Standardvertragsklauseln: Der endgültige Leitfaden
Tausende von Unternehmen verlassen sich auf Standardvertragsklauseln (SCC), um personenbezogene Daten aus der EU zu übertragen. Es herrscht jedoch große Unsicherheit darüber, wie SCCs funktionieren und ob sie wirksam sind.
In diesem Leitfaden wird untersucht, was SCC sind, wie man sie verwendet und wann man sie nicht verwenden sollte. Wir erklären auch, wie sich das Schrems-II-Urteil auf SCCs auswirkt, und bieten eine Fallstudie über die Verwendung von SCCs bei Amazon Web Services (AWS).
Was sind Standardvertragsklauseln?
Standardvertragsklauseln (SCCs) sind ein Instrument zur Erleichterung internationaler Datenübermittlungen gemäß der DSGVO.
SCCs sind die "Musterklauseln" der Europäischen Kommission, die Teil eines Vertrags zwischen einer in der EU ansässigen Organisation und einer Nicht-EU-Organisation sein können.
Die DSGVO legt einen hohen Datenschutzstandard für Menschen in der EU (sowie im Vereinigten Königreich, Island, Liechtenstein und Norwegen - wir verwenden die Abkürzung "EU") fest. SCCs sollen sicherstellen, dass personenbezogene Daten, wenn sie die EU verlassen, weiterhin nach EU-Standards geschützt sind.
SCCs sind eine von mehreren möglichen Methoden für den Export personenbezogener Daten, die in Kapitel V der DSGVO aufgeführt sind. Wie wir weiter unten erläutern werden, sind Standardvertragsklauseln kein Allheilmittel und machen eine Datenübermittlung nicht automatisch legal.
Wie funktionieren Standardvertragsklauseln?
Hier ein Beispiel dafür, wie SCCs verwendet werden können.
Ein französischer Bekleidungshändler sammelt personenbezogene Daten von einer Person in Deutschland. Da das französische Unternehmen unter die DSGVO fällt, muss es alle gesetzlichen Anforderungen für die Verarbeitung der Daten der deutschen Person einhalten.
Der französische Bekleidungshändler möchte jedoch ein E-Mail-Marketingunternehmen mit Sitz in Australien, einem "Drittland" (Nicht-EU-Land), beauftragen. Der Einzelhändler muss die personenbezogenen Daten seiner Kunden nach Australien exportieren, wo das Datenschutzrecht schwächer ist als in der EU.
Das französische und das australische Unternehmen können sich auf einen Vertrag einigen, der SCCs enthält. Der Vertrag verpflichtet das australische Unternehmen, die personenbezogenen Daten gemäß den EU-Standards zu schützen. Zum Beispiel durch die Umsetzung von Sicherheitsmaßnahmen und die Unterstützung bei Anfragen von Betroffenen.
So weit, so gut.
Aber ein Vertrag ist nur "Papierkram". Ein Vertrag hat keinen Vorrang vor nationalem Recht - mit oder ohne SCC.
Warum das ein Problem ist, werden wir später im Artikel erklären.
Module der Standardvertragsklauseln
Es gibt vier verschiedene "Module" von SCC, die für unterschiedliche Situationen konzipiert sind, je nach der Rolle des Exporteurs und des Importeurs der personenbezogenen Daten:
- Verantwortlicher an Verantwortlichen
- Verantwortlicher an Auftragsverarbeiter
- Prozessor zu Prozessor
- Verarbeiter an Controller
Die Europäische Kommission stellt ein Word-Dokument zur Verfügung, das alle SCCs enthält. In dem Dokument wird angegeben, welche SCCs für jedes "Modul" erforderlich sind.
So gibt es zum Beispiel zwei Versionen von Klausel 12, in der die Haftungsregeln festgelegt sind.
Die erste Version von Klausel 12 gilt für die Module eins und vier, bei denen der Datenimporteur aus einem Drittland ein für die Verarbeitung Verantwortlicher ist. In dieser Fassung der Klausel heißt es, dass jede Partei gegenüber der betroffenen Person haftbar ist.
