Mögliche Voraussetzungen für eine rechtlich und tatsächlich DSGVO-konforme Ausgestaltung von Cloud-Lösungen nach dem “Schrems II Urteil” des EuGH

Wichtig

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen. 

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.


Gehäuft tritt in der momentanen Situation von Seiten unserer Kunden die Frage nach der DSGVO-Konformität der Atlassian Cloud im Hinblick auf den nicht auszuschließenden internationalen Transfer von Daten auf. Gerade das “Schrems II Urteil” des Europäischen Gerichtshofs aus dem Juli dieses Jahres und die damit verbundene Unwirksamkeit des sogenannten “Privacy Shields”, lassen auf Seiten unserer Kunden viele Fragen offen und sorgen für Verunsicherung.

Die internationale Übermittlung von personenbezogenen Daten außerhalb der EU bedarf nach der DSGVO immer besonderer Rechtfertigung. Praktisch relevant sind hierbei vor allem zwei Rechtsgrundlagen – beide sind Gegenstand der EuGH-Entscheidung:

Mit einem Angemessenheitsbeschluss kann die EU-Kommission feststellen, dass die Rechtsordnung eines Landes außerhalb der EU ein der EU entsprechendes Datenschutzniveau aufweist. Datentransfers in einen solchen Drittstaat folgen damit dem Regime für Datentransfers innerhalb der EU. Dies galt nach dem Privacy Shield Abkommen der EU mit der USA auch für Datentransfers an zertifizierte Empfänger in den USA, wenn diese sich dem Regime des Privacy Shield unterwarfen.

Der zweite relevante Mechanismus sind die so genannten Standardvertragsklauseln (SCC). Dies sind von der EU-Kommission förmlich beschlossene Musterverträge. Vereinbaren die Vertragsparteien die Geltung dieser Klauseln für ihre Datenübermittlungen, dann – so die Konzeption der DSGVO – kompensieren die vertraglichen Vorkehrungen das vermeintliche Datenschutzdefizit im Empfängerland.

Entgegen anderslautender Meinungen hat der EuGH nun lediglich den Angemessenheitsbeschluss der EU Kommission zum Privacy Shield aufgrund unkontrolliert möglicher Datenzugriffe von US-Behörden für ungültig erklärt. Die oben erwähnten Standardvertragsklauseln als solche, hat der EuGH jedoch ausdrücklich als taugliches Mittel zur Absicherung internationaler Datentransfers bestätigt. Die Entscheidung der Übermittlung soll jedoch laut EuGH nicht allein auf die Standardvertragsklauseln gestützt werden können. Es obliegt jedem Unternehmen, „in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz […] gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.”

Der EuGH stellt also fest, dass eine Datenübermittlung außerhalb der EU möglich ist, wenn hierfür die angesprochenen Standardvertragsklauseln verwendet werden und zusätzliche “Schutzmaßnahmen” durch die Unternehmen ergriffen werden, um sicherzustellen, dass das Datenschutzniveau gemäß den Standardvertragsklauseln durch den Vertragspartner eingehalten wird. Der EuGH äußert sich allerdings nicht dazu, wie diese Schutzmaßnahmen aussehen müssen bzw. können. Hierzu hat sich jedoch beispielsweise schon der Europäische Datenschutzausschuss (EDSA) in seinen FAQ geäußert (https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf.) Hiernach müssen die zusätzlich nötigen Schutzmaßnahmen mithilfe einer Risikoabschätzung - in die unter anderem die Sensibilität der zu übermittelnden Daten einfließen soll - durch die Unternehmen selber festgelegt werden. Beispiele für zusätzliche Schutzmaßnahmen können laut dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg jedoch die vertragliche Festlegung von besonders sicherer Verschlüsselung der personenbezogenen Daten oder auch die Pseudonymisierung der personenbezogenen Daten sein. (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf).

Der Umfang der zusätzlichen Schutzmaßnahmen muss sich hierbei laut EDSA danach richten, welche Kategorien von personenbezogenen Daten übermittelt werden. 

Um die erwähnten Standardvertragsklauseln inkl. der für notwendig befundenen zusätzlichen Maßnahmen zu vereinbaren, kann somit gemäß dem Urteil des EuGH bei einer Cloud-Lösung mit internationalem Datentransfer ein umfassender Vertrag mit dem Cloud-Anbieter geschlossen werden. 

Was kann das für die Atlassian Cloud bedeuten?

Einen Vertrag, der die Standardvertragsklauseln enthält, bietet Atlassian seinen Cloud Kunden unter folgendem Link an: https://www.atlassian.com/legal/data-processing-addendum und stellt fest, dass die Atlassian Cloud auch bei einem internationalen Datentransfer in die USA jetzt schon vertraglich DSGVO-konform ausgestaltet werden kann. Unter anderem sind die EU- Standardvertragsklauseln, sowie jährliche Auditrechte und Angaben zur besonderen Verschlüsselung der Daten in dieser AVV enthalten. Zudem sichert Atlassian zu, die Kunden über etwaige unrechtmäßige Zugriffe auf ihre Daten umgehend zu informieren.

In der Standard-, Premium- und Enterprise-Variante der Atlassian-Cloud-Dienste für bestimmte – jedoch nicht alle – Daten ein Speicherort in der EU festgelegt werden. Eine genaue Beschreibung dazu findet sich hier: Manage data residency .

Ob diese zusätzlichen Schutzmaßnahmen von Atlassian für die individuell nötige Auftragsverarbeitung ausreichen, muss jeder Kunde anhand der Art der zu verarbeitenden Daten und der internen Risikoeinschätzung selbst beurteilen. Sollten Kunden zu dem Schluss kommen, dass die zusätzlichen Schutzmaßnahmen nicht ausreichend sind, so können unter Umständen mit Atlassian innerhalb des AVV zusätzliche Schutzmaßnahmen vereinbart werden. Inwieweit dies möglich ist, entzieht sich jedoch unserer Kenntnis, da diese Vereinbarung nur zwischen Atlassian und den Kunden geschlossen werden kann. Alle Fragen zu diesem Vertrag sind deshalb ausschließlich an Atlassian zu richten.

Festzuhalten ist somit, dass deutsche Unternehmen auch unter Berücksichtigung des Schrems II Urteils des EuGH weiterhin Cloud-Dienste für ihre Daten nutzen können, wenn die faktische und vertragliche Ausgestaltung dieser Dienste gewisse Voraussetzungen erfüllt.

Weitere Informationen zu dieser Thematik finden Sie unter anderem in den FAQ des Europäischen Datenschutzausschusses (EDSA) unter folgendem Link: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf. EDSA gibt in diesen FAQs unter anderem an, dass sie planen, zeitnah eine Stellungnahme in Hinblick auf die möglichen zusätzlichen Schutzmaßnahmen zu veröffentlichen.


Mehr zu diesem Thema




//SEIBERT/MEDIA GmbH

Luisenstraße 37-39, 65185 Wiesbaden

  • No labels
Diese Seite wurde zuletzt am 28.06.2024 geändert.