Kein risikobasierter Ansatz für Datentransfers in Drittländer

Risikobasierter Ansatz für Datentransfers in die USA

Aufgrund der weitreichenden, gesetzlich verankerten Befugnisse der US-Geheimdienste, wie sie im  Schrems-II-Urteil des EuGHs und nachfolgenden Gutachten festgestellt wurden, ist ein Transfer personenbezogener Daten in die USA derzeit äußerst problematisch. Es herrscht weitestgehend Einigkeit, dass ohne zusätzliche Maßnahmen, die den aus Sicht der DSGVO unzulässigen Zugriff durch US-Behörden ausschließen, ein Transfer nicht möglich ist.

Um dennoch Tools wie Zoom, Google Analytics, WhatsApp, Facebook usw. – die allesamt in den Anwendungsbereich der Befugnisse der US-Geheimdienste fallen – nutzen zu können und folglich Daten in die USA zu übermitteln, wird häufig ein risikobasierter Ansatz befürwortet.

Dies bedeutet, dass man die Wahrscheinlichkeit, d. h. das Risiko eines Zugriffs auf die Daten durch US-Geheimdienste, gegen die Notwendigkeit der Übermittlung und die zur Verhinderung eines solchen Zugriffs getroffenen Maßnahmen miteinander abwägt.

Ist das Risiko gering, kann die Übermittlung an die USA erfolgen, auch wenn die Möglichkeit eines Zugriffs auf die Daten durch US-Geheimdienste nicht hundertprozentig ausgeschlossen werden kann.

Ohne ein solches Vorgehen sind Transfers, bei denen keine Maßnahmen wie etwa eine Anonymisierung oder Verschlüsselung der Daten möglich sind, nicht durchführbar. Darunter fallen insbesondere alle Cloud-Verarbeitungen, die Klardaten benötigen – sprich ein Großteil der heute stattfindenden Datenverarbeitungen.

Kein angemessenes Datenschutzniveau

Die österreichische Aufsichtsbehörde traf nun während eines Verfahrens, das auf einer der 101 Beschwerden von noyb beruhte, eine wichtige Entscheidung, die alle Datenübermittlungen in Drittländer betrifft. Denn die Entscheidung der Behörde konzentriert sich auf einen Datentransfer in die USA, welcher für Unternehmen derzeit am wichtigsten ist. In der Konsequenz sind aber alle Datentransfers in unsichere Drittländer betroffen.

Die Entscheidung der österreichischen Aufsichtsbehörde erteilte einem risikobasierten Ansatz eine grundsätzliche Absage: Wenn der Zugriff von US-Geheimdiensten nicht ausgeschlossen werden kann, dürfen personenbezogene Daten nicht übermittelt werden. Ob ein tatsächliches Risiko besteht oder nicht, ist dabei unerheblich, so die Datenschutz-Behörde. Das Risiko sei nicht der entscheidende Faktor.

Die Behörde wies in ihrer Entscheidung darauf hin, dass sich ein risikobasierter Ansatz nicht aus dem Wortlaut von Art. 44 DSGVO ableiten lässt, im Gegensatz zu Art. 5 (2) DSGVO in Verbindung mit Art. 24 (1) DSGVO. Demnach hängt ein Verstoß gegen Art. 44 DSGVO nicht davon ab, ob ein gewisses Mindestrisiko besteht oder ob US-Geheimdienste tatsächlich auf die Daten zugegriffen haben. Stattdessen lägte ein Verstoß gegen Art. 44 DSGVO bereits dann vor, wenn die Daten in ein Drittland übermittelt werden, das kein angemessenes Datenschutzniveau aufweise. Die Aufsichtsbehörde wies ferner darauf hin, dass der Gesetzgeber, wenn er einen risikobasierten Ansatz beabsichtigt hätte, dies ausdrücklich vorgesehen hätte, wie auch in anderen Artikeln der DSGVO geschehen:

„Da der Verordnungsgeber an zahlreichen Stellen der DSGVO einen risikobasierten Ansatz normiert hat, im Zusammenhang mit den Vorgaben von Art. 44 DSGVO jedoch nicht, kann nicht davon ausgegangen werden, dass der Verordnungsgeber dies bloß ‚übersehen’ hat; eine analoge Anwendung des risikobasierten Ansatzes auf Art. 44 DSGVO ist somit ausgeschlossen.“

Die Argumentation geht noch weiter in die Tiefe und verweist auch auf die Feststellungen des EuGH zum Schrems-II-Urteil. Bei Interesse empfehlen wir die Lektüre der Original-Entscheidung, welche der Beschwerdeführer noyb veröffentlicht hat. Die Argumentation findet sich auf S. 40 ff.

Fazit: Kein Datentransfer – egal welches Risiko

Die Nutzung von Tools, welche einen Datentransfer in die USA beinhalten, wird mit der Entscheidung der österreichischen Aufsichtsbehörde erheblich schwieriger, wenn nicht unmöglich rechtskonform zu gestalten. Der Zugriff der US-Geheimdienste auf die Daten muss durch zusätzliche Maßnahmen verhindert werden können, bevor der Datentransfer DSGVO-konform stattfinden kann.

Welche zusätzlichen Maßnahmen den US-Geheimdiensten den Zugriff auf Daten, die in die USA übermittelt werden, verwehren können, ist unklar. Die von Google verwendeten Maßnahmen wurden zumindest als ineffektiv eingestuft. Ohne solche zusätzlichen Maßnahmen kann aber der Datentransfer in die USA und damit die Nutzung von fast allen US-Cloud-Diensten nicht DSGVO-konform sein.

Für die von den Aufsichtsbehörden angestrebte einheitliche Anwendung des Datenschutzrechts in Europa wäre es erforderlich, dass andere Aufsichtsbehörden der Entscheidung der österreichischen in diesem Punkt folgen. Die Entscheidung erschwert zwar das Tagesgeschäft, die Argumentation ist aber fest in der DGSVO verankert und wird sehr überzeugend sein, sollte eine andere Datenschutzbehörde über diesen Punkt entscheiden müssen.

Unternehmen, die Daten in die USA übermitteln, sind somit gut beraten, diese Übermittlung auf das Nötigste zu beschränken; zumindest so lange, bis eine politische Lösung, z. B. eine andere Angemessenheitsentscheidung, gefunden ist.

Die österreichische Datenschutzbehörde ist sich der Sprengkraft ihrer Entscheidung bewusst, stellt aber zurecht fest, dass ihr wirtschaftliche oder politische Überlegungen untersagt sind. Eine wirtschaftliche oder politische Einigung für die Gewährleistung von Datenübermittlungen zwischen Europa und den USA haben andere Stellen – nicht jedoch Aufsichtsbehörden – zu erzielen.

Verantwortlich kann hier nur die Politik gemacht werden, welche in der Zwischenzeit auch schon an einem neuen Abkommen arbeitet. Dieses ist jedoch auch nicht unumstritten. Das Thema Datentransfer in Drittländer, insbesondere in die USA, wird uns auf absehbare Zeit nicht loslassen.