Organisationen, die sich zuvor auf den Privacy Shield verlassen haben, müssen einen alternativen zulässigen Übertragungsmechanismus für EU-Daten einführen oder sie riskieren, gegen die Datenschutz-Grundverordnung (DSGVO) zu verstoßen, was zu Geldbußen von bis zu 4 % ihres Jahresumsatzes oder 20 Millionen Euro führen kann, je nachdem welcher Betrag höher ist.
SCCs bleiben zulässig – mit Einschränkungen
Der Privacy Shield wurde entwickelt, um Unternehmen bei der Einhaltung der DSGVO zu unterstützen, wenn sie personenbezogene Daten aus der EU in die USA übermitteln. Max Schrems, ein österreichischer Anwalt, argumentierte erfolgreich, dass das Safe-Harbor-Abkommen – der Vorgänger des Privacy Shield – seine Daten bei der Übermittlung in die USA nicht ausreichend schütze. Danach wurde in einer Entscheidung des EuGH, die als Schrems II bekannt geworden ist, auch der Privacy Shield für unzureichend befunden.
Der EuGH hat die Rechtmäßigkeit von SCCs als zulässigen Übertragungsweg bestätigt. Er verlangt jedoch vor jeder Übermittlung eine strengere Prüfung und eine Einzelfallbewertung durch die exportierende und die importierende Partei, ob die Gesetze des importierenden Landes ein angemessenes Schutzniveau bieten, das im Wesentlichen dem in der EU durch die DSGVO garantierten Schutzniveau entspricht. Wenn die Parteien feststellen, dass die SCCs aufgrund der lokalen Gesetze nicht eingehalten werden können, weist der EuGH die Datenexporteure an, unverzüglich alle Datenübermittlungen einzustellen und/oder die SCCs zu beenden.
eDiscovery-Praktiker können SCCs mit Bedacht einsetzen, müssen aber möglicherweise zusätzliche Maßnahmen ergreifen, um die DSGVO und andere Vorgaben zu erfüllen. Dazu kann die Nutzung der Ausnahmeregelungen aus Artikel 49 DSGVO gehören, die beispielsweise auf der Zustimmung der betroffenen Person oder der Erfüllung eines Vertrags zur Übermittlung personenbezogener Daten aus der EU in die USA basieren.
Schrems II betont, dass die SCCs auch Garantien enthalten müssen, die den Zugriff von Behörden oder Überwachungsdiensten auf die Daten verhindern. Es ist besonders wichtig für Unternehmen, die sich auf SCCs für die eDiscovery verlassen, diese nach der Entscheidung des EuGH zu überarbeiten und die Einhaltung der DSGVO sicherzustellen.
Wichtige Überlegungen zum Vorantreiben der eDiscovery
Um die neuen Anforderungen zu erfüllen, gilt es, Folgendes zu beachten:
- Beginnen Sie mit einer risikoorientierten Bewertung des Schutzniveaus. Beurteilen Sie das Schutzniveau, das das Nicht-EU-Land bietet, und ermitteln Sie zusätzliche Schutzmaßnahmen, die für eine sichere Übertragung der Daten in die USA erforderlich sein können. Berücksichtigen Sie dabei Vertragsklauseln, die Möglichkeit eines etwaigen Zugriffs durch die Behörden des Importeurlandes und die relevanten Aspekte seines Rechtssystems. Wenn personenbezogene Daten enthalten sind, können Sie diese entfernen oder zusätzliche prozessuale und technische Sicherheitsvorkehrungen identifizieren.
- Löschen Sie Daten mit Bedacht. Wenn Sie personenbezogene Daten aus Dokumenten entfernen, sollten Sie sich darüber im Klaren sein, dass dies die Form der Dokumente ändert, Probleme bei der Authentifizierung aufwirft und die Zulässigkeit der Dokumente vor Gericht gefährdet. Es kann besser sein, Dokumente mit personenbezogenen Informationen aus dem Datensatz auszusondern, sie im EU-Mitgliedstaat zu verarbeiten und die verbleibenden Daten in die USA zu übermitteln.
- Vermeiden Sie das Löschen, indem Sie Einzelheiten unkenntlich machen. Sie können die Daten in der EU anonymisieren oder entpersonalisieren, um die individuellen Details des EU-Datenschutzsubjekts zu verbergen. Alternativ können Sie Pseudonymisierungstechniken anwenden, um diese Informationen zu verhüllen. Obwohl das Datenmaterial dadurch nicht vollständig beseitigt wird, bleibt dies eine geeignete Methode zum Schutz vor unbefugtem Zugriff.
