Am 27. April verfügte die Comissão Nacional de Proteção de Dados (CNPD), Portugals nationale Datenschutzbehörde, dass das Nationale Institut für Statistik (INE) innerhalb von 12 Stunden alle Übermittlungen personenbezogener Daten in die Vereinigten Staaten oder in andere Drittländer aussetzen muss, die keine dem EU-Recht gleichwertigen Sicherheitsmaßnahmen garantieren.

Eine Entscheidung in drei Schritten

Im Jahr 2021 führte das INE eine Online-Volkszählung der portugiesischen Bevölkerung durch. Nach der Erhebung personenbezogener Daten (einschließlich sensibler Daten zum Gesundheitszustand und zur Religionszugehörigkeit) von mehr als 6,5 Millionen Einwohnern wurde eine Beschwerde beim CNPD eingereicht. Der Verstoß bestand in der Übertragung dieser Daten auf die Server von Cloudfare, einem amerikanischen Unternehmen. Die CNPD begründete ihre Entscheidung in drei Punkten.

Der zwischen dem INE und Cloudfare geschlossene Vertrag enthielt Standardvertragsklauseln gemäß Artikel 46, Absatz 2, c) der Datenschutz-Grundverordnung (DSGVO). Die CNPD war der Ansicht, dass die alleinige Aufnahme dieser Klauseln nicht ausreicht, um ausreichende Garantien zu bieten. Das INE hatte keine Möglichkeit zu erfahren, wo die Daten tatsächlich übertragen werden. Falls die Daten über den Server laufen, der Portugal am nächsten liegt, könnten sie je nach den dort eingehenden Anfragen an einen der anderen 200 Server des Unternehmens weitergeleitet werden. Darüber hinaus besitzt Cloudfare die öffentlichen und privaten Verschlüsselungscodes für den Datensatz.

Die CNPD stellte fest, dass bei der durchgeführten Analyse der Auswirkungen nicht der Erfassungsprozess, sondern nur die Leistung und Sicherheit des Systems untersucht wurde. Die CNPD führt an, dass es andere Möglichkeiten gegeben hätte, um dem INE mehr Kontrolle über die Erfassung der Daten zu geben.

Die Entscheidung bezieht sich auf das Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II vom 16. Juli 2020.  Der Vertrag sah vor, dass Cloudfare das INE über Anträge auf Zugriff zu den Daten informieren musste. Diese Klausel war offensichtlich nach dem Foreign Intelligence Surveillance Act unwirksam. Der Vertrag enthielt keine zusätzlichen Maßnahmen, die ausreichende Garantien für die personenbezogenen Daten der portugiesischen Bürger gewährleisten.

Aus diesen Gründen entschied die CNPD, die Datenübermittlung innerhalb von 12 Stunden auszusetzen. Sie fügte hinzu, dass sie im Rahmen von Outsourcing-Verträgen die Angemessenheit der Unterauftragnehmer in Bezug auf die DSGVO überprüfen werde.

Die Folgen dieser Entscheidung

Diese Entscheidung stellt eine neue Interpretation der absehbaren Folgen des Schrems II-Urteils dar. Das Urteil, dem Empfehlungen des Europäische Datenschutzausschuss (EDSA) zu ergänzenden Maßnahmen bei internationalen Datentransfers folgten, führte dazu, dass die Übermittlung von personenbezogenen Daten an amerikanische Unternehmen nicht mehr eindeutig ist. Der Abschluss von Standardvertragsklauseln allein gewährleistet noch keine DSGVO-konforme Übermittlung. Sie sind nur für die Vertragsparteien verbindlich und verpflichtend, jedoch nicht für die staatlichen Behörden.

Die CNPD erinnert daran, dass Standardvertragsklauseln durch andere Maßnahmen ergänzt werden müssen, um das von der DSGVO geforderte Schutzniveau effektiv zu gewährleisten. Wenn keine derartigen Maßnahmen ergriffen werden können oder wenn keine andere Lösung möglich ist, muss die Übermittlung ausgesetzt werden. Die portugiesische Entscheidung verpflichtet alle europäischen Unternehmen, ihre Strategie für den Transfer personenbezogener Daten zu überdenken und systematische Analysen durchzuführen, die von geeigneten Maßnahmen begleitet werden.

Die Entscheidung auf Portugiesisch finden Sie hier.

Für weitere Informationen oder Beratung zur DSGVO wenden Sie sich bitte an unser Digital-Team unter +3522625621 oder senden Sie uns eine E-Mail an contact@dsm.legal.