Die zweite Version von Klausel 12 gilt für die Module 2 und 3, bei denen der Drittlandsimporteur ein Verarbeiter ist. In dieser Fassung von Klausel 12 ist nur der Datenimporteur gegenüber der betroffenen Person haftbar (mit einigen Ausnahmen).
Alternativen zu Standardvertragsklauseln
SCC sind nicht die einzige Methode für internationale Datenübermittlungen gemäß der DSGVO. Sehen wir uns kurz drei Alternativen an.
Angemessenheitsbeschluss
Ein internationaler Datentransfer kann ohne SCCs erfolgen, wenn sich der Datenimporteur in einer Rechtsordnung befindet, die durch einen "Angemessenheitsbeschluss " abgedeckt ist.
Im Rahmen des Angemessenheitsprozesses bewertet die Kommission die Datenschutz- und Menschenrechtsstandards eines Drittlandes. Wenn das Drittland den betroffenen Personen einen "im Wesentlichen gleichwertigen" Schutz wie nach EU-Recht bietet, kann die Kommission einen Angemessenheitsbeschluss erlassen.
Es gibt [14 angemessene Gerichtsbarkeiten] (https://adequate.country/), darunter Andorra, Neuseeland und Japan. *Die USA haben zwei Angemessenheitsbeschlüsse erhalten, die beide für ungültig erklärt wurden.
Verbindliche Vertragsklauseln
Bindende Vertragsklauseln (BCR) können internationale Datenübermittlungen zwischen Unternehmen einer internationalen Unternehmensgruppe oder einer "Gruppe von Unternehmen" erleichtern. Wie SCCs verpflichten BCRs Datenimporteure rechtlich dazu, personenbezogene Daten nach EU-Standards zu verarbeiten.
BCR müssen von einer Datenschutzbehörde (DPA) genehmigt werden. Das Genehmigungsverfahren für BCR ist langwierig und kompliziert. Seit Inkrafttreten der DSGVO wurden weniger als 50 [BCR-Sätze] (https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en?f%5B0%5D=bcr_type_bcr%3AController&f%5B1%5D=bcr_type_bcr%3AProcessor&page=1) genehmigt (von denen viele für dieselben Unternehmen gelten).
BCR werden manchmal als der "Goldstandard" für internationale Datenübermittlungen bezeichnet. *Die BCR haben jedoch ein ähnliches Problem wie die SCC: Sie können das nationale Recht nicht außer Kraft setzen.
Ausnahmeregelungen für bestimmte Situationen
Internationale Datenübermittlungen können in bestimmten Situationen auch ohne die oben genannten Garantien erfolgen.
In der DSGVO sind mehrere Ausnahmeregelungen aufgeführt. Hier sind drei Beispiele. Eine Übermittlung kann aufgrund einer "Ausnahmeregelung" erfolgen:
- Wenn die betroffene Person ausdrücklich und in Kenntnis der Sachlage ihre Einwilligung gegeben hat.
- Wenn die Übermittlung aus wichtigen Gründen des öffentlichen Interesses erforderlich ist.
- Wenn die Übermittlung im Zusammenhang mit Rechtsansprüchen erforderlich ist.
Die Inanspruchnahme einer Ausnahmeregelung ist nur in Ausnahmefällen geeignet und wird nicht als langfristige Lösung für Datenübermittlungen angesehen.
Standardvertragsklauseln nach Schrems II
Der als "Schrems II" bekannte Fall hat einigen Unternehmen, die Standardvertragsklauseln verwenden, große Probleme bereitet. Hier ein kurzer Überblick über Schrems II und seine Auswirkungen auf die Verwendung von SCCs.
Was ist Schrems II?
Schrems II ist eine Entscheidung des Gerichtshofs der Europäischen Union (EuGH) vom Juli 2020. In dem Fall ging es um Max Schrems, Facebook und die irische Datenschutzkommission (DPC).
