Nach Safe Harbor und dem EU-US Privacy Shield ist nun mit dem „Trans-Atlantic Data Privacy Framework“ ein neues Datenschutzabkommen zwischen der EU und den USA geschlossen worden. Sobald auf EU-Ebene ein erneuter Angemessenheitsbeschluss ergangen ist, ist zu erwarten, dass dieses Abkommen eine neuerliche Grundlage für den Drittenstaatentransfers in die USA darstellen wird. Die weiteren Entwicklungen sind damit auch für die vielen außereuropäischen Anbieter von elektronischen Signaturen, wozu insbesondere DocuSign als Marktführer sowie z.B. Adobe Sign, Citrix und Silanis zu zählen sind, zu beobachten. Dieser Blog-Beitrag zeigt auf, woran sich die Verantwortlichen und Empfänger seit dem „Schrems-II-Urteil“ des EuGH vom 16.07.2020 (C-311/18) messen lassen müssen und welche Veränderungen des Datenschutzniveaus in den USA zu erwarten sind.
Schrems-I und II: Safe Harbour und Privacy Shield unwirksam
Vor sieben Jahren und vor zwei Jahren hat der EuGH mit dem Schrems-I und dem Schrems-II Urteil den jeweiligen Angemessenheitsbeschluss der EU-Kommission zu Safe Harbor und nachfolgend zum EU-US Privacy Shield für unwirksam erklärt und damit den Unternehmen jeweils die Möglichkeit eines DSGVO-konformen Datentransfers in die USA genommen. Hintergrund des zuletzt ergangenen Schrems-II-Urteils war, dass nach Ansicht des EuGH das US-Recht kein ausreichendes, mit der EU vergleichbares Schutzniveaus bietet. Entscheidend war hierbei, dass keine unabhängigen Aufsichtsmechanismen bestehen, welche die Einhaltung von Datenschutzstandards kontrollieren und gewährleisten, und kein wirksames Rechtsmittel den EU-Bürgern zur Verfügung steht, um gegen Zugriffe auf ihre personenbezogene Daten durch US-Behörden vorzugehen.
Nutzung von Standardvertragsklauseln und BCR nach Schrems-II
In der Folge des Schrems-II-Urteil konnte das EU-US Privacy Shield nicht mehr als Grundlage eines Datentransfers in die USA genutzt werden, womit andere Optionen in den Blick genommen wurden. Dabei sind sog. Standardvertragsklauseln nach Art. 46 Abs. 1 DSGVO (Standard Contractual Clauses – kurz „SCC“) das Mittel, auf das fast alle Unternehmen heute zurückgreifen. Diese können nach dem Schrems-II-Urteil grundsätzlich weiter genutzt werden, jedoch muss vor der Übermittlung von personenbezogenen Daten an US-Unternehmen eine Folgeabschätzung zur Datenübertragung (Transfer Impact Assessment – kurz „TIA“) durchgeführt werden. Hierbei hat der für die Datenverarbeitung Verantwortliche (und der Empfänger) zu prüfen, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen oder ob „zusätzliche Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus ergriffen werden müssen.
Eine weitere Grundlage für einen Drittstaatentransfer stellen verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – kurz „BCR“) dar, vgl. Art. 46 Abs. 2, Art. 47 DSGVO. Bisher sind diese jedoch nur von wenigen Unternehmen etwa DocuSign implementiert worden, da das aufsichtsbehördliche Genehmigungsverfahren für die Einführung und Nutzung von BCR meist einen längeren und aufwendigen Prozess bedeutet. Zudem sind nach Ansicht des European Data Protection Board und der Datenschutzkonferenz des Bundes und der Länder die Wertungen der Schrems-II-Entscheidung auch auf BCR übertragbar, d.h. es muss ebenfalls im Rahmen eines TIA geprüft werden, ob beim Datentransfer in die USA ein angemessenes Datenschutzniveau gewährleistet wird. Im Ergebnis stellen BCR aber im Vergleich zu SCC einen sichereren Weg für einen datenschutzkonformen Drittstaatentransfer dar. Abzuwarten bleibt nun, ob der Drittenstaatentransfer zukünftig auf eine weitere Grundlage gestützt werden kann.
