Internationale Datentransfers außerhalb des EWR sind in der Wirtschaft praktisch alternativlos: Etliche Tools basieren auf US-Dienstleistungen, nutzen Server in Israel oder anderen Ländern außerhalb des EWR. Spätestens, seitdem der EuGH im Schrems II-Urteil das EU-US-Privacy-Shield kippte und spezifische Prüfpflichten für die Standardvertragsklauseln betont hat, sind jedoch gerade Datenübermittlungen in die USA mit sehr viel mehr Prüfaufwand, Rechtsunsicherheit und Risiken verbunden. Mit seinen neuen Leitlinien ruft der Europäische Datenschutzausschuss (EDSA) die Zertifizierung als Instrument zur rechtlichen Absicherung von Datenübermittlungen auf den Plan. Das durch die DSGVO eingeführte Übermittlungsinstrument erhält durch die Leitlinien praktische Anleitung. Kommt damit endlich ein praktikabler Anwendungsfall für dieses bislang (leider) nicht aktivierte Instrument?
Der EDSA hat neue Leitlinien 07/2022 zur Zertifizierung als Instrument für den Datentransfer in Drittstaaten oder an internationale Organisationen veröffentlicht. Die Zertifizierung ist ein Instrument der DSGVO (Art. 42, 43), durch das die Einhaltung der Datenschutzbestimmungen zuverlässig nachzuweisen sein soll. Ein genehmigter Zertifizierungsmechanismus kann auch eine geeignete Garantie dafür bieten, dass personenbezogenen Daten bei Datenübermittlung in ein Drittland ausreichend geschützt sind. Damit die Zertifizierung als Übermittlungsinstrument genutzt werden kann, muss der konkrete Datentransfer zertifiziert werden und die an der Übermittlung teilnehmenden Datenimporteure müssen rechtsverbindliche und durchsetzbare Verpflichtungen zur Einhaltung der Garantien einschließlich der Betroffenenrechte eingehen (Art. 46 Abs. 2 lit. f, 42 Abs. 2 DSGVO). Für diesen Fall – Zertifizierung als Übermittlungsinstrument – formulieren die Leitlinien 07/2022 spezifische Anforderungen, die die Leitlinien 01/2018 zur Zertifizierung und die Leitlinien 04/2018 zur Akkreditierung von Zertifizierungsstellen ergänzen.
Die Zertifizierung erhält nicht der Datenexporteur, sondern der Datenimporteur im Drittland, der diese freiwillig beantragen kann. Zertifiziert wird ein einzelner Verarbeitungsvorgang oder eine Reihe von Verarbeitungsvorgängen. Der Datenexporteuer kann sich anschließend auf die Zertifizierung als ausreichende Garantie zur Absicherung des Drittstaatentransfers verweisen.
Die Zertifizierung erfolgt je nach Mitgliedstaat entweder durch eine akkreditierte Zertifizierungsstelle (Art. 43 DSGVO) oder die zuständige Aufsichtsbehörde (Art. 42 Abs. 5 DSGVO; zu den verschiedenen Modellen siehe Leitlinie 01/2018, S. 10 ff.).
Bedingungen der Zertifizierung
Ein Verarbeitungsvorgang wird zertifiziert, wenn genehmigte Kriterien eines Zertifizierungsprogramms erfüllt sind. Für die Genehmigung werden die Kriterien von den zuständigen Aufsichtsbehörden und dem EDSA überprüft und bewertet, die sich dabei an den Leitlinien orientieren sollen (Anhang 2 der Leitlinien 01/2018 (Version 3.0); Abschnitt 3 der neuen Leitlinie 07/2022). Insbesondere muss der Datenimporteur
- die Rechtslage und die Praktiken des Drittlandes, in dem er tätig ist, dahingehend prüfen und bewerten, ob ein angemessenes Datenschutzniveau für den Schutz der übermittelten personenbezogenen Daten sichergestellt werden kann,
- diese Bewertung dokumentieren und die Dokumentation auf Verlangen der Zertifizierungsstelle und/oder der zuständigen Aufsichtsbehörde zur Verfügung stellen,
- zusätzliche organisatorische und technische Maßnahmen (vgl. Empfehlung 01/2020) zur Gewährleistung eines angemessenen Datenschutzes ermitteln, umsetzen und deren wirksame Umsetzung dokumentieren,
- und gegenüber der Zertifizierungsstelle sowie dem Datenexporteur zusichern, dass er keinen Grund zur Annahme hat, dass die für ihn geltenden Rechtsvorschriften und Praktiken ihn daran hindern könnten, seine Pflichten im Rahmen der Zertifizierung zu erfüllen.