In der Entscheidung in der Rechtssache Schrems II prüfte der EuGH, ob die Angemessenheitsentscheidung der USA, ein Zertifizierungsrahmen, der als "Privacy Shield" bekannt ist, nach EU-Recht gültig ist. Das Gericht untersuchte auch, ob SCCs eine zulässige Methode zur Übermittlung personenbezogener Daten in die USA sind.
Schrems II ist einer der wichtigsten Fälle im Bereich des Datenschutzes und hatte weitreichende Folgen für den internationalen Datentransfer. Die Folgen von Schrems II sind immer noch ungelöst.
Schrems II und Privacy Shield
In Schrems II hatte das Gericht zu entscheiden, ob Privacy Shield personenbezogene Daten vor dem Zugriff durch US-Geheimdienste schützen kann. Dabei konzentrierte sich der EuGH auf zwei US-Überwachungsgesetze, "FISA 702" und "EO 12333".
Nach diesen Gesetzen kann die US-Regierung auf personenbezogene Daten zugreifen, die von US-Unternehmen kontrolliert werden, und zwar in einer Weise, die nach Ansicht des EuGH "über das in einer demokratischen Gesellschaft erforderliche Maß hinausgeht".
Der Privacy-Shield-Rahmen zwingt die zertifizierenden Unternehmen, personenbezogene Daten nach EU-Standards zu schützen. Privacy Shield setzte jedoch nicht das nationale Recht außer Kraft und konnte die Menschen in der EU nicht vor der Überwachung nach FISA 702 und EO 12333 schützen.
Da der Rahmen personenbezogene Daten nicht vor US-Geheimdiensten schützen konnte, entschied der EuGH, dass Privacy Shield nach EU-Recht ungültig ist. EU-Organisationen konnten den Rahmen nicht mehr nutzen.
Dies stellte ein Problem für Tausende von Unternehmen dar, die sich auf Privacy Shield verlassen, um internationale Datenübermittlungen in die USA zu erleichtern.
Schrems II und Standardvertragsklauseln
In Schrems II befasste sich der EuGH auch mit den Auswirkungen des US-Überwachungsrechts auf SCC.
Für SCCs galt das gleiche Grundproblem wie für Privacy Shield. **Das Gericht stellte fest, dass SCCs allein die US-Geheimdienste nicht daran hindern, auf personenbezogene Daten zuzugreifen.
In der Schrems-II-Entscheidung wurde nicht gesagt, dass die Verwendung von SCCs illegal sei. Das Gericht stellte jedoch fest, dass die Verwendung von SCCs nicht automatisch dazu führt, dass ein internationaler Datentransfer mit der DSGVO konform ist. Diese Feststellung gilt für Übermittlungen in jedes beliebige Drittland - nicht nur in die USA.
Seit Schrems II müssen Organisationen zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass SCCs gültig sind.
Empfehlungen des Europäischen Datenschutzausschusses zu Standardvertragsklauseln
Im Anschluss an Schrems II hat der Europäische Datenschutzausschuss (EDPB) eine Reihe von [Empfehlungen] (https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en) zu SCCs veröffentlicht (Empfehlungen 01/2020).
Die Empfehlungen des EDSB sehen ein schrittweises Verfahren vor, um festzustellen, ob SCC gültig sind, einschließlich der Durchführung einer "Transfer-Folgenabschätzung" (TIA) und der Verabschiedung "ergänzender Maßnahmen ".
Was ist eine Verlagerungsfolgenabschätzung?
Eine "Transfer-Folgenabschätzung" (TIA) ist ein Verfahren zur Bewertung des rechtlichen Rahmens und der Praktiken der Strafverfolgungsbehörden im Land des Datenimporteurs.
Denken Sie daran, dass nationale Gesetze im Allgemeinen Vorrang vor Verträgen haben, auch vor solchen, die SCCs enthalten. Und selbst dort, wo es keine solchen nationalen Gesetze gibt, fangen Regierungen manchmal illegal die Kommunikation ab.
