt, auf den sie sich verlassen können.
Die Beurteilung von SVK in der Praxis
Dem iApp-EY Annual Governance Report nach haben die meisten Unternehmen auf SVK gebaut, um die Datenübertragungsregelungen der DSGVO zu erfüllen.[1] Nach dem Schrems II-Urteil scheint es nun, wie Kommissar Didier Reynders bemerkt, dass “es nicht einfach möglich ist SVK ohne jegliche Änderungen zu nutzen.”[2]
Im Schrems II-Urteil konstatiert der EuGH, dass den Datenexporteuren eine erhöhte Verantwortung zukommt, die mit den auf SVK basierenden Datenübertragungen verbundenen Risiken zu beurteilen und, falls nötig, ergänzende Maßnahmen zu ergreifen, um Daten in ein Drittland zu übertragen. Der EuGH gibt einige Beispiele für potenzielle zusätzliche Anforderungen an SVK,[3] aber es scheint dennoch so, als müssen derartige ergänzende Sicherheitsmaßnahmen in einer Einzelfallbeurteilung festgelegt werden, abhängig von der Datenschutzlandschaft der relevanten Gerichtsbarkeit.[4]
Momentan scheint es, dass es mehr Fragen bezüglich solch zusätzlicher Maßnahmen gibt, als Antworten auf diese. Selbst der Europäische Datenschutzausschuss bittet um mehr Zeit, um das Urteil des EuGH näher zu analysieren und “die Art von ergänzenden Maßnahmen zu bestimmen, die zusätzlich bereitgestellt werden könnten (…) seien es rechtliche, technische oder organisatorische Maßnahmen.”[5]
Könnte Ende-zu-Ende-Verschlüsselung die schnelle Lösung sein?
Als Datenschutzexpertin muss ich Herrn Schrems beipflichten, der fordert: “Die langfristige Lösung muss sein, dass wir unsere gegenseitigen grundlegenden Rechte akzeptieren (zumindest unter den westlichen Ländern und auch innerhalb der EU) - und nicht der Stopp von Datentransfers.” Aber was können wir bis dahin in der Praxis unternehmen, um Compliance zu garantieren?
Es ist nicht überraschend, dass es dazu hunderte verschiedener Meinungen unter Datenschutzexperten gibt, aber es scheint, als sind einige von uns sich darin einig, dass Verschlüsselung als technische Maßnahme ausreichend Schutz sein mag, um EU-Daten in bestimmten grenzüberschreitenden Datentransfers zu sichern.[6] Außerdem veröffentlichte die Datenschutzbehörde des deutschen Bundeslands Baden-Württemberg (der Landesbeauftragte für Datenschutz und Informationsfreiheit, LfDI) kürzlich einen Leitfaden, in dem der LfDI anerkennt, dass Ende-zu-Ende-Verschlüsselung eine zulässige Maßnahme sein könnte, die zusätzlichen Schutz und Risikominderung bietet. Gemäß dem LfDI ist Verschlüsselung hinreichend, wenn (i) nur der Datenexporteur Zugang zu den Verschlüsselungscodes hat; und (ii) diese nicht von Geheimdiensten gebrochen werden kann.[7]
Dies deutet darauf hin, dass Datenexporteure, die Ende-zu-Ende-Verschlüsselung verwenden, selbst dann konform handeln, wenn sie Daten in riskante Gerichtsbarkeiten übertragen. Die Begründung dahinter ist, dass, wenn personenbezogene Daten korrekt verschlüsselt sind und der Verschlüsselungsalgorithmus besonders stark ist, nur der Datenexporteur im Besitz des Verschlüsselungscodes die Dateien entschlüsseln und die Person, der die Daten gehören, identifizieren kann. Zur gleichen Zeit hat der Datenimporteur keinen Zugang zu dem Schlüssel, um die Dateien zu entschlüsseln, und ist daher nicht dazu in der Lage, die Person zu identifizieren. Daher kann die Nutzung von Ende-zu-Ende-verschlüsselten Service-Providern dazu beitragen Verarbeitungsprozesse zu sichern – und EU-Unternehmen dabei helfen, den Auflagen des EuGH gemäß konform zu handeln.
Trotzdem ist es möglich, dass Verschlüsselung kein Patentrezept für alle Fälle ist. Wenn die Datenverarbeitungsaktivität, die zu einem Unternehmen außerhalb des EWR ausgelagert wurde, Zugriff auf personenbezogene Daten in lesbarer Form verlangt, dann ist Ende-zu-Ende-Verschlüsselung natürlich keine Option, um den Datenschutz beim grenzüberschreitenden Transfer zu garantieren. Organisationen sollten ihren grenzüberschreitenden Datentransfermechanismus beurteilen und einen Ansatz finden, ihrer Sorgfaltspflicht bezüglich des Drittverarbeiters nachzukommen. Es scheint, dass Datenverantwortliche dazu in der Lage sein werden, Übermittlungen in bestimmten Fällen weiterhin auszuführen, wenn hinreichende technische Maßnahmen ergriffen werden, wie beispielsweise Ende-zu-Ende-Verschlüsselung. Dann werden sie sich zukünftig nur noch auf ihre restlichen Datenverarbeiter in Drittländern konzentrieren müssen.
Die auf dieser Webseite verfügbaren Materialien dienen nur zu Informationszwecken und stellen keine rechtliche Beratung dar. Für Rechtsbeistand bezüglich eines bestimmten Problems kontaktieren Sie bitte Ihren Rechtsanwalt.
[1]https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/
[2]https://www.euractiv.com/section/data-protection/news/dont-expect-new-eu-us-data-transfer-deal-anytime-soon-reynders-says/
[3]Z.B. die Bitte an den Datenimporteur, den Datenverantwortlichen darüber zu informieren, falls der Empfänger nicht dazu in der Lage ist den SVK gemäß konform zu handeln
[4] Paragraph 133 des Schrems II-Urteils
[5]Frequently Asked Questions on the judgement of the Court of Justice of the European Union in Case-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximililian Schrems
[6]https://iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/; https://teachprivacy.com/schrems-ii-reflections-on-the-decision-and-next-steps/;
[7]https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf