News

Belgischer Staatsrat: Drittlandsübermittlung an AWS kann unter gewissen Umständen DSGVO-konform sein

Der belgische Staatsrat, ein außergerichtliches Beratungs- und Rechtsprechungsorgan, das die Exekutive in Belgien überwacht, äußerte sich kürzlich in einem Eilrechtsschutzverfahren in bemerkenswerter Weise zum Thema Drittlandsübermittlungen an den US-amerikanischen Cloud-Dienst Amazon Web Services (AWS).

Der Entscheidung des Staatsrats vorausgegangen war die Zuschlagserteilung einer flämischen Behörde an eine in der EU ansässige Niederlassung eines US-Unternehmens in einem Vergabeverfahren für die Errichtung und den Betrieb eines sog. Mobilitätszentrums. Das Mobilitätszentrum wird aufgrund eines Dekrets der Verwaltungsregion Flandern errichtet, um die flämische Behörde für Mobilität und öffentliche Arbeiten (Flemish Department of Mobility and Public Works - DMOW) bei der Entwicklung einer langfristigen Vision für nachhaltige Mobilität in der flämischen Region und der Überwachung und Umsetzung der regionalen Mobilitätspolitik, einschließlich der Umsetzung des neuen Dekrets zu unterstützen. Für die Ausführung des Vergabeauftrags beabsichtigt das US-Unternehmen, AWS einzusetzen. Dabei sollen die „normalen“ personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO aller Nutzer der Mobilitätszentrale (u. a. Adresse, Uhrzeit, Identifikationsdaten, Benutzername, Login, Bankdaten für die Abrechnung, usw.) aber auch besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (u. a. körperliche Einschränkungen der Nutzer) in AWS verarbeitet werden.

Ein niederländisches Unternehmen, das für den zu vergebenden Auftrag nicht ausgewählt wurde, griff diese Entscheidung vor dem Staatsrat mit der Begründung an, dass die Bestimmungen der DSGVO u. a. im Hinblick auf die Vorgaben zur Drittlandsübermittlung verletzt wurden, da in den USA kein angemessener Schutz der Daten gewährleistet werden könne. Das niederländische Unternehmen stützte sich insbesondere auf eine Stellungnahme der flämischen Datenschutzkommission („Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens“), wonach die Nutzung von AWS grundsätzlich nicht mit dem Schrems-II-Urteil und der DSGVO vereinbar sei.

Der Staatsrat entschied dementgegen, dass das Schrems II-Urteil nicht per se mit Blick auf das Datenschutzniveau in den USA Datenübermittlungen aus der EU auf Grundlage der sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO) verbiete. Vielmehr sei es Aufgabe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, in jedem Einzelfall zu prüfen, ob die Standardvertragsklauseln bei der Übermittlung in ein Drittland eingehalten werden können. Sofern sich bei der Prüfung herausstellen sollte, dass die Standardvertragsklauseln in Anbetracht des Rechts des Bestimmungslandes nicht eingehalten werden können, sei es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, zu prüfen, welche zusätzlichen Schutzmaßnahmen getroffen werden können, um die festgestellten Lücken zu schließen und ein der DSGVO vergleichbares Datenschutzniveau sicherzustellen. Das Gericht verwies in diesem Zusammenhang darauf, dass der Europäische Datenschutzausschuss (EDSA) in seinen Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen aber auch die vom Kläger zitierte flämische Datenschutzkommission nicht per se die Verwendung von Verschlüsselung als eine solche zusätzliche Schutzmaßnahme ablehnten und dass diese unter bestimmten Umständen eine angemessene zusätzliche Schutzmaßnahme zu den sog. Standardvertragsklauseln darstellen könne. Ferner wies der Staatsrat in diesem Zusammenhang darauf hin, dass der Verschlüsselungsschlüssel, also der Schlüssel, mit dem die Daten verschlüsselt werden, bevor sie an AWS übermittelt werden, im streitgegenständlichen Fall ausschließlich in den Händen der „flämischen Berufsorganisation“ (wohl also dem Mobilitätszentrum) verbleibe. Zudem hat das US-amerikanische Unternehmen, das den Zuschlag für die Vergabe erhielt, laut dem Urteil eine Reihe von Garantien geboten, was ebenfalls den zusätzlichen Schutzmaßnahmen gemäß dem Schrems II-Urteil des EuGH und den Empfehlungen des EDSA Rechnung trage. In Anbetracht der vorstehenden Gründe erkennt der Staatsrat keine hinreichende Glaubhaftmachung der Verletzung der Art. 44 ff. DSGVO.

