Angetrieben durch die Digitalisierung des Alltags erhöht sich die Menge an Daten, die über Grenzen hinweg übertragen werden. Der freie Datenfluss unterstützt ganz neue Arten der Zusammenarbeit, bestehende Geschäftsmodelle können ausgebaut werden und neue Modelle werden erst möglich. Dies darf jedoch nicht auf Kosten der Privatsphäre geschehen.

Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-311/18 eine Entscheidung über zwei Mechanismen erlassen, die den Transfer von Daten aus der Europäischen Union (EU) ermöglichen.

Dieser Artikel wird zu Informationszwecken zur Verfügung gestellt. Wir fordern unsere Kunden auf, ihren eigenen Rechtsberater zu konsultieren, um sich mit den Anforderungen vertraut zu machen, die für ihre spezifische Situation gelten. Diese Informationen werden zum Zeitpunkt der Veröffentlichung des Dokuments zur Verfügung gestellt und berücksichtigen möglicherweise keine Änderungen nach dem Datum der Veröffentlichung. 

Bitte besuchen Sie die Datenschutz-Website von Salesforce, um die neuesten Informationen zu erhalten.

Um zu bewerten, inwiefern das Urteil für Ihr Unternehmen relevant ist, sollten Sie sich zunächst einmal sollten Sie sich bewusst sein, ob Daten überhaupt in ein Drittland exportiert werden. Salesforce stellt auf diversen Support-Seiten die Informationen zur geographischen Umgebung zur Verfügung:

So finden Sie heraus, wo Ihre Salesforce-Services geographisch betrieben werden

Für Salesforce Instanzen und die darauf gehosteten Services sowie für die Marketing Cloud Stacks betreibt Salesforce Rechenzentren innerhalb der EU. Wenn Ihre Salesforce-Services in einem Rechenzentrum innerhalb der EU betrieben werden, verlassen die Daten folglich nicht die EU.

Salesforce Pardot sticht hier hervor, weil die Infrastruktur mit Stand 28.07.2020 ausschließlich in den USA betrieben wird. Während Daten in Salesforce Pardot zwar die EU verlassen, geschieht dies auf einer rechtlichen Grundlage, die das Urteil vom 16.07.2020 nicht in Frage gestellt hat. Vielmehr bilden die sogenannten Binding Corporate Rules die Grundlage, die im November 2015 durch die von europäischen Datenschutzbehörden genehmigt wurden. Auch Salesforce Pardot ist hier abgedeckt (siehe auch https://compliance.salesforce.com/en/salesforce-bcrs).

Welche Behörden haben die Binding Corporate Rules geprüft und freigegeben?

Auf diese Frage geht Salesforce in einem FAQ Dokument ein, das noch am Juli 2020 veröffentlicht wurde: International Transfers of EU Personal Data to Salesforce's Services (Published: July 16, 2020). Hier das Zitat aus dem Abschnitt „Who approved Salesforce’s Processor Binding Corporate Rules?“:

We received approval for Salesforce’s Processor Binding Corporate Rules from European data protection authorities in November 2015. The French data protection authority, known as the CNIL, served as Salesforce’s lead authority, and the Dutch and Bavarian data protection authorities served as co-lead authorities. Additionally, all other EU data protection authorities, in addition to the data protection authorities of Iceland, Liechtenstein, and Norway, were part of the approval process.

Mögliche sinnvolle Aktionen

Sollten Sie feststellen, dass Ihre Instanz oder der Marketing Cloud Stack außerhalb der EU betrieben wird, können und sollten Sie Ihren Ansprechpartner bei Salesforce kontaktieren und auf die Möglichkeit ansprechen, Ihre Instanz umzuziehen.

Salesforce empfiehlt allen Kunden das neueste “Data Processing Addendum” (DPA) abzuschließen, sofern folgendes zutrifft:

  • Sie sind vor November 2015 Salesforce-Kunde geworden und haben kein DPA gezeichnet, dass die Referenz auf die Salesforce Binding Corporate Rules oder die EU-Standardvertragsklauseln enthält; oder
  • Sie sind Kunde der Salesforce Tableau Online Services. Diese wurden erst im Juli 2020 in das Data Processing Addendum aufgenommen.

Den Link zum jeweils aktuellen Data Processing Addendum finden Sie im FAQ Dokument im Abschnitt “What actions do customers need to take?”:

Die Unternehmen, die nach November 2015 Salesforce-Kunde wurden, haben ein entsprechend aktuelles DPA gezeichnet und müssen keine Maßnahmen ergreifen, um Salesforce-Services weiterhin in Übereinstimmung mit dem europäischen Recht nutzen zu können. Die bestehende Auftragsverarbeitung enthält in der Regel bereits sowohl die EU-Standardvertragsklauseln als auch Salesforce’s Processor Binding Corporate Rules (BCR), die die Übertragung von personenbezogenen Daten aus der EU an Salesforce-Services erlauben. Keiner dieser beiden Mechanismen ist durch das EuGH-Urteil betroffen.