Neues Datenschutzabkommen zwischen den USA und der EU
Mit Abschluss des neuen Datenschutzabkommens zwischen den USA und der EU im März 2022 gewinnt der Drittstaatentransfer in den USA nach langen Verhandlungen seit Wegfall des EU-US Privacy Shields erneut an Aktualität. Im Oktober 2022 unterzeichnete der US-Präsident Biden per Dekret das neue Abkommen, namens Trans-Atlantic-Data-Privacy-Framework („TADPF“). Ziel dieses Abkommens ist es die Bedenken des EuGH an der Gleichwertigkeit des Datenschutzniveaus in den USA zu beseitigen. Eckpunkte des TADPF sind dabei etwa die Einführung eines zweistufigen Mechanismus für EU-Bürger, die rechtswidrig Ziel von US-Geheimdienstaktivitäten geworden sind. Auf der ersten Stufe soll dem Bürger die Möglichkeit einer Beschwerde bei einem „Beamten zum Schutz der bürgerlichen Freiheitsrechte“ eingeräumt werden, der beim Direktorat der US-Geheimdienste angesiedelt ist. Soweit dieser die Beschwerde ablehnt, soll auf der zweiten Stufe die Möglichkeit bestehen, ein unabhängiges Datenschutz-Gericht anzurufen. Dieses Datenschutz-Gericht soll sich ausschließlich aus Personen zusammensetzen, die nicht der US-Regierung angehören. Dieses Gericht überprüft die Entscheidung des Beamten und kann erforderlichenfalls Abhilfemaßnahmen anordnen. Zusätzlich sollen die Aufsichtsmechanismen neu geregelt werden, indem die US-Geheimdienste Verfahren einführen, welche eine wirksame Überwachung der neuen Datenschutzstandards gewährleisten.
Insgesamt soll nach Aussagen der USA damit ein Datenzugriff nur ermöglicht werden, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich sei und der Schutz der Privatsphäre und Freiheitsrechte nicht unverhältnismäßig beeinträchtigt würde.
Vor allem die Einführung eines Datenschutzgerichts mit unabhängigen Richter stellt eine klare Verbesserungen des effektiven Rechtsschutzes und des bisherigen Datenschutzniveaus in den USA dar. Ob im Ergebnis diese Verbesserungen dem EuGH ausreichen, um alle in der Schrems-II-Entscheidung aufgezeigten Defizite des gesetzlichen Datenschutzes in den USA zu beheben, bleibt abzuwarten. So hat die Datenschutzorganisation „NOYB“, deren Gründer Max Schrems ist, bereits angekündigt, das TADPF intensiv zu prüfen und ggf. gerichtlich dagegen vorzugehen. Zudem müssen bis zu einem ergangenen Angemessenheitsbeschluss der EU bei einem Drittstaatentransfer weiterhin alternative, zulässige Mechanismen genutzt werden.
Praxisfolgen bei der Nutzung elektronischer Signaturen
Damit sind (erstmal) noch die Anforderungen des EuGH für einen Drittstaatentransfer auch bei der Implementierung von elektronischen Signaturen zu beachten, sofern ein Anbieter außerhalb der EU bzw. des EWR gewählt wird. Zwar gibt es mittlerweile etablierte europäische Anbieter, der Markt wird aber immer noch sehr stark von US-Anbietern dominiert. So führt im Bereich der elektronischen Signaturen kaum ein Weg an den großen Playern DocuSign, Abode Sign, Citrix und Silanis vorbei.
US-Anbieter von elektronischen Signaturen können als US-Unternehmen grundsätzlich unterschiedlichen Anordnungen aus rechtlichen Verfahren (z.B. Vorladungen, Durchsuchungsbefehlen und Gerichtsbeschlüssen) unterliegen, insbesondere gestützt auf den seit 2018 geltenden Clarifying Lawful Overseas Use of Data (CLOUD) Act. Vereinfacht regelt der CLOUD Act u.a., dass US-amerikanische Daten- und Kommunikationsunternehmen gespeicherte Daten für einen Kunden oder Abonnenten auf jedem Server, den sie besitzen und betreiben, bereitstellen müssen, wenn sie per Haftbefehl, Durchsuchungsbeschluss oder Gerichtsbeschluss dazu aufgefordert werden. Gleichzeitig sieht der CLOUD Act jedoch auch Mechanismen vor, solche Anfragen abzulehnen oder anzufechten, wenn sie der Ansicht sind, dass sie Datenschutzrechte des fremden Landes verletzen, in dem die Daten gespeichert sind.
In diesem Anwendungsbereich des CLOUD Acts bewegen sich auch Anbieter von elektronischen Signaturen, sodass die Anforderungen des Schrems-II-Urteils umzusetzen sind.
Durchführung eines TIA bei SCC oder BCR
Die meisten US-Anbieter für elektronische Signaturen nutzen als Mittel für DSGVO-konforme Datentransfers SCC, lediglich DocuSign nutzt BCR. Bei den SCC handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit ihnen werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren innerhalb der EU bzw. des EWR und Datenimporteuren in Drittländern (z.B. dem US-Anbieter elektronischer Signaturen) vereinbart. Im Unterschied dazu sind BCR interne Regelungen des Anbieters, die von einer EU-Datenschutzbehörde genehmigt wurden und denen damit ein dem Unionsrecht vergleichbarer Schutzstandard bescheinigt wurde.
