Internationale Datenübermittlung in der Praxis: Sind neue Standardvertragsklauseln die Rettung?

Internationale Datenübermittlung in der Praxis: Sind neue Standardvertragsklauseln die Rettung?

Seit Einführung der DSGVO spielt der Schutz personenbezogener Daten eine immer größere Rolle. Diese Tatsache zeigt sich auch deutlich in den ...
by Usercentrics
26. Apr 2021
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Seit Einführung der DSGVO spielt der Schutz personenbezogener Daten eine immer größere Rolle. Diese Tatsache zeigt sich auch deutlich in den  Urteilssprechungen diverser Gerichte. Kein Wunder, rückt doch der Schutz der Privatsphäre heutzutage gerade in Hinblick auf die voranschreitenden Digitalisierung immer mehr in den Fokus.

Um einen optimalen Schutz zu gewährleisten, wurden nun erneut die Datenübermittlungen in Drittländer im Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 (AZ  C‑311/18) unter die Lupe genommen und mit einem Paukenschlag für ungültig erklärt. Jetzt stellt sich die Frage: Wie geht es nun für betroffene Unternehmen weiter? Vor allem in Anbetracht der Tatsache, dass es keine Frist zur Umsetzung gibt.

Was sollen Unternehmen tun?

Eigentlich ist diese Ungültigerklärung nichts Neues, denn letztlich gab es genau diesen Fall bereits: Im Jahr 2015 fiel das Safe-Harbour-Abkommen weg, das ebenfalls als Grundlage für Datenübermittlungen vor allem in die USA diente. Mit dem kurz darauf eingeführten EU-US-Privacy Shield erhoffte man sich eine neue Grundlage für internationale Datenübermittlungen zu schaffen, die uns – so ursprünglich angedacht – Jahre lang begleiten sollte. Aber es kam anders als erwartet und so verschwand im letzten Sommer auch das EU-US-Privacy Shield nach fünfjähriger Anwendung.  

 

Seit dem Wegfall des EU-US-Privacy Shields, ist die Datenübermittlung in Drittländer wieder ein aktuelles Thema, das vielen Unternehmen Kopfschmerzen verursacht.

Der Hauptgrund: Nahezu jedes Unternehmen nutzt Dienste von Anbietern, wie z. B. einen Cloud-Diensteanbieter, die auch Unterauftragnehmer in Drittländern, wie den USA haben oder Services wie Google Analytics auf der Webseite einsetzen, die Daten in die USA übermitteln. 

Viele Unternehmen stehen also vor der Herausforderung, wie sie weiterhin Daten in Drittländer, wie die USA oder nach dem Brexit auch das Vereinigte Königreich, übermitteln können. Nicht wenige sind verwirrt, überfordert und fühlen sich mit dieser Herausforderung allein gelassen. 

 

Als Ersatz der bestehenden Standardvertragsklauseln hat die Europäische Kommission am 12.11.2020 den Entwurf der neuen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, veröffentlicht. Nun sollen diese die erhoffte Rettung vieler Unternehmen sein, die einen angemessenen Lösungsvorschlag zu Datenübermittlungen in Drittländer anbieten. In der Vergangenheit wurde diese kritisiert den Bedürfnissen der Unternehmen  nicht gerecht zu werden, da sie in den meisten Fällen nicht zwischen dem Verantwortlichen (Datenexporteur innerhalb der EU) und einem Auftragnehmer (Datenimporteur außerhalb der EU) abgeschlossen wurden, sondern zwischen einem Auftragnehmer innerhalb der EU und einem Auftragnehmer außerhalb der EU. 

 

Jahrelang konnte dieses Problem in der Praxis nicht behoben werden. Ob die modernisierten Standardvertragsklauseln auch tatsächlich in Zukunft die Lösung der in der Praxis in Bezug auf internationale Datenübermittlungen existierenden Probleme sein können, erfahren Sie in diesem Artikel.

Regelung des Internationalen Datentransfers

Die Beweggründe für die Kippung des EU-US-Privacy Shields waren die Bedenken hinsichtlich der Eingriffsmöglichkeiten der Sicherheitsbehörden in Drittländern, wie USA und die Datensicherheit für die Datenübermittlungen. Sind diese Bedenken tatsächlich nachvollziehbar und können sie durch das Inkrafttreten der neuen Standardvertragsklauseln beseitigt werden? 

Licht ins Dunkel bringt eine eine kurze Zusammenfassung der derzeit existierenden Rechtslage in den USA:

a. Umgang mit Behördenanfragen

Die in den Vereinigten Staaten existierenden nationalen Gesetze wie Section 702 des “Foreign Intelligence Surveillance Act” (FISA) und “Executive Order 12.333” (EO 12.333), ermöglichen einen Zugriff auf personenbezogene Daten, z. B. um die nationalen Interessen der Vereinigten Staaten zu schützen und nationale Sicherheit zu gewährleisten. 

