Wie in unserem Newsletter bereits im Mai angekündigt, dürfen wir seit geraumer Zeit auf die Expertise unserer neuen Datenschutz-Beauftragten Loan Truong bauen. Damit nicht nur wir, sondern auch unsere Kunden davon profitieren können, wollen wir Loan die Möglichkeit geben, in regelmäßigen Abständen relevante Informationen auf diesem Wege zu teilen. Habt Ihr Themen, die Euch in Bezug auf Datenschutz in der Gemeindearbeit interessieren, so sendet diese ganz unkompliziert an unseren Support. Wir werden diese dann gerne aufgreifen.
Kürzlich hat die Europäische Kommission neue Standardvertragsklauseln erlassen. Diese Klauseln sollen eine datenschutzkonforme Übermittlung von personenbezogenen Daten in Drittländer ermöglichen. Was muss Deine Gemeinde als datenschutzrechtlich verantwortliche Stelle jetzt beachten? In welchen Situationen müssen die Standardvertragsklauseln verwendet werden? Wann liegen Drittländer gemäß Datenschutz-Grundverordnung (DS-GVO) vor? Diese und weitere Fragen werden wir nachfolgend beantworten. Wir hoffen, Du siehst danach etwas klarer im Drittlandübermittlungs-Dschungel!
Rechtmäßigkeit der Datenübermittlung in Drittländer
Für die Verarbeitung von personenbezogenen Daten (z.B. Name, Adresse) braucht jede Gemeinde als verantwortliche Stelle eine Rechtsgrundlage nach Art. 6 DS-GVO (wie Erfüllung des Mitgliedschaftsvertrages oder die Wahrung von berechtigten Interessen Deiner Gemeinde).
Bei Datenübermittlungen in Drittländer (ebenfalls Datenverarbeitung im Sinne der DS-GVO) muss Deine Gemeinde in einer 2. Stufe prüfen, ob das Zielland über ein angemessenes Datenschutzniveau verfügt. Drittländer sind Länder außerhalb der EU / des EWR. Die Datenübermittlung ist nur zulässig, wenn ein solches angemessenes Schutzniveau gewährleistet werden kann.
Die DS-GVO sieht insbesondere folgende Möglichkeiten für die Gewährleistung eines angemessenen Schutzniveaus im Empfängerstaat vor:
- Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DS-GVO)
- Vorliegen geeigneter Garantien, z.B. die Einbeziehung von Standardvertragsklauseln (Art. 46 DS-GVO)
Im Angemessenheitsbeschluss stellt die Kommission nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland fest. Bei Vorliegen eines solchen Beschlusses trifft Deine Gemeinde keine zusätzliche gesteigerte Prüfpflicht in Bezug auf die Drittlandübermittlung. Ein solcher Beschluss liegt bspw. für Israel oder die Schweiz vor, nicht jedoch für die USA. Der EuGH hat in seiner sog. Schrems II-Entscheidung den Beschluss der Kommission über das „Privacy Shield“ nämlich für unwirksam erklärt, sodass Übermittlungen in die USA nicht länger hierauf gestützt werden können.
Für Datenübermittlungen in die USA oder andere Drittländer abseits der Angemessenheitsbeschlüsse kommen insbesondere die sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DS-GVO) in Betracht. Diese Vertragsklauseln müssen in einem Vertrag zwischen Deiner Gemeinde als datenexportierende Stelle und dem Datenexporteur (bzw. Provider eines Kollaboration-Tools aus den USA) aufgenommen werden.
Neue Standardvertragsklauseln: Ende gut, alles gut?
Infolge der Schrems II-Entscheidung war es erforderlich, die Standardvertragsklauseln anzupassen. Die neuen Klauseln können der Drittlandübermittlung ebenfalls zu Grunde gelegt werden. Die Verwendung zusätzlicher Maßnahmen ist jedoch erforderlich, wenn im Empfängerstaat infolge der Rechtslage bzw. -praxis das durch die Standardvertragsklauseln vorgesehene Schutzniveau de facto nicht gewährleistet werden kann. Sind zusätzliche Maßnahmen nicht möglich, hat die Übermittlung zu unterbleiben.
Alle Verantwortlichen haben eine solche Prüfung vor Datenübermittlung durchzuführen (vgl. Artikel 14) und diese der Aufsichtsbehörde auf Aufforderung nachzuweisen. Für die Prüfung der Rechtslage bzw. -praxis im Empfängerstaat und möglicher Maßnahmen können die verantwortlichen Gemeinden die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) heranziehen. In diesem Zusammenhang ist darauf hinzuweisen, dass einige deutschen Aufsichtsbehörden bereits mit der koordinierten Prüfung in Bezug auf die Umsetzung der Schrems II-Entscheidung des EuGH begonnen haben.
Was ist nun konkret zu tun?
Deine Gemeinde sollte schnellstmöglich eine Bestandaufnahme machen, in welchen Fällen personenbezogene Daten in Drittländer übermittelt werden (sofern noch nicht geschehen). Im nächsten Schritt ist zu überprüfen, ob der internationale Datentransfer auf einen Mechanismus nach Art. 45 ff. DS-GVO gestützt werden kann.
Bei der Nutzung von Standardvertragsklauseln muss Deine Gemeinde überprüfen, ob zusätzliche Maßnahmen ergänzend vereinbart werden müssen. Das wird für den Datentransfer in die USA immer der Fall sein. Der EuGH hat in seiner Schrems II-Entscheidung nämlich explizit festgestellt, dass eine Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln nur mit zusätzlichen Maßnahmen (z.B. Verschlüsselung oder Anonymisierung) möglich ist.
Die neuen Klauseln sind ab 27.09.2021 bei neuen Verträgen zwingend zu verwenden. Bei „Altverträgen“ verlieren die Klauseln Ende 2022 ihre Gültigkeit, sodass die neuen Klauseln bis zu diesem Zeitpunkt vereinbart werden müssen.
Angesichts der weitreichenden und zeitaufwändigen Prüfpflicht bei Drittlandübermittlungen ist es empfehlenswert, nur Dienste zu nutzen, die keine personenbezogenen Daten in ein Drittland übermitteln (z.B. ChurchTools). Hierdurch wird zusätzlich gewährleistet, dass Deine Gemeinde im größtmöglichen Umfang weiterhin „Herrin ihrer Daten“ bleibt und digital souverän handeln kann.