Bei beiden Mechanismen muss grundsätzlich – wie oben aufgezeigt – ein TIA durchgeführt werden. Inhalt des TIA ist eine Risikobewertung speziell mit Blick auf den geplanten Datentransfer in Drittländer und die Eintrittswahrscheinlichkeit von Zugriffen Dritter. In der Regel wird eine solche Prüfung in vier Stufen vorzunehmen sein:
- Zuerst erfolgt eine genaue Beschreibung des Datentransfers. Hierbei ist eine passgenaue Risikobewertung nur bei umfassender Kenntnis und Berücksichtigung aller Umstände der Datenverarbeitung möglich. Es muss herausgearbeitet werden, welche Verarbeitungsprozesse angewandt werden, welche Kategorien von Daten zu welchem Zweck verarbeitet werden und auf welche technische Art und Weise die Datenverarbeitung erfolgt.
- In einem zweiten Schritt ist zu bewerten, welches Tool bzw. welche spezifische Anwendung zur Verarbeitung von Daten verwendet wird und welche Garantien bereits implementiert sind. Zur Risikoidentifikation ist zusätzlich die Rechtslage des Drittlandes, in das die Datenübermittlung stattfindet, näher zu betrachten. Dies bedeutet, es muss geprüft werden, welche Behörden des Drittlandes unter welchen Voraussetzungen Zugriff auf die Daten haben. Dabei sollte beleuchtet werden, welche Rechte, insbesondere Informationsrechte, den Betroffenen der Datenverarbeitung zustehen und wie effektiv diese eingefordert bzw. in Anspruch genommen werden können.
- In einem dritten Schritt sollte die Anwendung von praxistauglichen Maßnahmen dargelegt werden, um bestehende Risiken innerhalb der Datenübermittlung wirksam zu minimieren. Dazu gehört es auch, diese Maßnahmen im Rahmen der Übermittlungs- und Verarbeitungsvorgänge zu kontrollieren und bei Bedarf anzupassen.
- Zuletzt erfolgt eine abschließende Risikobewertung, sofern ein Datenzugriff durch Behörden des Drittlandes nicht ausgeschlossen werden kann. Dabei erfolgt im Grunde eine Abwägung zwischen der möglicherweise bevorstehenden Eingriffsintensität, der gängigen Praxis im Drittland und den vorhandenen Datenschutzmechanismen.
Mit Einführung des TADPF könnte sich auch der Aufwand zur Durchführung eines TIA merklich reduzieren. Denn um von dem Schutzumfang des TADPF erfasst zu sein, ist es erforderlich, dass sich die Empfänger im Rahmen eines Selbstzertifizierungsverfahrens zur Einhaltung europäischer Datenschutzgrundsätze verpflichten. Dies könnte vertretbar dazu führen, dass ein umfassendes TIA bei zertifizierten Unternehmen nicht mehr durchgeführt werden muss, sofern der konkrete Datentransfer von der Selbstzertifizierung erfasst ist. Bis auf Weiteres wird noch dazu geraten werden müssen, ein vollumfängliches TIA durchzuführen.
Erst nach Abschluss des TIA mit dem Ergebnis, dass die vorgesehenen Garantien und die ergriffenen Maßnahmen wirksam sind, um ein ausreichendes Schutzniveau bei der Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten, ist ein Drittenstaatentransfer vorzunehmen.
Umsetzung in der Praxis bei US-Anbietern für elektronische Signaturen
Damit bleibt für die am Markt etablierten US-Anbieter für elektronische Signaturen festzustellen, dass zumindest bis zu einem Angemessenheitsbeschluss der EU weiterhin SCC, BCR und TIA unabdingbar sind. Lediglich DocuSign ist es bisher gelungen, BCR im Sinne der DSGVO zu implementieren (und zwar als Auftragsverarbeiter und als Verantwortlicher) und sich darüber hinaus als Reaktion auf das Schrems-II-Urteil 2021 überarbeitete BCR genehmigen zu lassen. Andere US-Anbieter setzen bisher auf die Anwendung von SCC. Zwar ist auch dies unter Berücksichtigung der Entscheidung des EuGH sicherlich ein gangbarer Weg, jedoch ist in diesem Fall eine nähere Prüfung der „zusätzlichen Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus beim Datentransfer im Rahmen des TIA erforderlich.
Als Fazit gilt: Es bleibt weiterhin abzuwarten, ob es der Biden-Regierung mit ihrer neuen Initiative gelungen ist, einen einfacheren Weg beim Drittstaatentransfer zu eröffnen. Selbst wenn dies gelingen sollte, könnte dann aber vielleicht schon ein paar Jahre später ein erneutes Urteil des EuGH – vielleicht „Schrems-III“ – diesen Mechanismus erneut aufheben.
