Am 21.06.2021 haben die deutschen Aufsichtsbehörden einer Pressemeldung die Sachlage klipp und klar beschrieben:
„In seinem Urteil "Schrems II" hat der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar.“
Welche Fälle von US-Datentransfers wären denn noch denkbar? Die deutschen Aufsichtsbehörden lassen dies offen, aber vermutlich wäre es z.B. machbar, dass man lokal verschlüsselte Daten (z.B. Backups) auf US-Servern speichert. Hier wären die EU-Standardvertragsklauseln also anwendbar (sofern die Backup-Daten personenbezogene Daten beinhalten, die dies erforderlich machen).
Aber was ist mit allen anderen Fällen, wie Videokonferenzen, Website-Technologien und bei US-Anbietern gehostete E-Mail- und Groupware-Server?
Die deutschen Aufsichtsbehörden verweisen explizit auf die Empfehlungen zu den "ergänzenden Maßnahmen" des EDPB (European Data Protection Board), welches am 18.06.2021 hier eine 48-seitige Empfehlung erarbeitet (die wir hier mittels www.deepL.com automatisiert ins Deutsche übersetzt haben). Dort ist zu lesen:
- Allem Voran gehört die wirksame Verschlüsselung zu diesen Maßnahmen, sofern gemäß Randnummer 84 sichergestellt ist, dass "die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs [...] aufbewahrt [werden...]". Aber auch eine wirksame Pseudonymisierung ist gemäß Randnummer 85 möglich.
- Eine ganz klare Absage wird aber den technischen Gegebenheiten der typischen (US-) Clouddienste u.a. in Randnummer 94 und 95 erteilt:
"(94) Ein Datenexporteur übermittelt personenbezogene Daten, sei es durch elektronische Übermittlung oder durch Zurverfügungstellung an einen Cloud-Service-Provider oder einen anderen Auftragsverarbeiter, um personenbezogene Daten nach seinen Anweisungen in einem Drittland verarbeiten zu lassen (z. B. für die Bereitstellung von technischem Support oder jede Art von Cloud-Verarbeitung), und diese Daten sind nicht - oder können nicht - pseudonymisiert werden, wie in Anwendungsfall 2 beschrieben, oder verschlüsselt werden, wie in Anwendungsfall 1 beschrieben, weil die Verarbeitung den Zugriff auf Daten im Klartext erfordert. [...]
[Hier] ist der EDSB nach dem derzeitigen Stand der Technik nicht in der Lage, sich eine wirksame technische Maßnahme vorzustellen, die verhindert, dass dieser Zugriff die Grundrechte der betroffenen Person beeinträchtigt. [...]
(95) In den gegebenen Szenarien, in denen unverschlüsselte personenbezogene Daten für die Erbringung der Dienstleistung durch den Auftragsverarbeiter technisch notwendig sind, stellen Transportverschlüsselung und Data-at-rest-Verschlüsselung auch zusammengenommen keine ergänzende Maßnahme dar, die ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, wenn der Datenimporteur im Besitz der kryptografischen Schlüssel ist."
- Das gleiche gilt für Geschäftsprozesse, wo US-Unternehmen der Zugriff auf Unternehmensdaten gewährt wird (beispielsweise der US-Konzernmutter), wie die Randnummern 96 und 97 erläutern.
- In den Randnummern 98-143 werden noch zusätzliche vertragliche und organisatorische Maßnahmen erörtert, die aber nur sehr schwer einzuschätzen sind.
Die Firma SecureDataService möchte diese Transformation unterstüzen und liefert einen Digitalisierungs-Leitfaden, der europäische Alternativen aufzeigt:
https://www.securedataservice.de/Digitalisierungs-Produkte.pdf
Das obige Dokument ist ein Ausschnitt aus dem Dokument-Portfolio des Datenschutz-Praxisleitfadens PrivazyPlan®, der für 295 € (brutto) erhältlich ist und monatlich aktualisiert wird.
Quellen:
- EuGH-Urteil "Schrems II", Az. C311/18 vom 16.07.2020
- Entschließung der Datenschutzkonferenz zur "Digitalen Souveränität der öffentlichen Verwaltung" am 22.09.2020
- Empfehlung 01/2020 der EDBP zu "Recommendations on measures the supplement transfer tools to ensure compliance wicht EU level of protection of personal data - Version 2.0" am 18.06.2021
- Pressemeldung der Datenschutzkonferenz zu "Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln sind nötig" am 21.06.2021