Der EDPB empfiehlt Datenexporteuren, vor einer Übermittlung zu prüfen, ob im Land des Importeurs Gesetze und/oder Praktiken gelten, die die Wirksamkeit des Übermittlungsmechanismus (z. B. SCCs) beeinträchtigen könnten.
Eine TIA kann langwierig und kompliziert sein und erfordert unter Umständen eine externe Rechtsberatung. Nach Schrems II ist jede EU-Organisation verpflichtet, vor einer internationalen Verbringung eine TIA durchzuführen.
Was sind ergänzende Maßnahmen?
Ergänzende Maßnahmen sind technische oder organisatorische Schutzmaßnahmen, die den durch SCC gewährten Schutz "ergänzen" können.
Wenn Sie beispielsweise personenbezogene Daten an eine in den USA ansässige Organisation wie Google oder Microsoft übermitteln, kann die US-Regierung das Unternehmen zwingen, Zugang zu den personenbezogenen Daten zu gewähren. SCCs allein verhindern den Zugriff der Regierung nicht.
Wenn Sie die personenbezogenen Daten jedoch zusätzlich verschlüsseln und sicherstellen, dass das in den USA ansässige Unternehmen keinen Zugriff auf den Schlüssel hat, können die personenbezogenen Daten vor Überwachung sicher sein.
Beachten Sie jedoch, dass für einige sehr häufige Arten der Datenübermittlung keine wirksamen Zusatzmaßnahmen bekannt sind.
Manchmal funktionieren zusätzliche Maßnahmen nicht
In den Empfehlungen des EDPB werden einige hypothetische "Anwendungsfälle" genannt, in denen zusätzliche Maßnahmen Anwendung finden könnten - oder auch nicht.
In Anwendungsfall 1 geht es beispielsweise um ein in der EU ansässiges Unternehmen, das einen Hosting-Dienstleister in einem Drittland für die Sicherung seiner Daten nutzt.
In diesem Fall könnten SCCs gültig sein, wenn sechs strenge Bedingungen erfüllt sind, darunter, dass die Daten vor der Übertragung stark verschlüsselt wurden und der Importeur keinen Zugriff auf die Schlüssel hat. In diesem Szenario könnten SCCs und ergänzende Maßnahmen funktionieren.
Andere Beispiele sind problematischer, nämlich Anwendungsfall 6 und Anwendungsfall 7. *Diese Szenarien gehören auch zu den häufigsten Beispielen für internationale Datenübermittlungen.
Anwendungsfall 6 betrifft Übermittlungen an "Anbieter von Cloud-Diensten oder andere Auftragsverarbeiter, die Zugang zu unverschlüsselten Daten " (d. h. unverschlüsselten oder entschlüsselbaren Daten) benötigen. Der Zugang zu unverschlüsselten Daten ist für die Bereitstellung vieler Cloud-Dienste unerlässlich.
Anwendungsfall 7 betrifft Übermittlungen "für geschäftliche Zwecke, auch im Wege des Fernzugriffs ". Zum Beispiel ein Anbieter von Personaldienstleistungen außerhalb der EU, der Zugang zu unverschlüsselten und nicht pseudonymisierten Daten über Mitarbeiter benötigt.
In beiden Beispielen befindet sich der Importeur in einem Land wie den USA, wo im Rahmen des TIA-Verfahrens die Notwendigkeit zusätzlicher Maßnahmen festgestellt wurde.
In diesen beiden Beispielen gibt es jedoch *keine bekannten zusätzlichen Maßnahmen, die den SCC "hinzugefügt" werden könnten, um personenbezogene Daten zu schützen. Oder wie es der EDPB ausdrückt,
"...ist der EDSB beim derzeitigen Stand der Technik nicht in der Lage, sich eine wirksame technische Maßnahme vorzustellen, die verhindert, dass ... der Zugang die Grundrechte der betroffenen Person verletzt."
Brauche ich SCCs, wenn personenbezogene Daten in der EU gespeichert sind?
