Beschluss zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bewertet Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten, die nach Art. 28 DSGVO im Auftrag im EWR verarbeitet werden, datenschutzrechtlich wie folgt:
- Die Gefahr allein, dass – etwa über gesellschaftsrechtliche Weisungsrechte – die Drittlands-Muttergesellschaft eines EWR-Unternehmens dieses anweisen könnte, oder dass öffentliche Stellen von Drittländern unmittelbar EWR-Unternehmen anweisen könnten, personenbezogene Daten in ein Drittland zu übermitteln, genügt nicht, um eine Übermittlung in ein Drittland i.S.d. Art. 44 ff. DSGVO anzunehmen.
- Allerdings kann eine solche Gefahr dazu führen, dass solchen Rechtsvorschriften unterliegenden Auftragsverarbeitern die Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO fehlt, soweit nicht diese – oder auch der Verantwortliche – technische und/oder organisatorische Maßnahmen ergriffen haben, die hinreichend Garantien dafür bieten, dass der Auftragsverarbeiter seinen Pflichten nachkommt, insbesondere was das Unterlassen von Verarbeitungen personenbezogener Daten ohne oder gegen die Weisung des Verantwortlichen angeht, im Speziellen auf der Grundlage von Verpflichtungen aus drittstaatlichem Recht.
- Soweit das Risiko besteht, dass eine Norm oder Praxis, die nach EU-Recht unzulässige Verarbeitungen personenbezogener Daten verlangen kann, auch auf EWRTochtergesellschaften von Drittlands-Unternehmen anwendbar ist, genügt die Verarbeitung durch eine EWR-Tochtergesellschaft als Auftragsverarbeiter für sich genommen nicht, um eine Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO zu erreichen. Soweit eine Norm oder Praxis eines Drittlands die abstrakte Gefahr einer nach EU-Recht unzulässigen Übermittlung personenbezogener Daten aus dem EWR in ein Drittland durch eine als Auftragsverarbeiter tätige Stelle in dem EWR – z.B. die EWR-Tochtergesellschaft eines Drittlands-Unternehmens – begründet, sind an die Sorgfalt der Zuverlässigkeitsprüfung im Sinne von Art. 28 Abs. 1 DSGVO besonders hohe Anforderungen zu stellen, die dieser Gefahr Rechnung tragen.
- Dies erfordert zunächst eine Bewertung sämtlicher Umstände des Einzelfalls, ob der Auftragsverarbeiter und/oder die von ihm verarbeiteten Daten unter diese drittstaatliche Norm oder Praxis fallen und wenn ja, ob der Auftragsverarbeiter dennoch hinreichend Garantien dafür bietet, dass es nicht zu Verarbeitungen kommt, die nach den Maßstäben der DSGVO bzw. des anwendbaren mitgliedstaatlichen Rechts unzulässig sind.
Dabei sind insbesondere die folgenden Punkte zu berücksichtigen:
• das Ergebnis einer Prüfung hinsichtlich einer extraterritorialen Anwendbarkeit des Drittlands-Rechts und einer ggf. darüber hinausgehenden praktischen extraterritorialen Anwendung,
• bei einer extraterritorialen Anwendbarkeit und/oder Anwendung: das Ergebnis einer Prüfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeinträchtigen könnten (in Anlehnung an die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses),
• das Risiko, dass die Drittlands-Muttergesellschaft eines EWR-Tochterunternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln (Prüfung der Erkenntnisse zur Rechtslage/-praxis),
• ob der Auftragsverarbeitungsvertrag nach europäischen Maßstäben unzulässige Verarbeitungen auf der Grundlage von Drittlands-Recht erlaubt,
• etwaige Zusicherungen der Drittlands-Muttergesellschaft und des EWRUnternehmens zum Umgang mit kollidierenden Anforderungen des Rechts eines Drittstaates und der EU,
• eine Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen auch tatsächlich eingehalten werden können,
• eine Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tatsächlich eingehalten werden,
• etwaige in der Vergangenheit festgestellte Datenschutzverstöße,
• die Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands sowie
• der Ausschluss unzulässiger Übermittlungen durch geeignete technische und organisatorische Maßnahmen.
Bietet der Auftragsverarbeiter nach dieser Prüfung keine hinreichenden Garantien, sind die Risiken der europarechtswidrigen Datenverarbeitung durch technische und/oder organisatorische Maßnahmen auszugleichen, die genau diejenigen Defizite der Rechtslage oder -praxis des drittstaatlichen Rechts ausgleichen, die zu der mangelnden Zuverlässigkeit des Auftragsverarbeiters geführt haben. Für die Frage, welche Maßstäbe an diese Maßnahmen zu stellen sind, können Verantwortliche die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses heranziehen, wobei jedoch zu beachten ist, dass diese Empfehlungen für den Kontext von Datenübermittlungen in Drittländer konzipiert worden sind, sodass abweichende Bewertungen der Eignung bestimmter Maßnahmen nicht ausgeschlossen sind. Soweit eine Verarbeitung personenbezogener Daten im Auftrag den Zugriff des Auftragsverarbeiters auf Klardaten erfordert, ist in entsprechender Anwendung des Anwendungsfalls 6 des Anhangs 2 der
Empfehlungen 01/2020 besonders kritisch zu prüfen, wie den Anforderungen des Art. 28 Abs. 1 DSGVO ausreichend Rechnung getragen werden kann. - Der Verantwortliche muss in der Lage sein, den Nachweis zu führen, dass ein Auftragsverarbeiter die Anforderungen aus Art. 28 Abs. 1 und ErwG 81 DSGVO an Fachwissen, Zuverlässigkeit und Ressourcen erfüllt.
Die DSK wird sich auf der Grundlage dieses Beschlusses für eine weitere Behandlung dieser Fragestellung im Europäischen Datenschutzausschuss (EDSA) einsetzen.