Datenschutz und Sicherheit bei Cloud-Anbietern
Cloud und Datenschutz nach “Schrems II”; passt das überhaupt noch zusammen? Ja, wenn gewisse Spieregeln eingehalten werden, ist dies nach wie vor möglich. Worauf genau geachtet werden muss, im Themenkomplex „Datenschutz-Cloud-Anbieter“, umreißt dieser Blog-Beitrag in aller Kürze.
„Schrems II“ und die neuen Standardvertragsklauseln
Mit dem „Schrems II-Urteil“ stellte der Europäische Gerichtshof fest, dass die DSGVO auch in den Fällen Anwendung findet, in denen es aus Gründen der nationalen Sicherheit zu einem Zugriff durch Behörden oder Geheimdienste eines Landes kommen kann. Dies trifft für die USA, das Heimatland der großen Cloud-Anbieter, zu und steht dem Grundgedanken des Datenschutzes diametral entgegen.
Ein erster Schritt zur Lösung des Problems besteht darin, mit dem Datenimporteur Standardvertragsklauseln abzuschließen. So können Datenschutz, Cloud und DSGVO doch noch zusammengeführt werden. Per Durchführungsbeschluss hat die EU-Kommission am 4.6.2021 neue Standardvertragsklauseln veröffentlicht und festgestellt, dass durch zusätzliche Maßnahmen wie Anonymisierung oder Verschlüsselung, wobei der Schlüssel beim Datenexporteur liegen sollte, ein wirksames Schutzniveau hergestellt werden kann.
Inhalte der neuen Standardvertragsklauseln
In den neuen Standardvertragsklauseln werden allgemeine Klauseln mit einem modularen Ansatz kombiniert. Interessant für Unternehmen, die auf Datenschutz und Datensicherheit in der Cloud wert legen, ist vor allem das Modul 2: EU-Verantwortlicher an Auftragsverarbeiter in einem Drittstaat.
Neben den insgesamt 18 Klauseln müssen auch die Anhänge I-III beachtet werden. Hier sind u.a. eine umfangreiche und konkrete Beschreibung der Datenübermittlung vorzunehmen, die technisch-organisatorischen Maßnahmen des Datenimporteurs konkret zu beschreiben sowie eventuelle Unterauftragsverarbeiter aufzuführen.
Im Modul 2 wird der Datenimporteur auf die Vorgaben der DSGVO verpflichtet. Entsprechend seiner Rolle als Auftragsverarbeiter wird vor allem seine zentrale Bindung gegenüber dem Datenexporteur betont.
Transfer Impact Assessment
Eine der zentralen Neuerungen der neuen Standardvertragsklauseln findet sich in Klausel 14: „Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“. Es existiert nunmehr eine Pflicht zur Durchführung eines „Transfer Impact Assessments“, also einer umfassenden, einzelfallbezogenen Datenschutz-Folgenabschätzung. Dabei ist die folgende Kontrollfrage zu beantworten: Kann und wird der Cloud-Anbieter (Datenimporteur) seinen vertraglich auferlegten Pflichten nach der DSGVO tatsächlich nachkommen?
Beurteilungskriterien sind u.a. die
- Umstände der Übermittlung, die beteiligten Akteure, die Kategorien der übermittelten personenbezogenen Daten, die verwendeten Übertragungskanäle und der Speicherort.
- Relevante Rechtsvorschriften und Gepflogenheiten des Drittlandes, insbesondere solche Normen, die die Offenlegung von Daten gegenüber Behörden und Geheimdiensten oder deren Zugriff auf personenbezogene Daten erlauben.
- Nach Erwägungsgrund 19 Satz 2 des Durchführungsbeschlusses begründet eine den Standardvertragsklauseln zuwiderlaufende Norm des Drittstaats nicht per se ein Gebot, dass der Transfer zu unterbleiben hat. Durch Verschlüsselung oder Anonymisierung kann dieser Malus „geheilt“ werden.
Und nun?
Bis zum 27.12.2022 müssen alle Datentransfers in einen Drittstaat, sofern kein Angemessenheitsbeschluss oder eine Ausnahmeregelung vorliegt, auf die neuen Standardvertragsklauseln und ergänzende, zusätzliche Maßnahmen umgestellt werden. Gerne unterstützt Sie 2B Advice bei dieser Herausforderung. Wir helfen Ihnen dabei, die DSGVO konsequent einzuhalten. Wir unterstützen Sie darin, auch in der Cloud, Datenschutz und Datensicherheit jederzeit sicherzustellen.