News
Belgischer Staatsrat: Drittlandsübermittlung an AWS kann unter gewissen Umständen DSGVO-konform sein
Der belgische Staatsrat, ein außergerichtliches Beratungs- und Rechtsprechungsorgan, das die Exekutive in Belgien überwacht, äußerte sich kürzlich in einem Eilrechtsschutzverfahren in bemerkenswerter Weise zum Thema Drittlandsübermittlungen an den US-amerikanischen Cloud-Dienst Amazon Web Services (AWS).
Der Entscheidung des Staatsrats vorausgegangen war die Zuschlagserteilung einer flämischen Behörde an eine in der EU ansässige Niederlassung eines US-Unternehmens in einem Vergabeverfahren für die Errichtung und den Betrieb eines sog. Mobilitätszentrums. Das Mobilitätszentrum wird aufgrund eines Dekrets der Verwaltungsregion Flandern errichtet, um die flämische Behörde für Mobilität und öffentliche Arbeiten (Flemish Department of Mobility and Public Works - DMOW) bei der Entwicklung einer langfristigen Vision für nachhaltige Mobilität in der flämischen Region und der Überwachung und Umsetzung der regionalen Mobilitätspolitik, einschließlich der Umsetzung des neuen Dekrets zu unterstützen. Für die Ausführung des Vergabeauftrags beabsichtigt das US-Unternehmen, AWS einzusetzen. Dabei sollen die „normalen“ personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO aller Nutzer der Mobilitätszentrale (u. a. Adresse, Uhrzeit, Identifikationsdaten, Benutzername, Login, Bankdaten für die Abrechnung, usw.) aber auch besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (u. a. körperliche Einschränkungen der Nutzer) in AWS verarbeitet werden.
Ein niederländisches Unternehmen, das für den zu vergebenden Auftrag nicht ausgewählt wurde, griff diese Entscheidung vor dem Staatsrat mit der Begründung an, dass die Bestimmungen der DSGVO u. a. im Hinblick auf die Vorgaben zur Drittlandsübermittlung verletzt wurden, da in den USA kein angemessener Schutz der Daten gewährleistet werden könne. Das niederländische Unternehmen stützte sich insbesondere auf eine Stellungnahme der flämischen Datenschutzkommission („Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens“), wonach die Nutzung von AWS grundsätzlich nicht mit dem Schrems-II-Urteil und der DSGVO vereinbar sei.
Der Staatsrat entschied dementgegen, dass das Schrems II-Urteil nicht per se mit Blick auf das Datenschutzniveau in den USA Datenübermittlungen aus der EU auf Grundlage der sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO) verbiete. Vielmehr sei es Aufgabe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, in jedem Einzelfall zu prüfen, ob die Standardvertragsklauseln bei der Übermittlung in ein Drittland eingehalten werden können. Sofern sich bei der Prüfung herausstellen sollte, dass die Standardvertragsklauseln in Anbetracht des Rechts des Bestimmungslandes nicht eingehalten werden können, sei es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, zu prüfen, welche zusätzlichen Schutzmaßnahmen getroffen werden können, um die festgestellten Lücken zu schließen und ein der DSGVO vergleichbares Datenschutzniveau sicherzustellen. Das Gericht verwies in diesem Zusammenhang darauf, dass der Europäische Datenschutzausschuss (EDSA) in seinen Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen aber auch die vom Kläger zitierte flämische Datenschutzkommission nicht per se die Verwendung von Verschlüsselung als eine solche zusätzliche Schutzmaßnahme ablehnten und dass diese unter bestimmten Umständen eine angemessene zusätzliche Schutzmaßnahme zu den sog. Standardvertragsklauseln darstellen könne. Ferner wies der Staatsrat in diesem Zusammenhang darauf hin, dass der Verschlüsselungsschlüssel, also der Schlüssel, mit dem die Daten verschlüsselt werden, bevor sie an AWS übermittelt werden, im streitgegenständlichen Fall ausschließlich in den Händen der „flämischen Berufsorganisation“ (wohl also dem Mobilitätszentrum) verbleibe. Zudem hat das US-amerikanische Unternehmen, das den Zuschlag für die Vergabe erhielt, laut dem Urteil eine Reihe von Garantien geboten, was ebenfalls den zusätzlichen Schutzmaßnahmen gemäß dem Schrems II-Urteil des EuGH und den Empfehlungen des EDSA Rechnung trage. In Anbetracht der vorstehenden Gründe erkennt der Staatsrat keine hinreichende Glaubhaftmachung der Verletzung der Art. 44 ff. DSGVO.
