DSGVO: Zertifizierung als Grundlage einer Datenübermittlung

Alternativen zu Privacy Shield gesucht

Entsprechend hoch ist die Nachfrage nach anderen Rechtsgrundlagen, um die Übermittlung personenbezogener Daten rechtlich absichern zu können. Die Datenschutz-Grundverordnung (DSGVO) nennt auch verschiedene Instrumente, die in Betracht kommen können, darunter auch eine Zertifizierung nach DSGVO:

Unter „Datenübermittlung vorbehaltlich geeigneter Garantien“ finden sich in der DSGVO unter anderem „ein genehmigte Zertifizierungsmechanismus (...) zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen“.

Nun hat sich der Europäische Datenschutzausschuss (EDSA) zur „Zertifizierung als Instrument für Transfers“ geäußert: Die DSGVO führt genehmigte Zertifizierungsmechanismen als neues Instrument zur Übermittlung personenbezogener Daten an Drittländer in Ermangelung einer Angemessenheitsvereinbarung ein.

Dazu hat der EDSA nun Leitlinien veröffentlicht. Der Hauptzweck dieser Leitlinien besteht darin, die praktische Anwendung dieses Transferinstruments weiter zu verdeutlichen.

Leitlinien zur Zertifizierung als Instrument für Datentransfers

Der stellvertretende EDSA-Vorsitzende Ventsislav Karadjov sagte: „Diese Leitlinien sind bahnbrechend, da sie die allererste praktische Anleitung zur Zertifizierung als Instrument für Übermittlungen bieten – ein neues Übermittlungsinstrument, das durch die DSGVO eingeführt wurde. Die Leitlinien geben Hinweise, wie dieses Instrument in der Praxis eingesetzt werden kann und wie es dazu beitragen kann, ein hohes Datenschutzniveau bei der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Drittländer aufrechtzuerhalten.“

Die Leitlinien bestehen aus vier Teilen, die sich jeweils auf spezifische Aspekte der Zertifizierung als Instrument für Transfers konzentrieren, wie zum Beispiel Zweck, Umfang und die verschiedenen beteiligten Akteure, die Umsetzung von Leitlinien zu Akkreditierungsanforderungen für Zertifizierungsstellen, spezifische Zertifizierungskriterien zum Nachweis geeigneter Garantien für Übermittlungen und die umzusetzenden verbindlichen und durchsetzbaren Verpflichtungen. Die Leitlinien werden bis Ende September 2022 Gegenstand öffentlicher Konsultationen sein.

Besonderheiten einer Zertifizierung als Transferinstrument

Besonders wichtig ist es hierbei zu beachten, dass eine Zertifizierung nach DSGVO besondere Kriterien erfüllen muss, wenn sie als Grundlage einer Übermittlung personenbezogener Daten in ein Drittland wie USA dienen soll.

Diese speziellen Kriterien umfassen die Bewertung der Rechtsvorschriften von Drittländern, die allgemeinen Pflichten von Ausführern und Einführern, Vorschriften zur Weiterleitung, Rechtsbehelfe und Durchsetzung, Verfahren und Maßnahmen für Situationen, in denen nationale Rechtsvorschriften und Praktiken die Einhaltung der im Rahmen von Zertifizierungen und Anträgen eingegangenen Verpflichtungen verhindern, sowie den Datenzugriff durch Behörden von Drittländern.

In den verbindlichen und durchsetzbaren Verpflichtungen, die Verantwortliche oder Auftragsverarbeiter, die nicht der DSGVO unterliegen, im Rahmen der Zertifizierung eingehen sollten, geht es insbesondere um angemessene Schutzmaßnahmen für Daten, die in Drittländer übermittelt werden.

Eine große Rolle kann hierbei die Verschlüsselung und die Pseudonymisierung der Daten spielen. Der EDSA erklärt dazu aber: Bei verschlüsselten Daten sind etwaige Kriterien für die Sicherheit der Übermittlung aufzunehmen. Wenn der Importeur zum Beispiel gezwungen werden kann, kryptografische Schlüssel zur Entschlüsselung oder Authentifizierung weiterzugeben, kann die zusätzliche Maßnahme nicht als wirksam angesehen werden.

Kurz gesagt, bedeutet dies: Zusätzlich zur Zertifizierung muss jeweils der Bedarf für ergänzende Schutzmaßnahmen geprüft werden, wie dies ja auch bei Anwendung der Standardvertragsklauseln der EU der Fall ist.

Werden die Daten zusätzlich zur Zertifizierung durch eine Verschlüsselung geschützt, der Datenimporteur kann aber gezwungen werden, die Schlüssel zum Beispiel an einen Nachrichtendienst zu übergeben, sind die Voraussetzungen an die Zertifizierung als Grundlage für eine Datenübermittlung nicht erfüllt.

Man kann also erwarten: Ein Zertifikat alleine wird für eine Datenübermittlung in die USA nicht reichen, es müssen zusätzlich wirksame Schutzmaßnahmen gefunden werden.