- Beachten Sie die Verhältnismäßigkeit Ihrer Maßnahmen. Der EuGH begründete Schrems II damit, dass jeder Eingriff in die Grundfreiheiten und die Datenschutzrechte dem Grundsatz der Verhältnismäßigkeit genügen muss, d. h., er muss auf das unbedingt Notwendige beschränkt sein. Nach Ansicht des Gerichts sind die US-Überwachungsprogramme nicht mit diesem Grundsatz in Einklang zu bringen. Unternehmen sollten daher ihre Compliance-Richtlinien und -Prozesse in Bezug auf Discovery-Anfragen und Datenverarbeitungen aktualisieren, um den Grundsatz der Verhältnismäßigkeit zu wahren.<br>
- Vermeiden Sie zu weitreichende eDiscovery. Unternehmen müssen klare, präzise Regeln für den Umfang und die Anwendung von eDiscovery aufstellen.Zudem sollten Sie Sicherheitsvorkehrungen treffen, um personenbezogene Daten vor der Gefahr des Missbrauchs zu schützen. Konkret sollten Unternehmen hierzu
- zu weit gefasste eDiscovery-Anfragen für Daten in der EU ablehnen,
- die Notwendigkeit einer grenzüberschreitenden eDiscovery neu bewerten und feststellen, ob die fraglichen Datensätze auch aus US-Quellen abgerufen werden können, und
- prüfen, ob ein EU-Dienstleister anstelle eines in den USA ansässigen Dienstleisters die Daten verarbeiten kann.
- Minimieren Sie die eDiscovery-Datenerfassung und -verarbeitung. Es ist wichtig, dass die Unternehmensrichtlinien und -prozesse dem Wortlaut und den Prinzipien der DSGVO entsprechen, was bedeutet, dass die eDiscovery-Datenerfassung und -verarbeitung dem Grundsatz der Datenminimierung entsprechen muss. Die Parteien müssen die Datenverarbeitung und -speicherung auf das zum Zeitpunkt der Erhebung unbedingt Notwendige beschränken und anschließend nicht benötigtes Material umgehend löschen, ohne es für mögliche zukünftige Rechtsstreitigkeiten aufzubewahren oder zurückzuhalten.
- Informieren Sie betroffene Personen. Unternehmen müssen die betroffenen Personen auch darüber informieren, wie und warum ihre Daten verarbeitet werden, dies begründen und die ihnen zur Verfügung gestellten Informationen aktualisieren, wenn personenbezogene Daten erhoben und übertragen werden. Artikel 13 der DSGVO listet die Informationen auf, die der für die Verarbeitung Verantwortliche der betroffenen Person zu dem Zeitpunkt zur Verfügung stellen muss, zu dem ihre personenbezogenen Daten erhoben werden. Unternehmen müssen zudem über eine aktuelle Aufstellung ihrer Verarbeitungstätigkeiten verfügen, um die Einhaltung der DSGVO nachweisen zu können.
- Seien Sie sich bewusst, dass die Sicherheitsanforderungen steigen können. Die DSGVO verlangt auch, dass Unternehmen Einzelpersonen über eine Datenschutzverletzung, die ein hohes Risiko für ihre Rechte und Freiheiten darstellt, informiert. In Anlehnung an Schrems II sollten Unternehmen über einen definierten Prozess verfügen und Benachrichtigungssysteme für Datenexporteure, Datenschutzbehörden in EU-Mitgliedstaaten und den Europäischen Datenschutzausschuss entwickeln, wenn es zu Änderungen in der Datenverarbeitung kommt. Dies ist auch notwendig, wenn Daten Gegenstand von Zivilprozessen, staatlichen Behörden oder Überwachungsmaßnahmen werden.
- Aktualisieren Sie Ihre eDiscovery-IT. Unternehmen sollten Technologien einsetzen, um die Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Verantwortliche und Auftragsverarbeiter müssen personenbezogene Daten nach einem physischen oder technischen Ereignis wiederherstellen. Daher sollte es einen Prozess geben, um die Systeme regelmäßig zu testen und zu beurteilen und die Wirksamkeit von Maßnahmen zur Verarbeitungssicherheit zu bewerten.
Das Ergreifen dieser Maßnahmen bietet Vorteile, die über den heutigen Tag hinausgehen – sie können Unternehmen auch in die Lage versetzen, sich leichter auf andere regulatorische Herausforderungen einzustellen, die anderswo auf der Welt entstehen.
Fazit
Im Nachgang zu Schrems II sollten Unternehmen, die eDiscovery in Europa betreiben, bedenken, dass die Gültigkeit von Standardvertragsklauseln (SCCs) für den Datentransfer von der EU in die USA davon abhängt, ob diese SCCs wirksame Maßnahmen enthalten, die die Einhaltung eines Schutzniveaus gewährleisten, das im Wesentlichen dem der DSGVO entspricht.
