Internationaler Datentransfer - Verarbeitung personenbezogener Daten außerhalb des EWR

Im Anschluss an das Schrems-Urteil des Gerichtshofs der Europäischen Union hat Springest eine Zusammenfassung seiner Analyse der Datenübermittlung in Länder außerhalb des EWR veröffentlicht. <br>Eine Version dieses Artikels mit Quellenangaben kann bei Ihrer Kontaktperson angefordert werden.<br><br>Veröffentlicht im November 2021

Datenübermittlung in die USA

Wie viele in der EU ansässige Unternehmen nutzt auch Springest Cloud-Dienste für die Abwicklung seiner Dienste. Die Springest-Plattform wird bei Amazon Web Services (Amazon Web Services EMEA SARL, mit Sitz in Luxemburg) gehostet, und wir nutzen Google Workspace für unsere tägliche Arbeit und Kommunikation. Außerdem nutzen wir die Dienste von HelpScout, Jotform und Sendgrid.

Diese fünf Parteien haben Ihren Hauptsitz, sowie einen Großteil Ihrer Serverkapazität in den Vereinigten Staaten von Amerika (USA). Folglich können die über diese Dienste verarbeiteten Daten in die Vereinigten Staaten übermittelt werden. Nach dem Schrems-II-Urteil des Gerichtshofs der Europäischen Union (16. Juli 2020) können solche Übermittlungen nicht mehr auf der Grundlage des Privacy Shield erfolgen. Wenn man sich auf andere Übermittlungsmechanismen stützt, muss geprüft werden, ob ein solcher Mechanismus im Land des Datenimporteurs ein ausreichendes Schutzniveau für die personenbezogenen Daten bietet, das dem im EWR garantierten gleichwertig ist, oder ob zusätzliche Maßnahmen erforderlich wären, um dies zu erreichen.

Standardvertragsklauseln 

Die Übermittlung von Springest-Daten an unsere Dienstleister in den USA erfolgt auf der Grundlage der neuen EU-Standardvertragsklauseln (SCC) für die internationale Übermittlung personenbezogener Daten. Die Europäische Kommission (EK) hat diese neuen SCC für Verantwortliche und Auftragsverarbeiter herausgegeben, um angemessene Garantien im Sinne von Artikel 46(1) der Verordnung (EU) 2016/679 zu bieten. Damit die SCC angemessene Garantien bieten, berücksichtigt die EK das Schrems-II-Urteil, wonach die Standardvertragsklauseln ein im Wesentlichen gleichwertiges Schutzniveau für die auf dieser Grundlage übermittelten Daten gewährleisten sollten. 

Verbindliche Aufforderungen zur Offenlegung von Daten 

Da sich die Gesetze des Bestimmungslandes jedoch negativ auf das durch die SCC gewährte Schutzniveau auswirken könnten, enthalten die SCC nun spezielle Garantien, um die Auswirkungen solcher Gesetze auf die Einhaltung der Klauseln durch den Datenimporteur anzugehen, insbesondere im Hinblick auf verbindliche Anträge der Behörden des betreffenden Landes auf Offenlegung der übermittelten personenbezogenen Daten. In den neuen SCC garantieren die Parteien, "dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern, seine Verpflichtungen gemäß diesen Klauseln zu erfüllen."

Das Risiko von verbindlichen Auskunftsersuchen in der Praxis 

Wir haben keinen Grund zu der Annahme, dass die für unsere Dienstanbieter in den USA geltenden US-Gesetze sie daran hindern werden, ihren Verpflichtungen aus dem SCC zwischen Ihnen und Springest nachzukommen. Die U.S. Executive Order 12333 (EO 12333) erlaubt es der US-Regierung, Daten direkt von Infrastrukturen außerhalb der Vereinigten Staaten, wie z.B. Unterseekabeln, zu sammeln. Um dennoch das Schutzniveau aufrechtzuerhalten, werden die Daten, die über alle unsere US-Dienstleister laufen, verschlüsselt. Was FISA 702 (Title 50 United States Code (U.S.C.) § 1881a) betrifft, so ermöglicht der nachgelagerte Abschnitt der US-Regierung, Anbieter elektronischer Kommunikationsdienste wie Google und Amazon zu verpflichten, bei der gezielten Überwachung ausländischer Personen mitzuwirken, die sich außerhalb der Vereinigten Staaten befinden und von denen angenommen wird, dass sie Informationen ausländischer Geheimdienste besitzen, empfangen oder weitergeben.

Die Wahrscheinlichkeit, dass die US-Regierung ein solches Ersuchen stellt, ist im Allgemeinen sehr gering; für ihre Millionen von Unternehmens-/AWS-Kunden erhielten Amazon und Google in den letzten 12 Monaten jeweils weniger als 800 Datenanfragen der Regierung. Weder HelpScout noch Jotform haben in der Vergangenheit jemals eine solche Anfrage der Regierung erhalten. Sendgrid erhielt im ersten Halbjahr 2021 39 Anfragen von US-Regierungsbehörden für 58.000 aktive Kundenkonten. Nur in 15 Fällen hat Sendgrid die Informationen zur Verfügung gestellt. Keinem unserer Dienstleister ist es gesetzlich untersagt, uns Informationen über solche Anfragen zur Verfügung zu stellen, auch wenn sie durch eine bestimmte gerichtliche Anordnung oder durch Verweis auf eine andere rechtliche Autorität dazu verpflichtet sein können. 

Eine Suche nach öffentlichen Informationen aus der Rechtsprechung und Berichten von Aufsichtsbehörden, Organisationen der Zivilgesellschaft und akademischen Einrichtungen hat nicht ergeben, dass Datenimporteure, die in demselben Bereich wie unsere Datenimporteure tätig sind, in der Vergangenheit Anträge auf Datenzugang für ähnlich übermittelte Daten (d. h. personenbezogene Daten, die zum Zweck der Buchung von Lernprodukten verarbeitet werden) erhalten haben. 

Berücksichtigt man die Art der Springest-Aktivitäten, wird diese geringe Wahrscheinlichkeit vernachlässigbar, da eine Plattform für die persönliche Entwicklung, auf der Schulungen und Lernangebote gebucht werden können, kein Ort oder Kontext ist, an dem Informationen ausländischer Nachrichtendienste weitergegeben oder gesucht werden würden. In der Praxis findet FISA 702 daher keine Anwendung auf unseren speziellen Transfer und beeinträchtigt daher nicht die Wirksamkeit der mit unseren US-Dienstleistern geschlossenen SCC.

Außerdem handelt es sich bei unseren US-Dienstleistern um große Unternehmen mit einem guten Ruf. Sie sind in der Lage, sich schnell an neue Gesetze und Sicherheitsanforderungen anzupassen und haben dies in der Vergangenheit auch bewiesen. Sie haben ihre Datenschutzbestimmungen schnell aktualisiert und unsere Fragebögen gewissenhaft beantwortet, damit wir unsere Folgenabschätzungen für die Übermittlung durchführen können. 

In Anbetracht dessen sind wir zu dem Schluss gekommen, dass die Übermittlung von Springest-Daten an Amazon Web Services, Google Workspace, Jotform, HelpScout und Sendgrid auf der Grundlage der mit diesen Parteien geschlossenen SCC in Übereinstimmung mit der DSGVO erfolgen kann.