Datenschützer sollten sich eigentlich immer freuen, wenn die Konferenz der deutschen Datenschutz-Aufsichtsbehörden (DSK) klare Worte findet.
Oft werden damit lange währende Unklarheiten beseitigt.
Der jüngste Beschluss vom 31. Januar 2023 beschäftigte sich mit der Frage, ob automatisch eine Drittlands-Übermittlung vorliegt, wenn ein Anbieter mit Server-Standorten in der EU zwar keine Daten in Drittländer übermittelt, die Mutter aber im Drittland Regelungen unterliegt, die sie zur Herausgabe oder Zugriffsgewährung auch auf Daten am Standort in der EU zwingen könnten.
Langer Schachtelsatz - kurze Überlegung dazu
Man sollte meiner Ansicht nach als Verantwortlicher also zukünftig seine Auftragsverarbeiter (bzw. Datenempfänger) in mehrere Kategorien unterteilen:
1. Auftragsverarbeiter ohne jeglichen Drittlands-Bezug oder mit Angemessenheitsbeschluss
Das sind die schönen Fälle, in denen man das Rundum-Sorglos Paket hat. Kein Drittlands-Bezug, keine Sorgen. Oder eben zwar Drittlands-Bezug aber es gibt einen Angemessenheitsbeschluss für das Drittland.
2. Auftragsverarbeiter mit Drittlands-Bezug
Also ein Anbieter mit Mutter oder vorherrschenden anderen Gesellschaften in einem Drittland, der aber dedizierte Standorte in der EU hat und keine Daten ins Drittland übermittelt.
3. Auftragsverarbeiter im Drittland
...oder mit Datenübermittlungen ins Drittland (z.B. für Wartung/Support oder bei der Übertragung von Analyse- oder Telemetrie-Daten)
Die Fälle 1 und 3 waren bisher immer klar. Und eigentlich hatte man sich bei Fall 2 gerne mehr oder weniger in Sicherheit gefühlt. Das hat die DSK nun aber klargestellt.
Was sagt sie denn im Beschluss vom 31.01.2023 (externer Download, PDF, DSK)?
"[...] 1. Die Gefahr allein, dass – etwa über gesellschaftsrechtliche Weisungsrechte – die Drittlands-Muttergesellschaft eines EWR-Unternehmens dieses anweisen könnte, oder dass öffentliche Stellen von Drittländern unmittelbar EWR-Unternehmen anweisen könnten, personenbezogene Daten in ein Drittland zu übermitteln, genügt nicht, um eine Übermittlung in ein Drittland i.S.d. Art. 44 ff. DSGVO anzunehmen.[...]"
Hört sich erstmal gut an. Eine Übermittlung in ein Drittland liegt nicht schon vor, bloß weil z.B. die US-Mutter oder -Behörden Anweisung geben könnten. Also was will dann die DSK eigentlich? Und nu kommt es:
"[...] 2. Allerdings kann eine solche Gefahr dazu führen, dass solchen Rechtsvorschriften unterliegenden Auftragsverarbeitern die Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO fehlt, soweit nicht diese – oder auch der Verantwortliche – technische und/oder organisatorische Maßnahmen ergriffen haben, die hinreichend Garantien dafür bieten, dass der Auftragsverarbeiter seinen Pflichten nachkommt, insbesondere was das Unterlassen von Verarbeitungen personenbezogener Daten ohne oder gegen die Weisung des Verantwortlichen angeht, im Speziellen auf der Grundlage von Verpflichtungen aus drittstaatlichem Recht.[...]"
Tjo... und was soll nun der Verantwortliche machen, damit er nicht einen "unzuverlässigen" Auftragsverarbeiter beauftragt, weil die "Gefahr" besteht, dass der - obwohl er nur in der EU verarbeitet - angewiesen werden könnte, Übermittlungen ins Drittland zu machen?
Das "Mini-TIA"
Die einfache Antwort: fast sowas wie ein Transfer Impact Assessment, nur eben irgendwie nicht ganz so umfangreich und irgendwie auch anders, nämlich:
"[...] eine Bewertung sämtlicher Umstände des Einzelfalls, ob der Auftragsverarbeiter und/oder die von ihm verarbeiteten Daten unter diese drittstaatliche Norm oder Praxis fallen und wenn ja, ob der Auftragsverarbeiter dennoch hinreichend Garantien dafür bietet, dass es nicht zu Verarbeitungen kommt, die nach den Maßstäben der DSGVO bzw. des anwendbaren mitgliedstaatlichen Rechts unzulässig sind.[...]"
Nun könnte man auch sagen - reicht doch die Zusicherung des Auftragsverarbeiters, dass er sich mit allen Mitteln gegen jegliche Anweisungen von Behörden wehren wird, oder?
Nö, reicht nicht.
Denn die DSK hat sich wirklich Gedanken gemacht und die 10 wichtigsten Prüfpunkte gleich mit aufgeführt, die da so anfangen:
"[...] Dabei sind insbesondere die folgenden Punkte zu berücksichtigen:
• das Ergebnis einer Prüfung hinsichtlich einer extraterritorialen Anwendbarkeit des Drittlands-Rechts und einer ggf. darüber hinausgehenden praktischen extraterritorialen Anwendung,
• bei einer extraterritorialen Anwendbarkeit und/oder Anwendung: das Ergebnis einer Prüfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeinträchtigen könnten (in Anlehnung an die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses), [...]"
Wie bitte?! - das ist doch fast schon ein TIA?!
Nein, ist es (noch) nicht, aber grade die oben genannten beiden ersten Punkte liegen schon recht nahe dran. Auch hier stellt sich die Frage, wie das ein kleineres oder mittleres Unternehmen überhaupt alles bewerten soll. Wie auch beim "großen" TIA.
Es werden aber auch abweichende Prüfpunkte formuliert und das hat mich dazu veranlasst, ein neues Dokument "Mini-TIA" zu verfassen und im Paket "Transfer Impact Assessment (TIA)" (externer Link, datenschutzdocs.de) mit beizulegen.
Wer sich die Arbeit selbst machen will - einfach ein Prüfdokument erstellen, das mindestens die 10 Punkte des DSK-Papiers enthält und das bei Auftragsverarbeitern mit Drittlands-Bezug durchexerzieren.
Hoffen wir mal, dass unser geliebter Datenschutz nicht bald nur noch zum Papierkrieg verkommt.