Belgisches Gericht entscheidet: Verschlüsselung als zusätzliche Maßnahme beim Datenexport

Das Schrems II-Urteil des EuGH im Juli 2020 ließ viele Verantwortliche und Auftragsverarbeiter ratlos zurück. Denn mit dem Urteil kippte der EuGH das EU-US Privacy Shield und dieses konnte nicht mehr als Rechtsgrundlage für Datenübermittlungen in unsichere Drittstaaten herangezogen werden. Als unsichere Drittländer im Sinne der DSGVO gelten Staaten, für welche die EU-Kommission nicht mittels Beschlusses i. S. d. Art. 45 DSGVO festgestellt hat, dass diese ein angemessenes Schutzniveau bieten. Nach Kapitel V der DSGVO bestehen zwar grundsätzlich andere Rechtsgrundlagen, auf die ein Datenexport in unsichere Drittländer gestützt werden kann, so z. B. die Standardvertragsklauseln i. S. d. Art. 46 Abs. 2 lit. c DSGVO. Jedoch hat der EuGH auch für diese Optionen betont. Es muss ein angemessenes Datenschutzniveau bestehen und ggf. müssen Verantwortliche dieses über zusätzliche Maßnahmen sicherstellen.

Die Frage ist nur: Was können das für zusätzliche Maßnahmen sein?

Der Europäische Datenschutzausschuss hat in seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ Szenarien beschrieben, wonach der Export verschlüsselter Daten in unsichere Drittländer erlaubt ist. Dies gelte bspw. unter bestimmten Voraussetzungen für Daten, auf die kein Zugriff notwendig ist und die zu Back-up-Zwecken in Drittländern gespeichert werden (Randnummer 79). Eine Verschlüsselung kann nach diesem Szenario laut Europäischem Datenschutzausschuss nur dann ausreichen, wenn folgende Bedingungen erfüllt sind:

Die Verschlüsselung muss mit einer (1) leistungsfähigen Methode erfolgen und (2) Algorithmus sowie Parametrisierung müssen dem Stand der Technik entsprechen. (3) Dies muss für den Zeitraum gewährleistet sein, für den die Daten in dem unsicheren Drittland gespeichert werden sollen. (4) Zudem muss der Algorithmus mit einer spezifischen Software korrekt implementiert sein. (5) Des Weiteren bedarf es einer zuverlässigen Schlüsselverwaltung. (6) Außerdem darf der Schlüssel nicht in der Kontrolle einer Stelle sein, die in einem unsicheren Drittland sitzt.

Auch wenn die Empfehlungen zunächst eine gute Orientierungshilfe für Datenexporteure darstellen, bleibt problematisch, dass Empfehlungen des Europäischen Datenschutzausschusses keine rechtliche Bindungswirkung entfalten. Eine gerichtliche Klärung der Frage zu zusätzlichen Maßnahmen zur Gewährleistung eines ausreichenden Datenschutzniveaus steht demnach aus.

Dass die Empfehlungen des Europäischen Datenschutzausschusses in die richtige Richtung gehen könnten, zeigt nun das belgische Urteil. Wie golem.de am 17.09.2021 berichtete, hat der belgische Staatsrat hat mit Urteil vom 19. August 2021 (Aktenzeichen 251.378) entschieden, dass eine Verschlüsselung der Daten beim Datenexport eine geeignete Maßnahme zur Gewährleistung eines angemessenen Datenschutzniveaus darstellen kann.

Geklagt hatte ein Unternehmen, das einen Auftrag in einem öffentlichen Ausschreibungsverfahren gegenüber einem anderen Bieter, der den Amazon-Cloud-Service AWS einsetzt, verloren hatte. Das Unternehmen stützte die Klage darauf, dass die Daten durch den Einsatz von AWS nicht ausreichend geschützt seien, weil die USA als unsicherer Drittstaat i. S. d. DSGVO gelten und der Bieter daher den Zuschlag nicht habe erhalten dürfen.

Allerdings lasse sich aus dem Urteil nicht der pauschale Schluss ziehen, der Einsatz der Cloud von AWS sei in jedem Fall datenschutzkonform möglich. So zitiert golem.de den Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will. Es bedürfe stets einer „sorgfältigen Prüfung“ durch die Datenexporteure. Auch weist Kirsten Bock vom Unabhängigen Landeszentrum für Datenschutz nach dem Bericht von golem.de darauf hin, dass aus dem Urteil nicht deutlich hervorgehe, ob und wie die Verschlüsselung selbst geprüft wurde.

So kann das Urteil des belgischen Gerichts als richtungsweisend gelten. Jedoch bleiben viele Fragen beim Datenexport in unsichere Drittländer nach wie vor ungeklärt. Zudem wäre der Anwendungsbereich, Daten zu Back-up-Zwecken verschlüsselt zu speichern, sehr eng. In vielen Fällen werden Daten nicht nur verschlüsselt in unsicheren Drittländern gespeichert, sondern müssen unverschlüsselt verarbeitet werden. Wie hier eine praxisnahe Lösung aussehen könnte, bleibt nach wie vor unklar. Vielfach erwartet man, dass Verantwortliche verstärkt europäische Anbieter auswählen müssen, wenn eine rechtssichere Klärung der Frage nicht bald gelingt.

Gerne unterstützen wir Sie bei allen Fragen rund um den Datenschutz. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem können Sie uns in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 telefonisch erreichen.