Eine "internationale Datenübermittlung" kann auch dann stattfinden, wenn personenbezogene Daten die EU nie verlassen. Wenn der Datenimporteur den Gesetzen eines Drittlandes unterliegt, gelten alle Vorschriften für internationale Datenübermittlungen.
In einer Fußnote seiner Empfehlungen weist der EDSB darauf hin, dass "der Fernzugriff einer Einrichtung aus einem Drittland auf Daten im EWR ebenfalls als Übermittlung gilt". Mit anderen Worten: Selbst wenn sich personenbezogene Daten physisch in der EU (oder im weiteren EWR) befinden, funktionieren SCCs möglicherweise nicht.
Dies liegt an Gesetzen wie dem US [CLOUD Act] (https://www.congress.gov/bill/115th-congress/senate-bill/2383/text). Das CLOUD-Gesetz verlangt von Anbietern elektronischer Kommunikationsdienste (ESCPs), den US-Strafverfolgungsbehörden Zugang zu Daten zu gewähren, über die der ECSP "Gewahrsam, Kontrolle oder Besitz" hat.
Hier ein konkretes Beispiel: ein Verfahren aus dem Jahr 2021 (https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/) gegen die Hochschule RheinMain. Die Hochschule soll gegen die Datenübertragungsregeln der DSGVO verstoßen haben, indem sie eine Zustimmungsmanagement-Plattform (CMP) namens Cookiebot verwendete.
Cookiebot setzte die A Technologies GmbH, eine europäische Tochtergesellschaft des US-amerikanischen Cloud-Anbieters Akamai, als Unterauftragsverarbeiter ein. Obwohl der Unterauftragsverarbeiter Server in der EU nutzte, befand das Gericht, dass er in den Anwendungsbereich des CLOUD-Gesetzes fällt.
Daher stellte die Datenschutzbehörde fest, dass die Nutzung von Cookiebot durch die Universität gegen die Datenübertragungsregeln der DSGVO verstieß, obwohl die personenbezogenen Daten auf Servern in der EU verblieben.
Risikobasierter Ansatz und Standardvertragsklauseln
Seit Schrems II gibt es eine Debatte darüber, ob die DSGVO einen "risikobasierten Ansatz" für internationale Übermittlungen zulässt.
Hier ist die zentrale Frage in dieser Debatte: Gelten die Vorschriften der DSGVO für alle internationalen Datenübermittlungen, oder sind einige "risikoarme" Übermittlungen ausgenommen?
Was ist der "risikobasierte Ansatz"?
Der "risikobasierte Ansatz" für internationale Übermittlungen legt nahe, dass einige Übermittlungen auch dann rechtmäßig erfolgen könnten, wenn die Gefahr besteht, dass Strafverfolgungsbehörden auf personenbezogene Daten zugreifen.
Die Gegner des "risikobasierten Ansatzes" argumentieren, dass jegliches Risiko eines unbefugten Zugriffs durch Strafverfolgungsbehörden von Drittländern wirksam beseitigt werden muss, bevor eine internationale Datenübermittlung stattfinden kann.
Mehrere Entscheidungen von Anfang 2022 an deuten darauf hin, dass es keinen "risikobasierten Ansatz" für internationale Datenübermittlungen gibt.
Google-Analytics-Entscheidungen und Standardvertragsklauseln
Im Januar 2022 schloss die österreichische Datenschutzbehörde (bekannt als DSB) eine Untersuchung eines Online-Händlers ab, der Google Analytics verwendete.
Der Einzelhändler stützte sich auf SCCs, um Analysedaten an Google zu übermitteln. Google Analytics erhielt scheinbar nicht sensible Daten wie IP-Adressen und Browserinformationen.
Trotz des scheinbar geringen Risikos entschied der DSB [https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf], dass der Einzelhändler gegen die internationalen Übermittlungsvorschriften der DSGVO verstoßen hatte.
Die Kampagnenorganisation von Max Schrems, noyb, stand hinter dieser und 100 weiteren Beschwerden gegen Websites, die Google Analytics verwenden.
