Child pages
  • Mögliche Voraussetzungen für eine rechtlich und tatsächlich DSGVO-konforme Ausgestaltung von Cloud-Lösungen nach dem “Schrems II Urteil” des EuGH
Skip to end of metadata
Go to start of metadata



Mögliche Voraussetzungen für eine rechtlich und tatsächlich DSGVO-konforme Ausgestaltung von Cloud-Lösungen nach dem “Schrems II Urteil” des EuGH

Wichtig

Folgende Angaben dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar. Sie sollen und können insbesondere keine rechtliche Beratung ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt. Soweit wir über Fälle, insbesondere Gerichtsentscheidungen berichten, darf aus deren Ergebnissen nicht auf einen notwendigerweise ähnlichen Ausgang in anderen Fällen geschlossen werden. 

Wir bemühen uns, alle bereit gestellten Informationen mit Sorgfalt auszuwählen und bei Bedarf zu aktualisieren oder zu ergänzen. Für Aktualität, Vollständigkeit und Richtigkeit der Informationen in diesem Text können wir dennoch keine Gewähr übernehmen.

Gehäuft tritt in der momentanen Situation von Seiten unserer Kunden die Frage nach der DSGVO-Konformität der Atlassian Cloud im Hinblick auf den nicht auszuschließenden internationalen Transfer von Daten auf. Gerade das “Schrems II Urteil” des Europäischen Gerichtshofs aus dem Juli dieses Jahres und die damit verbundene Unwirksamkeit des sogenannten “Privacy Shields”, lassen auf Seiten unserer Kunden viele Fragen offen und sorgen für Verunsicherung.

Die internationale Übermittlung von personenbezogenen Daten außerhalb der EU bedarf nach der DSGVO immer besonderer Rechtfertigung. Praktisch relevant sind hierbei vor allem zwei Rechtsgrundlagen – beide sind Gegenstand der EuGH-Entscheidung:

Mit einem Angemessenheitsbeschluss kann die EU-Kommission feststellen, dass die Rechtsordnung eines Landes außerhalb der EU ein der EU entsprechendes Datenschutzniveau aufweist. Datentransfers in einen solchen Drittstaat folgen damit dem Regime für Datentransfers innerhalb der EU. Dies galt nach dem Privacy Shield Abkommen der EU mit der USA auch für Datentransfers an zertifizierte Empfänger in den USA, wenn diese sich dem Regime des Privacy Shield unterwarfen.

Der zweite relevante Mechanismus sind die so genannten Standardvertragsklauseln (SCC). Dies sind von der EU-Kommission förmlich beschlossene Musterverträge. Vereinbaren die Vertragsparteien die Geltung dieser Klauseln für ihre Datenübermittlungen, dann – so die Konzeption der DSGVO – kompensieren die vertraglichen Vorkehrungen das vermeintliche Datenschutzdefizit im Empfängerland.

Entgegen anderslautender Meinungen hat der EuGH nun lediglich den Angemessenheitsbeschluss der EU Kommission zum Privacy Shield aufgrund unkontrolliert möglicher Datenzugriffe von US-Behörden für ungültig erklärt. Die oben erwähnten Standardvertragsklauseln als solche, hat der EuGH jedoch ausdrücklich als taugliches Mittel zur Absicherung internationaler Datentransfers bestätigt. Die Entscheidung der Übermittlung soll jedoch laut EuGH nicht allein auf die Standardvertragsklauseln gestützt werden können. Es obliegt jedem Unternehmen, „in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz […] gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.”

