Die Übermittlung personenbezogener Daten an die Vereinigten Staaten: auf dem Weg zu einer unmöglichen Lösung?

Seit dem 16. Juli 2020 ist die Übermittlung personenbezogener Daten in ein Land, das nicht über ein angemessenes Schutzniveau verfügt, darunter die Vereinigten Staaten, fragwürdig und erfordert eine Prüfung der mit einer solchen Übermittlung verbundenen Risiken. Das Versäumnis, dies zu tun, kann daher als Verletzung sowohl des DSVGO als auch des Bundesgesetzes über den Datenschutz betrachtet werden. Wie sollte eine solche Überprüfung durchgeführt werden?

Um den Unternehmen zu helfen, in Übereinstimmung mit diesen neuen Anforderungen zu handeln, schlug die Europäische Kommission am 12. November 2020 eine neue Version der Modellklauseln vor. Diese neue Fassung, die derzeit einer öffentlichen Kommentierungsfrist bis zum 10. Dezember 2020 unterliegt, dürfte ein Jahr nach ihrer Veröffentlichung im Amtsblatt, d.h. aller Wahrscheinlichkeit nach im ersten Quartal 2022, die einzig akzeptable sein.

Neue Version der Musterklauseln

Diese neue Version sieht insbesondere vor, dass die Parteien, die die Musterklausel unterzeichnen, sicherstellen müssen, dass die Gesetzgebung des Landes, in das die Daten übermittelt werden, die Grundrechte der Bürger respektiert. Das Ergebnis dieser Beurteilung muss dokumentiert werden. Sie basiert insbesondere auf den folgenden Kriterien:

• Gewährleisten die in dem Land, in das die Daten übermittelt werden, geltenden Gesetze die Einhaltung der Grundrechte der Bürger, insbesondere im Hinblick auf die geltenden Überwachungsgesetze?

• Welche Arten von Daten werden übertragen? Sind es nur Verbindungsdaten oder auch Verbraucherdaten?

• Sind diese Transfers episodisch oder erfolgen sie häufig und regelmäßig?

• Was ist der Zweck der Behandlung?

• War das Unternehmen, das die Daten verarbeitet, Gegenstand von Anträgen der Behörden, die die Offenlegung der Daten verlangen? Wenn ja, bei wie vielen Gelegenheiten?

• Die Berücksichtigung aller zusätzlich zur Musterklausel getroffenen Schutzmaßnahmen, insbesondere technischer und organisatorischer Maßnahmen, sei es im Zuge der Übermittlung oder zum Zeitpunkt der Verarbeitung durch die Stelle, an die die Daten übermittelt wurden.

Diese Einschätzung ist nicht auf die leichte Schulter zu nehmen, da sie den Behörden unter Umständen auf Verlangen ausgehändigt werden muss.

Empfehlungen

Geht man davon aus, dass dieser von der neuen Version der Modellklausel befürwortete Ansatz im endgültigen Text beibehalten wird, müssen die Unternehmen daher einen erheblichen Aufwand für die Einhaltung der Vorschriften betreiben. Diese Arbeit lässt sich in die folgenden Schritte unterteilen:

• Machen Sie zunächst eine Bestandsaufnahme der stattfindenden Transfers persönlicher Daten (ob an verbundene Unternehmen oder an Dritte).

• Überprüfen Sie dann die Grundlage, auf der diese verschiedenen Transfers durchgeführt werden. Wenn diese Daten in ein Land mit einem angemessenen Schutzniveau oder an eine der DSGVO unterstellte Einrichtung exportiert werden, sollten keine weiteren Schritte erforderlich sein. Ist dies nicht der Fall und unabhängig von der vorgesehenen Rechtsgrundlage, sollten folgende Schritte unternommen werden:

• Durchführung einer dokumentierten Bewertung der mit der Übertragung solcher Daten verbundenen Risiken in einer Weise, die mit der obigen Modellklausel vereinbar ist. Die im November 2020 veröffentlichte Empfehlung 01/2020 kann ebenfalls eine nützliche Grundlage für die Arbeit in diesem Bereich darstellen.

• Wenn diese Prüfung zu der Schlussfolgerung führt, dass gewisse Risiken bestehen, dokumentieren Sie die zusätzlichen Massnahmen, die zu deren Bewältigung vorgesehen sind.

• Schließlich sollten die Risiken in regelmäßigen Abständen neu bewertet werden, um sicherzustellen, dass die anfängliche Bewertung angemessen bleibt.

Schlussfolgerung

Was ist von dem vorgeschlagenen neuen System zu halten, das an sich schon den neuen Anforderungen des Gerichtshofs zu entsprechen scheint?

• Dieses Verfahren ist besonders umständlich, da es von jedem Unternehmen, das einen Transfer in ein Land durchführt, das kein angemessenes Schutzniveau genießt – und davon gibt es weiß Gott viele -, eine Bewertung der mit einem solchen Transfer verbundenen Risiken erfordert.

• Dieser Prozess muss für jeden Transfer und jeden Lieferanten befolgt werden. Es werden zwar einige Instrumente entwickelt, die den Unternehmen helfen sollen, die in den verschiedenen Ländern geltenden aufsichtsrechtlichen Vorschriften zu beurteilen, doch reichen diese nicht aus, um eine solche Beurteilung vorzunehmen, die anhand vieler anderer Kriterien vorgenommen werden muss, die einen fallspezifischen Ansatz erfordern.

• Der Aufwand für die Dokumentation dieser Risikobewertungen wird im Jahr 2021 beträchtlich sein, so dass es fraglich ist, ob er realistisch erscheint, insbesondere, aber nicht nur, für KMU, die dafür externe Unterstützung in Anspruch nehmen und in einer ohnehin schon besonders schwierigen Wirtschaftslage Budgets freisetzen müssen.

• Jede Nichteinhaltung kann von den zuständigen Behörden sanktioniert werden.

Wilhelm Gilliéron Rechtsanwälte AG steht Ihnen zur Verfügung, um Ihnen zu helfen, die Einhaltung der Vorschriften so effizient wie möglich zu gewährleisten.