Der EDSA führt in seinen vorstehend erwähnten Empfehlungen tatsächlich eine ganze Reihe an beispielhaften Empfehlungen an, die angemessene zusätzliche Schutzmaßnahmen i. S. d. Schrems II-Urteils darstellen können (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 79 ff.). Nach einem vom EDSA angeführten Beispiel kann Verschlüsselung bei Inanspruchnahme eines Hosting-Dienstleisters in einem Drittland unter den folgenden Voraussetzungen eine angemessene zusätzliche Schutzmaßnahme i. S. d. Schrems II-Urteils sein:
Wenn (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 84),
- die personenbezogenen Daten vor der Übertragung mit einer starken Verschlüsselung verarbeitet werden und die Identität des Importeurs überprüft wird,
- der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. Schlüssellänge, ggf. Betriebsmodus) dem Stand der Technik entsprechen und unter Berücksichtigung der den Behörden im Empfängerland zur Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute-Force-Angriffe) als robust gegenüber Kryptoanalysen angesehen werden können,
- die Stärke der Verschlüsselung und die Schlüssellänge dem spezifischen Zeitraum Rechnung tragen, in dem die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss,
- der Verschlüsselungsalgorithmus korrekt und durch ordnungsgemäß gewartete Software ohne bekannte Schwachstellen implementiert wird, deren Konformität mit der Spezifikation des gewählten Algorithmus z. B. durch eine Zertifizierung überprüft worden ist,
- die Schlüssel zuverlässig verwaltet werden (Erzeugung, Verwaltung, Speicherung, gegebenenfalls Verknüpfung mit der Identität eines vorgesehenen Empfängers und Widerruf) und
- die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs oder einer vom Exporteur vertrauenswürdigen Stelle im EWR oder in einer Rechtsordnung aufbewahrt werden, die ein im Wesentlichen gleichwertiges Schutzniveau wie innerhalb des EWR gewährleistet.
Der Staatsrat liegt mit seiner Entscheidung im Eilrechtsschutz bisher ausweislich der Urteilsgründe auf der Linie des EDSA. Ob auch alle der vorstehend genannten Vorgaben im Einzelnen geklärt wurden, muss der Staatsrat wohl im Hauptsacheverfahren klären. Besondere Bedeutung kommt dem vorstehenden Punkt 6 (alleinige Kontrolle des Verschlüsselungsschlüssels durch den Datenexporteur) zu. Diese Option bietet inzwischen nicht nur AWS, sondern z. B. auch der Cloud-Dienst von Microsoft mit dem Namen Azure. Gerade dieser letzte Aspekt (oft auch „bring you own key“ genannt) hat besondere Praxisrelevanz für Unternehmen, die auf Dienste von Unternehmen in den USA zurückgreifen möchten.
News
Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?
US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet. Welchen Einfluss diese auf Datentransfers in die USA hat und ob die EO die durch den EuGH festgestellten Defizite heilt, ist bislang noch fraglich. In diesem Beitrag geben wir Ihnen einen kurzen Überblick, über die EO und den aktuellen Stand der Diskussion.
Piltz Legal Update am 25.11.2022 - "AVV-Prüfung und -Verhandlung in der Praxis" - online
Am 25.11.2022 findet unsere zweite Veranstaltung der "Piltz Legal Update" Seminarreihe online statt.
Dieses Mal sprechen Dr. Carlo Piltz und Philipp Quiel über das Thema: "AVV-Prüfung und -Verhandlung in der Praxis". Sie geben Einblicke, klären über typische Probleme auf und geben ausgewählte Lösungsvorschläge.
Der FOCUS zeichnet Piltz Legal als eine der TOP - Wirtschaftschaftskanzleien aus
Im aktuellen Heft des FOCUS wurde Piltz Legal als eine der TOP-Wirtschaftkanzleien 2022 im Bereich Datenschutz ausgezeichnet.
Wirtschaftswoche vergibt Auszeichnung an Piltz Legal in der Kategorie "Top Kanzlei Datenschutzrecht"
Wir freuen uns sehr, dass Dr. Carlo Piltz und sein Team von der Wirtschaftswoche in der Kategorie "Top Kanzlei für Datenschutzrecht" ausgezeichnet wurden.
Wir bedanken uns für das entgegengebrachte Vertrauen und freuen uns sehr über diese Anerkennung. Dieses Feedback ist für uns weiterer Ansporn, mit fachspezifischer Expertise unsere Mandanten zu unterstützen.
Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen
Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.