Es ist ein Paukenschlag. Am 31.01.2023 formulieren die deutschen Aufsichtsbehörden erhebliche Drittland-Anforderungen im DSK-Beschluss
„Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten“ und hat dafür 10 Punkte festgelegt, nach denen Dienstleister geprüft werden sollen.
Was heißt das?
Es gibt also keine Entwarnung, wenn insbesondere Anbieter mit US-Hintergrund Ihren Sitz in Europa haben und die Daten ausschließlich in Europa verarbeiten (und somit offiziell keine Daten in die USA übermitteln).
Insbesondere durch den US-Cloud-Act ist ein unzulässiger Datentransfer z.B. an US-Gerichte und US-Sicherheitsbehörden möglich, wodurch internationale Rechtshilfeabkommen umgangen würden („extraterritoriale Zugriffe“). Es bleibt also selbst dann spannend, wenn personenbezogene Daten allein auf europäischen Servern verarbeitet werden und die Anbieter ihren Sitz z.B. in Deutschland (Google, Cloudflare), Irland (Microsoft, Apple, Zoom etc.) oder Luxemburg (Amazon) haben.
Rechtslage für Unternehmen
Damit ist die Katze aus dem Sack! Der US-Cloud-Act tritt ins Rampenlicht. Auch in dieser Hinsicht können die deutschen Aufsichtsbehörden nun Bußgelder verhängen und betroffene Personen einen immateriellen Schadenersatz fordern.
Die Begründung würde lauten: Der Verantwortliche hat einen unzuverlässigen Auftragsverarbeiter eingesetzt.
Konsequenz
Prüfen Sie die Zuverlässigkeit dieser Dienstleister und berücksichtigen Sie dabei die 10 Punkte des DSK-Beschlusses.
10 Prüfpunkte für Unternehmen
- Prüfung, ob ein unzulässiger Datentransfer z.B. an US-Gerichte und US-Sicherheitsbehörden möglich ist. Werden damit internationale Rechtshilfeabkommen umgangen. („extraterritoriale Zugriffe“)
- Beeinträchtig ein Drittland-Datentransfer die Verpflichtungen aus dem Auftragsverarbeitungsvertrag (in Anlehnung an die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses)
- Können Anbieter mit US-Hintergrund, aber Sitz in Europa, per Weisung personenbezogene Daten in ein Drittland übermitteln (Prüfung der Erkenntnisse zur Rechtslage/-praxis)
- Erlaubt der Auftragsverarbeitungsvertrag nach europäischen Maßstäben, unzulässige Verarbeitungen auf der Grundlage von Drittlands-Recht
- Gibt es Zusicherungen der Drittlands-Muttergesellschaft und des EU-Unternehmens zum Umgang mit widersprüchlichen Anforderungen des Rechts eines Drittstaates und der EU
- Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen auch tatsächlich eingehalten werden können
- Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tatsächlich eingehalten werden
- Sind in der Vergangenheit Datenschutzverstöße festgestellt worden
- Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands
- Ausschluss unzulässiger Übermittlungen durch geeignete technische und organisatorische Maßnahmen
Fazit
Sollten die Auswirkungen dieser Drittland-Verpflichtungen relevant und unvermeidlich sein, so ist von einem Einsatz dieser „unzuverlässigen“ Dienstleister abzusehen.