Wegfall des Privacy Shield: Was nun?
Der Sechs-Stufen-Plan in der Übersicht
Schritt 1 – «Know your Transfers»
Als Grundregel gilt: Datenexporteure müssen über ihre Datentransfers Bescheid wissen und diese dokumentieren («know your transfers»), indem sie diese aufzeichnen und mitverfolgen. Damit ist der effektive Datentransfer zu prüfen, zu dokumentieren und zu managen, inklusive der Datenflüsse betreffend Kooperationen, Auftragsverarbeitungsverhältnissen oder eingeschalteten Subdienstleistern. Es genügt ergo nicht, die Verarbeitung von Personendaten ausserhalb der EU im Rahmen des Verfahrensverzeichnisses aufzulisten. Weitere Informationen müssen erfasst und gemanagt werden. Ohne detaillierte Beschreibungen der Datenbearbeitung – auch seitens der Subunternehmer – lassen sich die weiteren juristischen und risikobasierten Abklärungen jedoch nicht vornehmen.
Dies ist eine Herkulesaufgabe, sie lässt sich im jetzigen Umfeld jedoch nicht vermeiden. Wer Personendaten mit den USA oder anderen Drittländern ausserhalb des EU-Raums austauscht, muss diese Arbeiten angehen, dokumentieren und umsetzen. Stellt sich der Vertragspartner quer, müssen auch weitere Schritte in Betracht gezogen werden (Eingrenzung des Austauschs von Personendaten mit dem Lieferanten/Kunden, anderen Lieferanten etc.). Je kritischer die auszutauschenden Personendaten sind, desto umfassender muss die Lösung aussehen.
Schritt 2 – «Verify the Transfer Tool your Transfer relies on»
In einem zweiten Schritt müssen die geeigneten Garantien bestimmt und implementiert werden (vgl. Art. 44 ff. DSGVO) wie z. B. die Implementierung von aktualisierten Standardvertragsklauseln, verbindliche Unternehmensregeln (Corporate Binding Rules) und/oder eine Zustimmung des/der Betroffenen im Einzelfall. Die Vereinbarung von Standardvertragsklauseln ist in jedem Fall zu empfehlen bei Datentransfers in Drittländer, die nicht über ein adäquates Datenschutzniveau verfügen (vgl. dazu Liste des Edöb).
Schritt 3 – «Assess the law or practice of the third country»
In einem dritten Schritt ist zu klären, ob die ausländische Rechtsordnung und deren Praxis die Wirksamkeit der getroffenen Garantien, auf welche sich die Datenübermittlung stützt, gefährden könnte. Zu denken ist etwa an einen umfassenden und unverhältnismässigen Zugriff der Behörden des Drittstaates auf Personendaten. Diese Prüfung ist juristischer, aber auch operationeller Natur und umfasst nicht nur den Partner/Lieferanten/Kunden, sondern auch dessen Sublieferanten etc. Damit ist die Abklärung umfangreich und kann auch nicht ohne Weiteres generell, sondern muss abgestimmt auf die auszutauschenden Personendaten, den konkreten Vertragspartner etc. erfolgen.
Schritt 4 – «Identify and adopt supplemental Measures»
Der vierte Schritt stellt das Kernanliegen der EDSA dar und findet Anwendung, wenn die Beurteilung nach Schritt 3 ergibt, dass die Drittlandgesetzgebung und -praxis gewisse Gefahren eines möglichen umfassenden und unverhältnismässigen Eingriffs in die Personendaten der Betroffenen birgt. Danach müssen zusätzliche Massnahmen ermittelt und ergriffen werden, um das Schutzniveau der übermittelten Daten auf den EU-Standard zu bringen.
- Technische Massnahmen
Ein Mittel, um die Konformität mit den Vorgaben des Europäischen Datenschutzes (gemäss DSGVO) zu gewähren, ist die Implementierung von technischen Massnahmen. Die organisatorischen Massnahmen reichen laut EDSA jedoch nicht immer aus. Wenn Personendaten in einen Drittstaat ausserhalb der/des EU/EWR übermittelt werden, ist es erforderlich, die Daten vor der Übermittlung zu verschlüsseln. Der passende Schlüssel muss durch einen angemessenen Schutz verwaltet werden. Durch die End-to-End-Verschlüsselung der Daten können diese sicher durch ein Drittland durchgeleitet werden. Alternative wäre beispielsweise auch das Instrument der Pseudonymisierung. In den letzten Monaten sind von Lieferanten Bestrebungen erfolgt, um auch technische Lösungen zur Behebung der anstehenden Probleme bereitzustellen. Tatsache ist jedoch, dass mit dem Management der Infrastruktur (Keys, Zugang etc.) letztlich in vielen Fällen der Lieferant Zugriff auf Personendaten haben könnte, womit auch technische Ansätze, dem Kunden die Datenhoheit zu erteilen, scheitern. - Vertragliche & organisatorische Massnahmen
Durch vertragliche Massnahmen kann sichergestellt werden, dass die getroffenen Massnahmen und vereinbarten Garantien vom Anbieter oder Dienstleister eingehalten werden. Die organisatorischen Massnahmen können den Einsatz von Policies, Prozessen und Standards des Datenexporteurs beinhalten.
Allerdings können vertragliche und organisatorische Massnahmen allein den Zugang zu personenbezogenen Daten durch Behörden des Drittstaates nicht verhindern. Einzig die technischen Massnahmen verhindern den Zugang von Behörden zu personenbezogenen Daten in Drittstaaten, insbesondere zu Überwachungszwecken.
Schritt 5 – «Take any formal Procedure Steps»
Nach Schritt 5 müssen die zusätzlich getroffenen Massnahmen zum einen ggf. unter Mitwirkung des Datenimporteurs im Drittland und zum anderen unter Konsultation der zuständigen Aufsichtsbehörden umgesetzt werden.
Schritt 6 – «Reevaluate your Data Transfer at appropriate Intervals»
In einem letzten Schritt wird die regelmässige und fortlaufende Prüfung der getroffenen Massnahmen empfohlen. Auch für die rechtlichen und tatsächlichen Umstände im Drittstaat gilt diese Prüfpflicht. Dies umzusetzen, ist zeit- sowie ressourcenintensiv und entsprechend zu planen.