Der Europäische Gerichtshof hat das Privacy-Shield Abkommen mit den USA in dem sog. Schrems II Urteil für ungültig erklärt. Auch die Anwendung der EU-Standardvertragsklauseln oder von verbindlichen Unternehmensregeln hält das european data protecion board nicht für ausreichend.
Die Aufsichtsbehörden gehen jetzt den nächsten Schritt und erwarten, dass auch Auftragsverarbeitungen durch Tochterfirmen von US-Unternehmen kritisch zu betrachten sind. Unternehmen müssen jetzt handen um Bußgelder zu vermeiden.
Ausgangssituation
Die meisten US-Cloud-Anbieter bieten daher Lösungen an, bei denen eine Verarbeitung aus-schließlich in der EU zugesichert wird. So kann durch Abschluss geeigneter Verträge eine weitere Nutzung der Dienste von Google, Microsoft, Amazon, Salesforce, usw. zumindest formell auf eine rechtlich gültige Basis gestellt werden.
Schrems II – 2. Akt
Nun kann es durchaus vorkommen, dass z.B. im Rahmen von Wartungsarbeiten personen-bezogene Daten von der EU-Niederlassung in die USA übertragen werden. Auch Vertrags- oder Kundendaten könnten mit der US-Mutter ausgetauscht werden. Dazu ist zu befürchten, dass US-Behörden auf Daten zugreifen können, auch wenn diese in der EU gespeichert wer-den.
Die Datenschutzbehörden sind daher, nach eigener Kommunikation mit diesen, der Ansicht, dass verantwortliche Stellen ihre Auftragnehmer zu den Risiken befragen müssen, die sich aus der geschilderten Situation ergeben. Anderenfalls verstoßen sie gegen Ihre Pflichten Auftragnehmer angemessen zu prüfen (Art. 28 Abs. 1 DSGVO).
Sofern Sie Auftragsverarbeiter mit US-Mutterfirmen haben oder wenn die relevante Liste der Unterauftragnehmer solche Firmen enthält, sollten Sie diesen daher folgende Fragen stellen:
- Ist es möglich, dass im Rahmen der Beauftragung personenbezogene Daten in Län-der außerhalb der EU übertragen werden, für die keine Angemessenheitsbeschlusses nach Art. 45 DSGVO vorliegt (z.B. USA)?
- Bestehen für Ihr Unternehmen Zusammenarbeitsverpflichtungen nach US Gesetzen wie Section 702 FISA oder Executive Order 12.333?
- Falls eine solche Verpflichtung besteht, gab es in der Vergangenheit Anfragen von US Behörden auf Offenlegung personenbezogener Daten von EU Bürgern. Falls ja, wie häufig sind diese in der Vergangenheit erfolgt?
- Haben Sie Sicherheitsmaßnahmen implementiert, mit deren Risiken für Betroffene re-duziert werden? Dies kann sowohl Maßnahmen beinhalten, die einen unbemerkten Zugriff durch US-Behörden verhindern als auch Maßnahmen, die einen Zugriff gänzlich verhindern, wie z.B. End-to-End-Verschlüsselung oder Maßnahmen, die geeignet sind anderweitig das Risiko für Betroffene zu reduzieren.
Was nun?
Auf Grundlage der Antworten Ihrer Auftragnehmer oder Geschäftspartner müssen Sie dann die Risiken für Betroffene aufgrund des möglichen Zugriffs durch US-Behörden bewerten. Falls Sie die Aufsichtsbehörde fragt, wie und auf welcher Grundlage sie diese Risiken bewertet haben sollten dazu plausible Antworten vorliegen. Spätestens im kommenden Jahr ist zu erwarten, dass die Behörden ausgewählte Unternehmen dazu befragen werden.
www.sued-it.de