"Während es viele Alternativen gibt, die in Europa gehostet werden oder selbst gehostet werden können, verlassen sich viele Websites auf Google und übermitteln damit ihre Nutzerdaten an den US-Multi", so noyb in einer Pressemitteilung.
In einer zweiten Entscheidung, die sich direkt an Google richtete, stellte das DSB ausdrücklich fest, dass die DSGVO einen risikobasierten Ansatz" für internationale Datenübermittlungen nicht anerkennt.
Andere Datenschutzbehörden folgten diesem Beispiel. Die französische Datenschutzbehörde traf eine ähnliche Entscheidung gegen einen anderen Website-Betreiber, gefolgt von zwei weiteren Entscheidungen im März. Weitere Entscheidungen folgten in Italien und Dänemark.
Jede DPA stellte fest, dass die Nutzer von Google Analytics gegen internationale Übermittlungsvorschriften verstoßen.
Diesen Entscheidungen zufolge müssen selbst Daten mit geringem Risiko nach EU-Standard geschützt werden. Und wenn Sie das Risiko eines staatlichen Zugriffs nicht ausschließen können, darf die Übermittlung nicht stattfinden.
Fallstudie: Standardvertragsklauseln und AWS
Abschließend wollen wir anhand eines Beispiels prüfen, ob SCCs angemessen sind.
Wir verwenden Amazon Web Services (AWS) für diese Fallstudie, aber die gleichen Regeln könnten für jeden in den USA ansässigen Anbieter von Cloud-Diensten gelten.
Es gibt Umstände, unter denen eine in der EU ansässige Organisation personenbezogene Daten rechtmäßig an AWS übermitteln könnte. Es gibt auch Umstände, unter denen eine solche Übermittlung wahrscheinlich unrechtmäßig ist.
Bevor ein in der EU ansässiges Unternehmen personenbezogene Daten an AWS übermitteln kann, muss es die in den Leitlinien des EDPB (siehe oben) dargelegten Schritte befolgen. Betrachten wir einige dieser Schritte in Bezug auf die Nutzung von AWS.
Bewertung des US-Rechts
Vor einer Datenübermittlung muss der Datenexporteur das Recht des Drittlandes des Importeurs prüfen. In diesem Fall sollte AWS als ein in den USA ansässiges Unternehmen behandelt werden, auch wenn es eine in Luxemburg ansässige Tochtergesellschaft (AWS Sarl) hat.
Eine vollständige Transferfolgenabschätzung würde eine umfassende Analyse des Rechts und der Praxis des Drittlandes erfordern. In diesem Fall können wir auf der Grundlage von Schrems II und den nachfolgenden Durchsetzungsmaßnahmen einige Schlussfolgerungen ziehen.
Schrems II bestätigte, dass das US-Recht nach EU-Standards problematisch ist, was zum Teil darauf zurückzuführen ist, wie US-Regierungsbehörden gemäß FISA 702 und EO12233 auf Daten zugreifen können. Wie bereits erwähnt, steht das CLOUD-Gesetz auch im Widerspruch zum EU-Recht.
AWS ist ein Anbieter elektronischer Kommunikationsdienste (ECSP) und unterliegt diesen Gesetzen.
Als solcher besteht ein eindeutiges Risiko des unbefugten Zugriffs auf personenbezogene Daten.
Vertragliche Maßnahmen
Amazon Web Services (AWS) und seine in der EU ansässigen Nutzer stimmen dem AWS DSGVO Data Processing Addendum zu. Dieser Vertrag enthält die neuesten SCCs. Der Vertrag enthält auch ein ergänzendes Addendum, das von AWS nach Schrems II veröffentlicht wurde.
In diesem Zusatz zur Datenverarbeitung gibt AWS einige Zusicherungen darüber ab, wie es auf Zugangsanfragen der Regierung reagieren wird:
Dieser Absatz besagt, dass AWS:
- Daten aufgrund einer "gültigen und verbindlichen Anordnung" einer staatlichen Stelle weitergeben wird.