Der EDSA führt in seinen vorstehend erwähnten Empfehlungen tatsächlich eine ganze Reihe an beispielhaften Empfehlungen an, die angemessene zusätzliche Schutzmaßnahmen i. S. d. Schrems II-Urteils darstellen können (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 79 ff.). Nach einem vom EDSA angeführten Beispiel kann Verschlüsselung bei Inanspruchnahme eines Hosting-Dienstleisters in einem Drittland unter den folgenden Voraussetzungen eine angemessene zusätzliche Schutzmaßnahme i. S. d. Schrems II-Urteils sein:

Wenn (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 84),

  1. die personenbezogenen Daten vor der Übertragung mit einer starken Verschlüsselung verarbeitet werden und die Identität des Importeurs überprüft wird,
  2. der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. Schlüssellänge, ggf. Betriebsmodus) dem Stand der Technik entsprechen und unter Berücksichtigung der den Behörden im Empfängerland zur Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute-Force-Angriffe) als robust gegenüber Kryptoanalysen angesehen werden können,
  3. die Stärke der Verschlüsselung und die Schlüssellänge dem spezifischen Zeitraum Rechnung tragen, in dem die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss,
  4. der Verschlüsselungsalgorithmus korrekt und durch ordnungsgemäß gewartete Software ohne bekannte Schwachstellen implementiert wird, deren Konformität mit der Spezifikation des gewählten Algorithmus z. B. durch eine Zertifizierung überprüft worden ist,
  5. die Schlüssel zuverlässig verwaltet werden (Erzeugung, Verwaltung, Speicherung, gegebenenfalls Verknüpfung mit der Identität eines vorgesehenen Empfängers und Widerruf) und
  6. die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs oder einer vom Exporteur vertrauenswürdigen Stelle im EWR oder in einer Rechtsordnung aufbewahrt werden, die ein im Wesentlichen gleichwertiges Schutzniveau wie innerhalb des EWR gewährleistet.

Der Staatsrat liegt mit seiner Entscheidung im Eilrechtsschutz bisher ausweislich der Urteilsgründe auf der Linie des EDSA. Ob auch alle der vorstehend genannten Vorgaben im Einzelnen geklärt wurden, muss der Staatsrat wohl im Hauptsacheverfahren klären. Besondere Bedeutung kommt dem vorstehenden Punkt 6 (alleinige Kontrolle des Verschlüsselungsschlüssels durch den Datenexporteur) zu. Diese Option bietet inzwischen nicht nur AWS, sondern z. B. auch der Cloud-Dienst von Microsoft mit dem Namen Azure. Gerade dieser letzte Aspekt (oft auch „bring you own key“ genannt) hat besondere Praxisrelevanz für Unternehmen, die auf Dienste von Unternehmen in den USA zurückgreifen möchten.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

Weitere Auszeichnungen für unsere beiden Partner

Wir freuen uns sehr, dass Prof. Dr. Burghard Piltz und Dr. Carlo Piltz weitere Auszeichnungen durch das Handelsblatt erhalten haben und in der 16. Edition der The Best Lawyers in Germany™ inkludiert wurden.

Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte

Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.  

DSK zum datenschutzkonformen KI-Einsatz

Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.