Für Salesforce Pardot Kunden ist es ausserdem ratsam, Salesforce zu kontaktieren und nach dem Zeitplan für eine in der EU betriebene Infrastruktur zur fragen. Wenn auch Pardot eine EU-Infrastruktur hätte, gäbe es keinen solchen Sonderfall mehr.

Vorgeschichte, weitere Zusammenhänge und Relevanz für die DSGVO (GDPR)

Der Ausgangspunkt dieser Entscheidung ist das Verfahren “Schrems gegen Facebook” bei der irischen Datenschutzbehörde. In diesem Rahmen hat wiederum ein irisches Gericht ein Verfahren beim EuGH angestrengt, um zu erfahren, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen „Privacy Shield“ mit dem europäischen Datenschutzniveau vereinbar sind.

Die Vorgeschichte reicht bis 2013 zurück: Auf Schrems‘ Betreiben hatte der EuGH 2015 bereits den Vorgänger des “Privacy Shield”, die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle.

EuGH untersagt „Privacy Shield“, nicht aber Standardvertragsklauseln

Die Entscheidung bestätigte die Gültigkeit der Standardvertragsklauseln der Europäischen Kommission als Rechtsmechanismus für die Übermittlung von personenbezogenen Daten aus der EU. Gleichzeitig erklärte der EuGH das EU-US-Privacy Shield für ungültig.

Ferner stellte er fest, dass die Unternehmen dafür verantwortlich sind, eine sorgfältige Prüfung durchzuführen, um die Einhaltung der EU-Datenschutzgesetze zu gewährleisten; einschließlich der Beurteilung, ob die Gesetze eines Empfängerlandes mit dem grundlegenden Menschenrecht der EU-Bürger auf Privatsphäre und Datenschutz vereinbar sind.

Die DSGVO (GDPR) und der Datentransfer in Drittländer

Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor:

  1. Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO),
  2. Vorliegen geeigneter Garantien (Art. 46 DSGVO) oder
  3. Ausnahmen für bestimmte Fälle (Art. 49 DSGVO).

Am 16. Juli 2020 erklärte der EuGH den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems II-Urteil für ungültig.

Heise.de berichtet in diesem Artikel: EuGH kippt EU-US-Datenschutzvereinbarung „Privacy Shield“

Der EuGH knüpft seine Entscheidung daran, dass mit der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn dieses dafür ein „angemessenes Schutzniveau“ gewährleistet. Die Kommission sei befugt, ein solches Level mit einem Beschluss festzustellen. Liege keine solche Angemessenheitsentscheidung vor, müsse der in der EU ansässige Datenexporteur selbst „geeignete Garantien“ vorsehen.

Diese könnten sich etwa aus den von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben, befanden die Richter. Dafür müssten die betroffenen Personen „über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen“.

Im Hinblick auf Art. 46 DSGVO kommen folgende Garantien in Betracht:

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) – DSGVO Art. 46 Abs. 2 lit. b, Art. 47:

Verbindliche interne Datenschutzvorschriften (BCR) wurden schon bisher in der Praxis verwendet und sind in der DSGVO ausdrücklich als Möglichkeit zur Erbringung „geeigneter Garantien“ für Datenübermittlungen in Drittländer geregelt. Sie können vor allem bei international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer empfehlenswert sein.

Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 lit. c und d)

Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der Standarddatenschutzklauseln der Kommission, ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde zulässig (vorbehaltlich der weiteren Anforderungen nach der DSGVO).

Das oben genannte Salesforce Data Processing Agreement (DPA) dient diesem Zweck. Für die Einhaltung der weiteren Anforderungen der DSGVO ist jedes Unternehmen selbst verantwortlich.

Salesforce’s Binding Corporate Rules

Salesforce war der erste Anbieter von Unternehmenssoftware, der im November 2015 die Genehmigung für seine Binding Corporate Rules (BCR) erhielt. Bei den BCR, die in der EuGH-Entscheidung vom 16.07.2020 nicht zur Debatte standen, handelt es sich um verbindliche unternehmensspezifische Datenschutzrichtlinien, die weithin als „Goldstandard“ der EU-Transfer-Mechanismen für die Übermittlung personenbezogener Daten angesehen werden. Der Grund dafür ist, dass die BCR strenge Kriterien erfüllen – einschließlich Anfragen aus einem Drittland zur Übermittlung oder Offenlegung personenbezogener Daten – und von den EU-Datenschutzbehörden genehmigt werden müssen, sowie eine kontinuierliche Berichterstattung an die EU-Datenschutzbehörden erfordern.

Weiterführende Informationen

Compliance & Privacy

Quellen: