News

Belgischer Staatsrat: Drittlandsübermittlung an AWS kann unter gewissen Umständen DSGVO-konform sein

Der belgische Staatsrat, ein außergerichtliches Beratungs- und Rechtsprechungsorgan, das die Exekutive in Belgien überwacht, äußerte sich kürzlich in einem Eilrechtsschutzverfahren in bemerkenswerter Weise zum Thema Drittlandsübermittlungen an den US-amerikanischen Cloud-Dienst Amazon Web Services (AWS).

Der Entscheidung des Staatsrats vorausgegangen war die Zuschlagserteilung einer flämischen Behörde an eine in der EU ansässige Niederlassung eines US-Unternehmens in einem Vergabeverfahren für die Errichtung und den Betrieb eines sog. Mobilitätszentrums. Das Mobilitätszentrum wird aufgrund eines Dekrets der Verwaltungsregion Flandern errichtet, um die flämische Behörde für Mobilität und öffentliche Arbeiten (Flemish Department of Mobility and Public Works - DMOW) bei der Entwicklung einer langfristigen Vision für nachhaltige Mobilität in der flämischen Region und der Überwachung und Umsetzung der regionalen Mobilitätspolitik, einschließlich der Umsetzung des neuen Dekrets zu unterstützen. Für die Ausführung des Vergabeauftrags beabsichtigt das US-Unternehmen, AWS einzusetzen. Dabei sollen die „normalen“ personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO aller Nutzer der Mobilitätszentrale (u. a. Adresse, Uhrzeit, Identifikationsdaten, Benutzername, Login, Bankdaten für die Abrechnung, usw.) aber auch besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (u. a. körperliche Einschränkungen der Nutzer) in AWS verarbeitet werden.

Ein niederländisches Unternehmen, das für den zu vergebenden Auftrag nicht ausgewählt wurde, griff diese Entscheidung vor dem Staatsrat mit der Begründung an, dass die Bestimmungen der DSGVO u. a. im Hinblick auf die Vorgaben zur Drittlandsübermittlung verletzt wurden, da in den USA kein angemessener Schutz der Daten gewährleistet werden könne. Das niederländische Unternehmen stützte sich insbesondere auf eine Stellungnahme der flämischen Datenschutzkommission („Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens“), wonach die Nutzung von AWS grundsätzlich nicht mit dem Schrems-II-Urteil und der DSGVO vereinbar sei.

Der Staatsrat entschied dementgegen, dass das Schrems II-Urteil nicht per se mit Blick auf das Datenschutzniveau in den USA Datenübermittlungen aus der EU auf Grundlage der sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO) verbiete. Vielmehr sei es Aufgabe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, in jedem Einzelfall zu prüfen, ob die Standardvertragsklauseln bei der Übermittlung in ein Drittland eingehalten werden können. Sofern sich bei der Prüfung herausstellen sollte, dass die Standardvertragsklauseln in Anbetracht des Rechts des Bestimmungslandes nicht eingehalten werden können, sei es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, zu prüfen, welche zusätzlichen Schutzmaßnahmen getroffen werden können, um die festgestellten Lücken zu schließen und ein der DSGVO vergleichbares Datenschutzniveau sicherzustellen. Das Gericht verwies in diesem Zusammenhang darauf, dass der Europäische Datenschutzausschuss (EDSA) in seinen Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen aber auch die vom Kläger zitierte flämische Datenschutzkommission nicht per se die Verwendung von Verschlüsselung als eine solche zusätzliche Schutzmaßnahme ablehnten und dass diese unter bestimmten Umständen eine angemessene zusätzliche Schutzmaßnahme zu den sog. Standardvertragsklauseln darstellen könne. Ferner wies der Staatsrat in diesem Zusammenhang darauf hin, dass der Verschlüsselungsschlüssel, also der Schlüssel, mit dem die Daten verschlüsselt werden, bevor sie an AWS übermittelt werden, im streitgegenständlichen Fall ausschließlich in den Händen der „flämischen Berufsorganisation“ (wohl also dem Mobilitätszentrum) verbleibe. Zudem hat das US-amerikanische Unternehmen, das den Zuschlag für die Vergabe erhielt, laut dem Urteil eine Reihe von Garantien geboten, was ebenfalls den zusätzlichen Schutzmaßnahmen gemäß dem Schrems II-Urteil des EuGH und den Empfehlungen des EDSA Rechnung trage. In Anbetracht der vorstehenden Gründe erkennt der Staatsrat keine hinreichende Glaubhaftmachung der Verletzung der Art. 44 ff. DSGVO.

Der EDSA führt in seinen vorstehend erwähnten Empfehlungen tatsächlich eine ganze Reihe an beispielhaften Empfehlungen an, die angemessene zusätzliche Schutzmaßnahmen i. S. d. Schrems II-Urteils darstellen können (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 79 ff.). Nach einem vom EDSA angeführten Beispiel kann Verschlüsselung bei Inanspruchnahme eines Hosting-Dienstleisters in einem Drittland unter den folgenden Voraussetzungen eine angemessene zusätzliche Schutzmaßnahme i. S. d. Schrems II-Urteils sein:

Wenn (siehe Empfehlungen für zusätzliche Schutzmaßnahmen hinsichtlich Drittlandsübermittlungen, Rn. 84),

  1. die personenbezogenen Daten vor der Übertragung mit einer starken Verschlüsselung verarbeitet werden und die Identität des Importeurs überprüft wird,
  2. der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. Schlüssellänge, ggf. Betriebsmodus) dem Stand der Technik entsprechen und unter Berücksichtigung der den Behörden im Empfängerland zur Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute-Force-Angriffe) als robust gegenüber Kryptoanalysen angesehen werden können,
  3. die Stärke der Verschlüsselung und die Schlüssellänge dem spezifischen Zeitraum Rechnung tragen, in dem die Vertraulichkeit der verschlüsselten personenbezogenen Daten gewahrt bleiben muss,
  4. der Verschlüsselungsalgorithmus korrekt und durch ordnungsgemäß gewartete Software ohne bekannte Schwachstellen implementiert wird, deren Konformität mit der Spezifikation des gewählten Algorithmus z. B. durch eine Zertifizierung überprüft worden ist,
  5. die Schlüssel zuverlässig verwaltet werden (Erzeugung, Verwaltung, Speicherung, gegebenenfalls Verknüpfung mit der Identität eines vorgesehenen Empfängers und Widerruf) und
  6. die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs oder einer vom Exporteur vertrauenswürdigen Stelle im EWR oder in einer Rechtsordnung aufbewahrt werden, die ein im Wesentlichen gleichwertiges Schutzniveau wie innerhalb des EWR gewährleistet.

Der Staatsrat liegt mit seiner Entscheidung im Eilrechtsschutz bisher ausweislich der Urteilsgründe auf der Linie des EDSA. Ob auch alle der vorstehend genannten Vorgaben im Einzelnen geklärt wurden, muss der Staatsrat wohl im Hauptsacheverfahren klären. Besondere Bedeutung kommt dem vorstehenden Punkt 6 (alleinige Kontrolle des Verschlüsselungsschlüssels durch den Datenexporteur) zu. Diese Option bietet inzwischen nicht nur AWS, sondern z. B. auch der Cloud-Dienst von Microsoft mit dem Namen Azure. Gerade dieser letzte Aspekt (oft auch „bring you own key“ genannt) hat besondere Praxisrelevanz für Unternehmen, die auf Dienste von Unternehmen in den USA zurückgreifen möchten.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig