Drittstaatentransfer bei elektronischen Signaturen: Datenschutzkonforme Lösungen nach Schrems II

Mehr als zwei Jahre nach dem „Schrems-II-Urteil“ des EuGH vom 16.07.2020 (C-311/18) ist diese Entscheidung noch immer aktuell und der Maßstab, an dem sich Verantwortliche und Empfänger bei einem Drittstaatentransfer messen lassen müssen. Die neue Initiative der Biden-Regierung für einen aktualisierten Datenschutzmechanismus könnte dies ändern, es ist aber noch nicht absehbar (Stand Dez. 2022), ob auf EU-Ebene ein erneuter Angemessenheitsbeschluss zu erwarten ist und ob damit die Anforderungen des Schrems-II-Urteils entfallen würden. Das Urteil gilt somit weiterhin für die vielen außereuropäischen Anbieter von elektronischen Signaturen, wozu insbesondere DocuSign als Marktführer sowie z.B. Adobe Sign, Citrix und Silanis zu zählen sind. Dieser Blog-Beitrag zeigt auf, wie der Einsatz solcher Anbieter in der Praxis datenschutzkonform ausgestaltet werden kann und was die Vor- und Nachteile der vorhandenen Optionen (Standardvertragsklauseln, BCR) sind.

Das Urteil hat nicht nur den EU-US Privacy Shield für die Praxis als mögliche Grundlage für einen Datentransfer von den EU in die USA aufgehoben, sondern auch für andere Optionen erhebliche Auswirkungen: Das Mittel, auf das heute fast alle US-Unternehmen zurückgreifen, sind sog. Standardvertragsklauseln nach Art. 46 Abs. 1 DSGVO (Standard Contractual Clauses – kurz „SCC“). Diese können zwar grundsätzlich weiter genutzt werden, der für die Datenverarbeitung Verantwortliche (und der Empfänger) müssen allerdings prüfen, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen – was aktuell im Falle der USA nicht gegeben ist – oder ob ausreichende „zusätzliche Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus ergriffen wurden. Für die Praxis heißt dies, dass vor der Übermittlung von personenbezogenen Daten an US-Unternehmen eine Folgeabschätzung zur Datenübertragung (Transfer Impact Assessment – kurz „TIA“) durchgeführt werden muss.

Eine weitere Möglichkeit für einen rechtskonformen Drittstaatentransfer, die aber nur wenige US-Unternehmen anbieten, stellen verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – kurz „BCR“) des Empfängers dar, vgl. Art. 46 Abs. 2, Art. 47 DSGVO. Nach Ansicht des European Data Protection Board und der Datenschutzkonferenz des Bundes und der Länder sind die Wertungen der Schrems-II-Entscheidung zwar auch bei BCR anzuwenden, d.h. es muss ebenfalls im Rahmen eines TIA geprüft werden, ob durch ergänzende Maßnahmen ein angemessenes Datenschutzniveau gewährleistet wird. Dennoch stellen BCR meist den besseren und einfacheren Weg für einen datenschutzkonformen Drittstaatentransfer im Vergleich zu SCC dar. Sie werden daher in Datenschutzkreisen zu Recht als „Goldstandard“ bezeichnet, während SCC nur die zweitbeste Lösung bieten („Silberstandard“) – hierzu sogleich mehr.

Die Anforderungen des EuGH für einen Drittstaatentransfer sind auch bei der Implementierung von elektronischen Signaturen zu beachten, sofern ein Anbieter außerhalb der EU bzw. des EWR gewählt wird. Zwar gibt es mittlerweile etablierte europäische Anbieter, der Markt wird aber immer noch sehr stark von US-Anbietern dominiert. So führt im Bereich der elektronischen Signaturen kaum ein Weg an den großen Playern DocuSign, Abode Sign, Citrix und Silanis vorbei. 

US-Anbieter von elektronischen Signaturen können als US-Unternehmen grundsätzlich unterschiedlichen Anordnungen aus rechtlichen Verfahren (z.B. Vorladungen, Durchsuchungsbefehlen und Gerichtsbeschlüssen) unterliegen, insbesondere gestützt auf den seit 2018 geltenden Clarifying Lawful Overseas Use of Data (CLOUD) Act. Vereinfacht regelt der CLOUD Act u.a., dass US-amerikanische Daten- und Kommunikationsunternehmen gespeicherte Daten für einen Kunden oder Abonnenten auf jedem Server, den sie besitzen und betreiben, bereitstellen müssen, wenn sie per Haftbefehl, Durchsuchungsbeschluss oder Gerichtsbeschluss dazu aufgefordert werden. Gleichzeitig sieht der CLOUD Act jedoch auch Mechanismen vor, solche Anfragen abzulehnen oder anzufechten, wenn sie der Ansicht sind, dass sie Datenschutzrechte des fremden Landes verletzen, in dem die Daten gespeichert sind.

In diesem Anwendungsbereich des CLOUD Acts bewegen sich auch Anbieter von elektronischen Signaturen, sodass die Anforderungen des Schrems-II-Urteils umzusetzen sind.

Die meisten US-Anbieter für elektronische Signaturen nutzen als Mittel für DSGVO-konforme Datentransfers SCC, lediglich DocuSign nutzt BCR. Bei den SCC handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit ihnen werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren innerhalb der EU bzw. des EWR und Datenimporteuren in Drittländern (z.B. dem US-Anbieter elektronischer Signaturen) vereinbart. Im Unterschied dazu sind BCR interne Regelungen des Anbieters, die von einer EU-Datenschutzbehörde genehmigt wurden und denen damit ein dem Unionsrecht vergleichbarer Schutzstandard bescheinigt wurde. 

Bei beiden Mechanismen muss grundsätzlich – wie oben aufgezeigt – ein TIA durchgeführt werden. Inhalt des TIA ist eine Risikobewertung speziell mit Blick auf den geplanten Datentransfer in Drittländer und die Eintrittswahrscheinlichkeit von Zugriffen Dritter. In der Regel wird eine solche Prüfung in vier Stufen vorzunehmen sein:

1. Zuerst erfolgt eine genaue Beschreibung des Datentransfers. Hierbei ist eine passgenaue Risikobewertung nur bei umfassender Kenntnis und Berücksichtigung aller Umstände der Datenverarbeitung möglich. Es muss herausgearbeitet werden, welche Verarbeitungsprozesse angewandt werden, welche Kategorien von Daten zu welchem Zweck verarbeitet werden und auf welche technische Art und Weise die Datenverarbeitung erfolgt. 
2. In einem zweiten Schritt ist zu bewerten, welches Tool bzw. welche spezifische Anwendung zur Verarbeitung von Daten verwendet wird und welche Garantien bereits implementiert sind. Zur Risikoidentifikation ist zusätzlich die Rechtslage des Drittlandes, in das die Datenübermittlung stattfindet, näher zu betrachten. Dies bedeutet, es muss geprüft werden, welche Behörden des Drittlandes unter welchen Voraussetzungen Zugriff auf die Daten haben. Dabei sollte beleuchtet werden, welche Rechte, insbesondere Informationsrechte, den Betroffenen der Datenverarbeitung zustehen und wie effektiv diese eingefordert bzw. in Anspruch genommen werden können.
3. In einem dritten Schritt sollte die Anwendung von praxistauglichen Maßnahmen dargelegt werden, um bestehende Risiken innerhalb der Datenübermittlung wirksam zu minimieren. Dazu gehört es auch, diese Maßnahmen im Rahmen der Übermittlungs- und Verarbeitungsvorgänge zu kontrollieren und bei Bedarf anzupassen.
4. Zuletzt erfolgt eine abschließende Risikobewertung, sofern ein Datenzugriff durch Behörden des Drittlandes nicht ausgeschlossen werden kann. Dabei erfolgt im Grunde eine Abwägung zwischen der möglicherweise bevorstehenden Eingriffsintensität, der gängigen Praxis im Drittland und den vorhandenen Datenschutzmechanismen.

Nach Abschluss des TIA mit dem Ergebnis, dass die vorgesehenen Garantien und die ergriffenen Maßnahmen wirksam sind, um ein ausreichendes Schutzniveau bei der Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten, kann der Drittenstaatentransfer erfolgen. 

In der Praxis stellt sich für Unternehmen damit bei SCC und BCR die Frage, welche Vor- und Nachteile die jeweilige Lösung bietet und wie ein möglichst hoher Datenschutzstandard beim Drittstaatentransfer gewährleistet werden kann. 

Für Unternehmen in Drittstaaten stellt das erforderliche aufsichtsbehördliche Genehmigungsverfahren für BCR einen großen Aufwand dar, weshalb die meisten Unternehmen diesen Schritt nicht gehen. Anders als bei SCC, welche jederzeit durch das Unternehmen als vertragliche Grundlage genutzt werden können, bedarf es bei den BCR eines längeren und aufwendigen Prozesses, bevor am Ende die Genehmigung durch eine EU-Datenschutzbehörde erteilt wird. 

Aus Sicht eines europäischen Unternehmens gibt es jedoch klare Vorteile, wenn der Datenimporteur, also bei elektronischen Signaturen der Anbieter, über BCR verfügt. Denn für die BCR wurde von einer EU-Datenschutzbehörde verbindlich bescheinigt, dass diese ein gleichwertiges Datenschutzniveau bieten. Darüber hinaus können genehmigte BCR durch die förmliche Anerkennung von sämtlichen Unternehmen einer Gruppe die Handhabung eines einheitlichen gruppenweiten Datenschutzstandards vereinfachen.

Sofern BCR erst nach der Schrems-II-Entscheidung umgesetzt oder als Reaktion auf dieses Urteil nachgebessert und erneut von einer EU-Datenschutzbehörde genehmigt wurden, kann datenschutzrechtlich gut vertreten werden, dass dies für sich genommen regelmäßig ausreicht, um einen hinreichenden Schutzstandard anzunehmen. Jedoch sollte unter Berücksichtigung der Hinweise der Datenschutzbehörden, wonach die Wertungen des Schrems-II-Urteils auf BCR entsprechend anzuwenden sind, zur Sicherheit ein TIA durchgeführt werden, solange keine anderslautenden Hinweise ergehen.

Mit Blick auf die am Markt etablierten US-Anbieter für elektronische Signaturen ist festzustellen, dass es bisher lediglich DocuSign gelungen ist, BCR im Sinne der DSGVO zu implementieren (und zwar als Auftragsverarbeiter und als Verantwortlicher) und sich darüber hinaus als Reaktion auf das Schrems-II-Urteil 2021 überarbeitete BCR genehmigen zu lassen. Andere US-Anbieter setzen bisher auf die Anwendung von SCC. Zwar ist auch dies unter Berücksichtigung der Entscheidung des EuGH sicherlich ein gangbarer Weg, jedoch ist dann eine nähere Prüfung der „zusätzlichen Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus beim Datentransfer im Rahmen des TIA erforderlich, um den Vorgaben des EuGH nachzukommen. Zudem besteht nicht die Möglichkeit, sich im Zweifelsfall auf die Entscheidung einer EU-Datenschutzbehörde berufen zu können, durch die solche zusätzlichen Maßnahmen schon geprüft wurden, was hingegen bei nach Schrems II aktualisierten BCR gerade der Fall ist.

Als Fazit gilt: BCR bieten datenschutzrechtlich den Goldstandard für Transfers in unsichere Drittstaaten wie den USA, jedenfalls wenn sie nach Schrems II (erneut) genehmigt wurden. SCC können ebenfalls eine rechtskonforme Option sein, allerdings ist hier eine aufwendigere Prüfung im Rahmen des TIA vorzunehmen. Für die Zukunft bleibt abzuwarten, ob es der Biden-Regierung mit ihrer neuen Initiative gelungen ist, einen einfacheren Weg zu eröffnen. Selbst wenn dies gelingen sollte, könnte dann aber vielleicht schon ein paar Jahre später ein erneutes Urteil des EuGH – vielleicht „Schrems III“ – diesen Mechanismus aufheben

Sie wünschen eine ausführliche rechtliche Beratung? Kontaktieren Sie gern unseren externen Partner:

Dr. Stephan Pötters, LL.M. (Cambridge)
Rechtsanwalt
Seitz Rechtsanwälte Steuerberater ParG mbB
seitzpartner.de