- Versuchen, die staatliche Stelle an den Nutzer "weiterzuleiten".
- den Nutzer über die Weitergabe von Daten zu informieren, es sei denn, dies ist "gesetzlich verboten".
AWS erkennt also zu Recht das Risiko eines unbefugten Zugriffs der Strafverfolgungsbehörden auf die Daten der Nutzer an.
In einem Leitfaden mit dem Titel Navigating Compliance with EU Data Transfer Requirements behauptet AWS, dass "die Frage des Zugriffs der nationalen Sicherheit auf ihre personenbezogenen Daten wahrscheinlich nicht auftauchen wird, da diese Daten für die nationalen Sicherheitsbehörden nicht von Interesse sind".
Dieser Satz deutet darauf hin, dass Datenübertragungen an AWS risikoarm sind. Andere Unternehmen, wie z. B. Google, haben sich ähnlich ausgedrückt.
Aus den Google-Analytics-Entscheidungen wissen wir jedoch, dass die EU-Datenschutzbehörden den "risikobasierten Ansatz" für internationale Übermittlungen nicht akzeptieren.
Nach dieser Einschätzung scheint es, dass SCCs allein nicht ausreichen, um an AWS übermittelte personenbezogene Daten zu schützen.
Ergänzende Maßnahmen
Da SCCs allein nicht ausreichen, um personenbezogene Daten vor dem Zugriff der US-Regierung zu schützen, sollten Exporteure "zusätzliche Maßnahmen" in Betracht ziehen, die AWS physisch daran hindern könnten, personenbezogene Daten an die US-Regierung weiterzugeben.
Laut AWS-Dokumentation bietet das Unternehmen eine Reihe von technischen und organisatorischen Maßnahmen zum Schutz der Nutzerdaten an, darunter Verschlüsselung und Schlüsselverwaltung für die Verschlüsselung.
Wir haben ein reales Beispiel dafür, wie diese zusätzlichen Maßnahmen getestet werden. In einem französischen [Gerichtsverfahren] vom März 2021 (https://medium.com/protectionofdata/doctolib-ruling-does-schrems-ii-now-apply-to-inter-eu-transfers-feda0e987779) wurde ein E-Health-Unternehmen namens Doctolib verklagt, weil es personenbezogene Daten an AWS Sarl übermittelt hatte.
Das Gericht stellte fest, dass die Übermittlung nicht gegen die DSGVO verstieß. Die Umstände waren jedoch sehr spezifisch.
Ein Faktor bei der Entscheidung des Gerichts war die Verwaltung der Verschlüsselungsschlüssel. AWS konnte nicht auf die Daten von Doctolib zugreifen, weil die Schlüssel von einer vertrauenswürdigen dritten Partei mit Sitz in Frankreich verwaltet wurden.
Diese Lösung ist nur unter bestimmten Umständen rechtmäßig, wenn AWS für die Erbringung seiner Dienste keinen Zugang zu den Nutzerdaten benötigt. Zum Beispiel bei der Nutzung von AWS zu Sicherungszwecken, wie im "Anwendungsfall 1" des EDPB (siehe oben) beschrieben.
Die Schlüsselverwaltung durch Dritte würde nicht funktionieren, wenn AWS oder ein anderes Unternehmen aus einem Drittland Zugang zu personenbezogenen Daten "im Verborgenen" benötigt (Anwendungsfälle 6 und 7). Zu solchen Szenarien gehören gängige Aktivitäten wie die Bereitstellung von Kundendiensten, Webanalysen oder Marketingerfahrungen.
Dieser Fall veranschaulicht einen wichtigen Grundsatz bei internationalen Datenübermittlungen: *Die Wirksamkeit von SCCs hängt von allen Umständen der Übermittlung ab.
Wenn SCC und ergänzende Maßnahmen personenbezogene Daten nicht vor dem Risiko eines unbefugten Zugriffs schützen können, darf die Übermittlung nicht stattfinden.