 

Die durch FISA gewonnenen Daten werden in der PRISM Datenbank durch die “National Security Agency” (NSA) aufbewahrt. Ziel des Gesetzes und des Präsidialerlasses ist die Auslandsaufklärung, indem gezielt ausländische Personen außerhalb der USA überwacht werden. Interessant: FISA verlangt hierbei keinerlei Begründung von der NSA gegenüber dem Geheimdienstgericht (FISA Court), warum eine Überwachung im einzelnen Fall notwendig sei. Eine Beschränkung der Überwachungsmaßnahmen der Geheimdienste und Garantien für Nicht-US-Bürger sind nicht vorgesehen. Executive Order 12.333 hingegen weitet die Befugnisse und Verantwortlichkeiten der nationalen Geheimdienste aus und regelt den Zugriff auf Daten, die sich auf dem Weg in die USA befinden, ohne dass dieser Zugriff einer gerichtlichen Kontrolle unterliegt.

 

Während FISA im Allgemeinen Überwachungsaktivitäten innerhalb der USA abdeckt, kann die Regierung unter Executive Order 12.333 auch außerhalb der USA eine Überwachung durchführen. 

 

Anhand der oben angeführten zwei Beispiele, die den Eingriff in personenbezogene Daten durch Geheimdienste ermöglichen, wird sichtbar, dass eine Regelung sowohl für die Gewährleistung eines angemessenen Datenschutzes der übermittelten Daten in Drittländer, als auch für den Umgang mit Behördenanfragen dringend notwendig ist. 

Hinsichtlich der Behördenanfragen kommt deshalb auch eine Neuregelung in den Entwurf der neuen Standardvertragsklauseln: Datenimporteure außerhalb der EU sind verpflichtet, Betroffene unverzüglich zu informieren, sobald eine Behörde die Herausgabe der Daten des Betroffenen fordert. Wenn der Datenimporteur nach einer Überprüfung der Rechtmäßigkeit eines solchen Antrags zu dem Entschluss kommt, dass es Gründe gibt, diesen Antrag anzufechten, muss er ihn in vollem Umfang anfechten. Die Verpflichtungen in den neuen Standardvertragsklauseln werden erheblich erweitert und gelten für jeden Datenimporteur (d.h. Prozessor oder Controller).

 

b. Datensicherheit für US Transfers ist gefährdet

Die Datensicherheit kann gemäß Art. 46 DSGVO durch Angemessenheitsbeschlüsse der EU-Kommission, wie das ergangene Safe-Harbour Verfahren oder das EU-US-Privacy Shield oder auch durch eine weitere Alternative in Form von Standardvertragsklauseln, gewährleistet werden. Die EU-Kommission ist bestrebt mit dem Entwurf der neuen Standardvertragsklauseln, die mit dem Wegfall des EU-US-Privacy Shield entstandene Sicherheitslücke zu schließen. Nach den derzeitigen Standardvertragsklauseln können sich Unternehmen nicht nur auf den Abschluss der Standardvertragsklauseln berufen, sondern müssen auch geeignete Maßnahmen für die Datenübermittlung treffen, um eine Datensicherheit zu gewährleisten.
Gemäß Anhang II der neuen Standardvertragsklauseln müssen Unternehmen umfassende Informationen zu den technischen und organisatorischen Maßnahmen bereitstellen, die sie getroffen haben – insbesondere in Bezug auf die Datensicherheit – und diese Informationen regelmäßig aktualisieren. Wenn diese zusätzlichen Maßnahmen bei Bedarf nicht getroffen werden, darf eine Übermittlung nicht stattfinden. Ansonsten droht eine Sanktion! 

Inwiefern der Kommission die Schließung der Lücken gelingen kann und ob Unternehmen entlastet werden, erfahren Sie im folgenden Absatz.

 

 

EU-Kommission stellt Entwurf für neue Standardvertragsklauseln vor

 

Wichtig zu wissen: Die derzeit noch vorliegenden Standardvertragsklauseln sind vor der DSGVO, im Jahr 2010, in Kraft getreten und berücksichtigen nicht die heutigen Umstände, in denen sowohl die Privatsphäre der Betroffenen geschützt werden sollte, als auch eine internationale Datenübermittlung möglich bleiben sollte. 

 

Um die Privatsphäre der Betroffenen zu schützen, sollten alle möglichen Maßnahmen getroffen werden. Ohne einen angemessenen Schutz für Datenübermittlungen in Drittländer zu gewährleisten, sollten diese nicht möglich sein. Laut dem Urteil bleiben die derzeitigen Standardvertragsklauseln zwar für die Rechtfertigung einer Datenübermittlung in Drittländer bestehen bis die internationale Datenübermittlungsproblematik gelöst wird, allerdings sollte hierbei ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht. Unternehmen werden aufgefordert, zusätzliche Schutzmaßnahmen, wie eine Ergänzung der Standardvertragsklauseln, Verschlüsselung und Anonymisierung der personenbezogenen Daten zusätzlich zu den derzeit gültigen Standardvertragsklauseln zu treffen. 