Der EuGH stellt also fest, dass eine Datenübermittlung außerhalb der EU möglich ist, wenn hierfür die angesprochenen Standardvertragsklauseln verwendet werden und zusätzliche “Schutzmaßnahmen” durch die Unternehmen ergriffen werden, um sicherzustellen, dass das Datenschutzniveau gemäß den Standardvertragsklauseln durch den Vertragspartner eingehalten wird. Der EuGH äußert sich allerdings nicht dazu, wie diese Schutzmaßnahmen aussehen müssen bzw. können. Hierzu hat sich jedoch beispielsweise schon der Europäische Datenschutzausschuss (EDSA) in seinen FAQ geäußert (https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf.) Hiernach müssen die zusätzlich nötigen Schutzmaßnahmen mithilfe einer Risikoabschätzung - in die unter anderem die Sensibilität der zu übermittelnden Daten einfließen soll - durch die Unternehmen selber festgelegt werden. Beispiele für zusätzliche Schutzmaßnahmen können laut dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg jedoch die vertragliche Festlegung von besonders sicherer Verschlüsselung der personenbezogenen Daten oder auch die Pseudonymisierung der personenbezogenen Daten sein. (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf).

Der Umfang der zusätzlichen Schutzmaßnahmen muss sich hierbei laut EDSA danach richten, welche Kategorien von personenbezogenen Daten übermittelt werden. 

Um die erwähnten Standardvertragsklauseln inkl. der für notwendig befundenen zusätzlichen Maßnahmen zu vereinbaren, kann somit gemäß dem Urteil des EuGH bei einer Cloud-Lösung mit internationalem Datentransfer ein umfassender Vertrag mit dem Cloud-Anbieter geschlossen werden. 

Was kann das für die Atlassian Cloud bedeuten?

Einen Vertrag, der die Standardvertragsklauseln enthält, bietet Atlassian seinen Cloud Kunden unter folgendem Link an: https://www.atlassian.com/legal/data-processing-addendum und stellt fest, dass die Atlassian Cloud auch bei einem internationalen Datentransfer in die USA jetzt schon vertraglich DSGVO-konform ausgestaltet werden kann. Unter anderem sind die EU- Standardvertragsklauseln, sowie jährliche Auditrechte und Angaben zur besonderen Verschlüsselung der Daten in dieser AVV enthalten. Zudem sichert Atlassian zu, die Kunden über etwaige unrechtmäßige Zugriffe auf ihre Daten umgehend zu informieren.

Nicht zuletzt kann in der Enterprise-Variante der Atlassian-Cloud-Dienste für bestimmte – jedoch nicht alle – Daten ein Speicherort in der EU festgelegt werden. Eine genaue Beschreibung dazu findet sich hier: Manage data residency .

Ob diese zusätzlichen Schutzmaßnahmen von Atlassian für die individuell nötige Auftragsverarbeitung ausreichen, muss jeder Kunde anhand der Art der zu verarbeitenden Daten und der internen Risikoeinschätzung selbst beurteilen. Sollten Kunden zu dem Schluss kommen, dass die zusätzlichen Schutzmaßnahmen nicht ausreichend sind, so können unter Umständen mit Atlassian innerhalb des AVV zusätzliche Schutzmaßnahmen vereinbart werden. Inwieweit dies möglich ist, entzieht sich jedoch unserer Kenntnis, da diese Vereinbarung nur zwischen Atlassian und den Kunden geschlossen werden kann. Alle Fragen zu diesem Vertrag sind deshalb ausschließlich an Atlassian zu richten.

Festzuhalten ist somit, dass deutsche Unternehmen auch unter Berücksichtigung des Schrems II Urteils des EuGH weiterhin Cloud-Dienste für ihre Daten nutzen können, wenn die faktische und vertragliche Ausgestaltung dieser Dienste gewisse Voraussetzungen erfüllt.

Weitere Informationen zu dieser Thematik finden Sie unter anderem in den FAQ des Europäischen Datenschutzausschusses (EDSA) unter folgendem Link: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf. EDSA gibt in diesen FAQs unter anderem an, dass sie planen, zeitnah eine Stellungnahme in Hinblick auf die möglichen zusätzlichen Schutzmaßnahmen zu veröffentlichen.


Mehr zu diesem Thema


Kurzlink zu dieser Seite: https://seibert.biz/clouddsgvo

  • No labels