Die Landesbeauftragte für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI) hat auf ihrer Webseite ein Dokument zu den Anforderungen an Datentransfers in die USA auf der Grundlage des EU-US-Datenschutzschildes (EU-US Privacy Shield) veröffentlicht (PDF, Stand: 12.09.2016 (17 Seiten)). Mit den Informationen (die in der Form von Fragen und Antworten bereitgestellt werden) richtet sich die Behörde schwerpunktmäßig an verantwortliche Stellen in Deutschland bzw. Nordrhein-Westfalen. Die Behörde weist zudem darauf hin, dass zur Umsetzung der Angemessenheitsentscheidung der europäischen Kommission weitere Abstimmungen zwischen den Aufsichtsbehörden und Deutschland und der EU erforderlich sind. Man sollte die Angaben in dem Dokument daher nicht als abschließend betrachten. Dennoch gibt der Leitfaden einen ersten groben Überblick, was deutsche Datenschutzbehörden in Zukunft von verantwortlichen Stellen in Deutschland im Hinblick auf die Einschaltung von US-Unternehmen im Rahmen des Datenschutzschildes verlangen könnten.
Insbesondere weist die LfDI darauf hin, dass bei einer Verarbeitung personenbezogener Daten aus der EU in den USA im Auftrag einer verantwortliche Stelle, neben den Zulässigkeitsvoraussetzungen der sog. zweiten Stufe der Datenverarbeitung (§§ 4b, 4c BDSG) auch die Anforderungen des § 11 BDSG zu erfüllen sind. Denn, so die Behörde, die Voraussetzungen des § 11 BDSG betreffen die sog. erste Stufe des Datenumgangs (also die Frage der Rechtmäßigkeit der Datenübermittlung) und müssen daher unabhängig davon eingehalten werden, wo die Auftragsdatenverarbeitung stattfindet.
Zudem verlangt die Behörde von verantwortlichen Stellen, dass zusätzliche Prüfpflichten zu erfüllen sind, wenn sie sich in der zweiten Stufe auf das Datenschutzschild berufen möchten (S. 2). Nach Ansicht der LfDI zählen zu diesen Pflichten, dass sich die verantwortliche Stelle vergewissern muss, dass
- das datenempfangende US-Unternehmen eine gültige Zertifizierung besitzt und
- dass diese auch eingehalten wird.
Die verantwortliche Stelle muss dafür mindestens klären,
- ob die Zertifizierung tatsächlich vorliegt,
- diese noch gültig ist (diese muss jährlich erneuert werden) und
- ob die zu übermittelnden Daten von der Zertifizierung abgedeckt sind.
Zudem, so die LfDI sollten sich verantwortliche Stellen ebenfalls nachweisen lassen, wie das US-Unternehmen seinen Informationspflichten aus dem Datenschutzschild gegenüber den von der Datenverarbeitung betroffenen Personen nachkommt.
Erwähnenswert ist zudem auch der Hinweis der Behörde, dass er sich vorbehält, aufgrund von Ergebnissen der jährlichen Überprüfung des Datenschutzschildes und auch eigenen Erkenntnissen, Datenübermittlungen unter dem Datenschutzschild gegebenenfalls in Einzelfällen auszusetzen (S. 4).
Die Anforderungen der LfDI ähneln jenen Vorgaben, die deutschen Aufsichtsbehörden bereits in ihrer „Orientierungshilfe – Cloud Computing“ (Stand 09.10.2014, PDF), damals noch zu Safe Harbor, formuliert haben.
Unter anderem wurde dort nämlich darauf hingewiesen, dass
auch eine gültige Safe-Harbor-Zertifizierung des Cloud-Anbieters (und ggf. des Unter-Anbieters) den Cloud-Anwender nicht von dem Erfordernis befreit, schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen (S. 18).
Zudem stellten die Behörden damals fest, dass, solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet sei, auch die Unternehmen in Deutschland eine Verpflichtung treffe, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln (S. 17).
Diese Vorgaben scheint die Behörde nun in den Anwendungsbereich des Datenschutzschildes übertragen zu wollen.
Auch in den Zusatzgrundsätzen des Datenschutzschildes selbst was die europäische Kommission darauf hin, dass wenn personenbezogene Daten aus der EU in den USA im Auftrag verarbeitet werden sollen, dafür ein Vertrag geschlossen werden muss, unabhängig davon, ob der Auftragsverarbeiter der Vereinbarung zum Datenschutzschild beigetreten ist oder nicht (Anhang II, III. Zusatzgrundsätze, 10. Obligatorische Verträge bei Weitergabe, a. Datenverarbeitung im Auftrag). Zu beachten ist freilich, dass sich diese Zusatzgrundsätze des Datenschutzschildes nicht direkt an verantwortliche Stellen in der Europäischen Union oder Deutschland richten. Der Beschluss der europäischen Kommission ist vielmehr an die Mitgliedstaaten gerichtet. Die Einhaltung der Grundsätze des Datenschutzschildes obliegt zudem den US-amerikanischen Unternehmen, die sich selbst zertifizieren möchten.
Man darf gespannt sein, welche gemeinsame Position die deutschen Behörden zu Datentransfers unter dem Datenschutzschild entwickeln. Die nun vorliegenden Leitlinien der Aufsichtsbehörde aus Nordrhein-Westfalen geben verantwortlichen Stellen zumindest jedoch einen ersten Hinweis darauf, wie sich die Aufsichtsbehörden eine Umsetzung der Regelungen des Datenschutzschildes in der Praxis vorstellen.