Des Weiteren muss sichergestellt sein, dass auch für etwaige Weiterübermittlungen ein angemessenes Datenschutzniveau gewährleistet ist, die von der Datenverarbeitung betroffenen Personen ihre Rechte (inkl. Schadensersatz und Anspruch auf Entschädigung bei Nichteinhaltung des Zertifizierungssystems) gegenüber dem Datenimporteuer vor Gerichten innerhalb des EWR oder bei internationalen Organisationen durchsetzen können und ihnen ein Beschwerderecht bei Aufsichtsbehörden innerhalb des EWR zusteht.
Für den Fall, dass Rechtsvorschriften und Praktiken im Drittland geändert werden und der Datenimporteur aufgrund dessen Grund zu der Annahme hat, dass er seine Verpflichtungen i.R.d. Zertifizierung nicht mehr erfüllen kann, muss er zusichern, dass er diese Bedenken unverzüglich Zertifizierungsstelle und Datenexporteur mitteilt, damit geprüft werden kann, ob der Datentransfer eingestellt werden muss. Auskunftsersuchen von Behörden des Drittlandes müssen dem Datenexporteur mitgeteilt werden. Für beide Fälle sind geeignete zusätzliche Maßnahmen zu beschreiben, wie etwa, dass die weitergegebenen Daten auf das Mindestmaß zu beschränken sind und der Datenimporteur verpflichtet ist, die Rechtmäßigkeit des Ersuchens zu prüfen.
Anforderungen an die vertragliche Vereinbarung
Damit die Zertifizierung als angemessene Schutzmaßnahme für eine konkrete Datenübermittlung verwendet werden kann, muss eine vertragliche Vereinbarung zwischen Datenexporteur und Datenimporteur insbesondere festlegen,
- für welchen spezifischen Datentransfer die Zertifizierung gilt,
- dass den von der Datenverarbeitung betroffenen Personen Rechte als Drittbegünstigte zuerkannt werden,
- dass ggf. die wirksame Umsetzung zusätzlicher organisatorischer und technischer Maßnahmen des Datenimporteurs vom Datenexporteur durch entsprechende Maßnahmen unterstützt wird,
- dass die Zertifizierung als angemessene Garantie für die Datenübermittlung verwendet wird
- und, dass sich der Datenimporteur verpflichtet, die durch den Zertifizierungsmechanismus vorgesehen Garantien einschließlich der Betroffenenrechte anzuwenden.
Prüfungspflichten des Datenexporteurs
Der Datenexporteur trägt die Verantwortung für die Einhaltung der Datenschutzvorschriften, auch wenn die Zertifizierung des Datenimporteurs als Instrument zur Datenübermittlung genutzt wird. Aufgrund dessen hat er u.a. zu, ob die Zertifizierung gültig ist und eine angemessene Dokumentation vorliegt. Zudem soll der Exporteur laut Leitlinien zu prüfen haben, ob die Zertifizierung nach Ansicht des Datenexporteurs (eigene Prüfung) vor dem Hintergrund der im Drittland geltenden Rechtsvorschriften und Praktiken umsetzbar und einhaltbar ist. Als Teil der Bewertung kann die dokumentierte Bewertung des Datenimporteurs herangezogen werden.
Zusätzliche Schutzmaßnahmen
Teils, insbesondere im Fall eines US-Transfers, wird auch bei der Zertifizierung das ausreichende Datenschutzniveau im Drittland nur durch zusätzliche Maßnahmen gewährleistet werden können, die die Zertifizierung als Übermittlungsinstrument ergänzen. Dieser Mechanismus ist bereits von den Standardvertragsklauseln als Übermittlungsinstrument bekannt.
Ist die Zertifizierung praktikabel?
Festzuhalten bleibt nach alledem, dass die Hoffnung in eine praktikable Lösung für den Drittstaatentransfer wohl durch die Option der Zertifizierung nicht erfüllt wird: Es bleiben kaum leistbare Prüfpflichten der Datenexporteure, insbesondere zur Bewertung der Rechtslage im Drittstaat. Zertifizierungen müssen zudem von den Datenimporteuren individuell angestoßen werden, auch hier bleiben gerade beim US-Transfer zusätzliche Schutzmaßnahmen oftmals unabdingbar. Im Ergebnis scheint dem Instrument der Zertifizierung danach kaum ein Mehrwert ggü. den Standarddatenschutzklauseln zuzukommen – es sei denn, die auch für den Exporteur zuständige Datenschutzaufsichtsbehörde hätte die Zertifizierung ausgestellt und dabei u.a. die Prüfungen des Datenimporteurs zur nationalen Rechtslage als zutreffend bestätigt.
Doch auch dies bleibt kaum greifbare Zukunftsmusik, sind doch schlicht die Zertifizierungen als solche nach wie vor nicht angelaufen. Damit endet die Hoffnung auf eine wirksame, praktikable Lösung …