Der belgische Staatsrat, ein außergerichtliches Beratungs- und Rechtsprechungsorgan, das die Exekutive in Belgien überwacht, äußerte sich kürzlich in einem Eilrechtsschutzverfahren in bemerkenswerter Weise zum Thema Drittlandsübermittlungen an den US-amerikanischen Cloud-Dienst Amazon Web Services (AWS).

Der Entscheidung des Staatsrats vorausgegangen war die Zuschlagserteilung einer flämischen Behörde an eine in der EU ansässige Niederlassung eines US-Unternehmens in einem Vergabeverfahren für die Errichtung und den Betrieb eines sog. Mobilitätszentrums. Das Mobilitätszentrum wird aufgrund eines Dekrets der Verwaltungsregion Flandern errichtet, um die flämische Behörde für Mobilität und öffentliche Arbeiten (Flemish Department of Mobility and Public Works - DMOW) bei der Entwicklung einer langfristigen Vision für nachhaltige Mobilität in der flämischen Region und der Überwachung und Umsetzung der regionalen Mobilitätspolitik, einschließlich der Umsetzung des neuen Dekrets zu unterstützen. Für die Ausführung des Vergabeauftrags beabsichtigt das US-Unternehmen, AWS einzusetzen. Dabei sollen die „normalen“ personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO aller Nutzer der Mobilitätszentrale (u. a. Adresse, Uhrzeit, Identifikationsdaten, Benutzername, Login, Bankdaten für die Abrechnung, usw.) aber auch besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (u. a. körperliche Einschränkungen der Nutzer) in AWS verarbeitet werden.

Ein niederländisches Unternehmen, das für den zu vergebenden Auftrag nicht ausgewählt wurde, griff diese Entscheidung vor dem Staatsrat mit der Begründung an, dass die Bestimmungen der DSGVO u. a. im Hinblick auf die Vorgaben zur Drittlandsübermittlung verletzt wurden, da in den USA kein angemessener Schutz der Daten gewährleistet werden könne. Das niederländische Unternehmen stützte sich insbesondere auf eine Stellungnahme der flämischen Datenschutzkommission („Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens“), wonach die Nutzung von AWS grundsätzlich nicht mit dem Schrems-II-Urteil und der DSGVO vereinbar sei.

Der Staatsrat entschied dementgegen, dass das Schrems II-Urteil nicht per se mit Blick auf das Datenschutzniveau in den USA Datenübermittlungen aus der EU auf Grundlage der sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO) verbiete. Vielmehr sei es Aufgabe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, in jedem Einzelfall zu prüfen, ob die Standardvertragsklauseln bei der Übermittlung in ein Drittland eingehalten werden können. Sofern sich bei der Prüfung herausstellen sollte, dass die Standardvertragsklauseln in Anbetracht des Rechts des Bestimmungslandes nicht eingehalten werden können, sei es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, zu prüfen, welche zusätzlichen Schutzmaßnahmen getroffen werden können, um die festgestellten Lücken zu schließen und ein der DSGVO vergleichbares Datenschutzniveau sicherzustellen. Das Gericht verwies in diesem Zusammenhang darauf, dass der Europäische Datenschutzausschuss (EDSA) in seinen Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen aber auch die vom Kläger zitierte flämische Datenschutzkommission nicht per se die Verwendung von Verschlüsselung als eine solche zusätzliche Schutzmaßnahme ablehnten und dass diese unter bestimmten Umständen eine angemessene zusätzliche Schutzmaßnahme zu den sog. Standardvertragsklauseln darstellen könne. Ferner wies der Staatsrat in diesem Zusammenhang darauf hin, dass der Verschlüsselungsschlüssel, also der Schlüssel, mit dem die Daten verschlüsselt werden, bevor sie an AWS übermittelt werden, im streitgegenständlichen Fall ausschließlich in den Händen der „flämischen Berufsorganisation“ (wohl also dem Mobilitätszentrum) verbleibe. Zudem hat das US-amerikanische Unternehmen, das den Zuschlag für die Vergabe erhielt, laut dem Urteil eine Reihe von Garantien geboten, was ebenfalls den zusätzlichen Schutzmaßnahmen gemäß dem Schrems II-Urteil des EuGH und den Empfehlungen des EDSA Rechnung trage. In Anbetracht der vorstehenden Gründe erkennt der Staatsrat keine hinreichende Glaubhaftmachung der Verletzung der Art. 44 ff. DSGVO.

Der EDSA führt in seinen vorstehend erwähnten Empfehlungen tatsächlich eine ganze Reihe an beispielhaften Empfehlungen an, die angemessene zusätzliche Schutzmaßnahmen i. S. d. Schrems II-Urteils darstellen können (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 79 ff.). Nach einem vom EDSA angeführten Beispiel kann Verschlüsselung bei Inanspruchnahme eines Hosting-Dienstleisters in einem Drittland unter den folgenden Voraussetzungen eine angemessene zusätzliche Schutzmaßnahme i. S. d. Schrems II-Urteils sein:

Wenn (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 84),

1. die personenbezogenen Daten vor der Übertragung mit einer starken Verschlüsselung verarbeitet werden und die Identität des Importeurs überprüft wird,
2. der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. Schlüssellänge, ggf. Betriebsmodus) dem Stand der Technik entsprechen und unter Berücksichtigung der den Behörden im Empfängerland zur Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute-Force-Angriffe) als robust gegenüber Kryptoanalysen angesehen werden können,
3. die Stärke der Verschlüsselung und die Schlüssellänge dem spezifischen Zeitraum Rechnung tragen, in dem die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss,
4. der Verschlüsselungsalgorithmus korrekt und durch ordnungsgemäß gewartete Software ohne bekannte Schwachstellen implementiert wird, deren Konformität mit der Spezifikation des gewählten Algorithmus z. B. durch eine Zertifizierung überprüft worden ist,
5. die Schlüssel zuverlässig verwaltet werden (Erzeugung, Verwaltung, Speicherung, gegebenenfalls Verknüpfung mit der Identität eines vorgesehenen Empfängers und Widerruf) und
6. die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs oder einer vom Exporteur vertrauenswürdigen Stelle im EWR oder in einer Rechtsordnung aufbewahrt werden, die ein im Wesentlichen gleichwertiges Schutzniveau wie innerhalb des EWR gewährleistet.

Der Staatsrat liegt mit seiner Entscheidung im Eilrechtsschutz bisher ausweislich der Urteilsgründe auf der Linie des EDSA. Ob auch alle der vorstehend genannten Vorgaben im Einzelnen geklärt wurden, muss der Staatsrat wohl im Hauptsacheverfahren klären. Besondere Bedeutung kommt dem vorstehenden Punkt 6 (alleinige Kontrolle des Verschlüsselungsschlüssels durch den Datenexporteur) zu. Diese Option bietet inzwischen nicht nur AWS, sondern z. B. auch der Cloud-Dienst von Microsoft mit dem Namen Azure. Gerade dieser letzte Aspekt (oft auch „bring you own key“ genannt) hat besondere Praxisrelevanz für Unternehmen, die auf Dienste von Unternehmen in den USA zurückgreifen möchten.