Um die derzeit herrschende Verwirrung in Bezug auf Datenübermittlungen zu beseitigen, griff die Europäische Kommission ein und legte einen neuen Entwurf vor. In diesem Entwurf wurden die Anforderungen einer modernen Wirtschaft, die Vorgaben des Schrems II-Urteils und die Empfehlungen zu den vertraglichen Maßnahmen des Europäischen Datenschutzausschusses  (EDSA) – wie die Pflicht des Datenimporteurs außerhalb der EU, den Datenexporteur innerhalb der EU, regelmäßig zu informieren, dass keine Behördenanfragen für Weitergabe von Daten vorliegen – erfüllt.

Wichtigste Neuerungen im Entwurf der modernisierten Standardvertragsklauseln

Die neuen Standardvertragsklauseln enthalten die Grundsätze, die im Schrems II-Urteil angesprochen wurden und bringen die Klauseln mehr in Einklang mit der DSGVO. Sie erhöhen die Schutzanforderungen für Datenübertragungen, gewähren betroffenen Personen mehr Rechte und die Transparenzverpflichtung wird ausgeweitet.

Die wichtigsten Neuerungen können in folgenden vier Punkten zusammengefasst werden: 

Die Kommission hat einen modularen Ansatz für den Entwurf der Standardvertragsklauseln gewählt, der allgemeine Bestimmungen für alle Übertragungsarten und auch noch zu den vereinzelten „Modulen“ enthält.

 

  1. Modul: Controller to controller (C2C)
  2. Modul: Controller to processor (C2P)
  3. Modul: Processor to processor (P2P)
  4. Modul: Processor to controller (P2C)

P2P und P2C werden das erste Mal als Reaktion zur Beseitigung der bestehenden Probleme in der Praxis geregelt.

Der Anwendungsbereich umfasst auch Datenexporteure, die der DSGVO unterliegen, aber nicht in der EU oder im EWR niedergelassen sind.

Die neuen Standardvertragsklauseln sind sehr flexibel. Zusätzliche Parteien können der unterzeichneten Vereinbarung beitreten. Diese enthalten eine Drittbegünstigungsklausel. Betroffene Personen sind so in der Lage, die Standardvertragsklauseln als Drittbegünstigte geltend zu machen und erforderlichenfalls durchzusetzen. Der Betroffene hat die  Möglichkeit, eine Beschwerde bei der zuständigen Kontrollbehörde einzureichen oder den Streitfall vor die zuständigen Gerichte in der EU zu bringen.

Die Übergangsfrist ab dem Inkrafttreten beträgt im Entwurf ein Jahr. In diesem einen Jahr müssen alle bestehenden Verträge auf die neuen Standardvertragsklauseln umgestellt werden. Dies gilt auch für das Vereinigte Königreich (nach Brexit), da dieses seit dem 01.01.2021 als Drittland gilt. 

Empfehlungen von EDSA und EDSB

Seit dem Schrems II-Urteil herrscht eine ständige Unruhe, die auch die Stellungnahmen nationaler Aufsichtsbehörden deutlich beeinflusste. Diese erstellten vereinzelt Orientierungshilfen für Unternehmen, um eine Orientierung in der Zwischenzeit, bevor die neuen Standardvertragsklauseln angedacht waren, zu ermöglichen. Eine dieser Orientierungshilfen nach dem ergangenen Schrems II-Urteil wurde vom Landesbeauftragten für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) zur Verfügung gestellt. Auch der Europäische Datenschutzausschuss (EDSA) veröffentlichte zwei Tage vor der Veröffentlichung der neuen Standardvertragsklauseln im November 2020 eine Empfehlung mit Maßnahmen, um ein dem EU angemessenes Schutzniveau für personenbezogene Daten bei internationalen Datenübermittlungen zu erreichen. 

 

Diese sollten dazu dienen, den Unternehmen einen Überblick über die Maßnahmen zu verschaffen, die getroffen werden können, um die Wirksamkeit der Standardvertragsklauseln im Zielland zu unterstützen. Unter diesen Maßnahmen befinden sich technische, organisatorische und vertragliche Maßnahmen. 

 

Aufgrund der bestehenden nationalen Gesetze und Mittel in Drittländern auf die Daten zuzugreifen, die nicht mit einer vertraglichen Regelung beseitigt werden können, und um ein effektives Schutzniveau im Zielland zu erreichen, genügen laut EDSA, weder die alten, noch die neuen Standardvertragsklauseln. 

Diese müssen durch technische Maßnahmen gestützt werden, die vielen Unternehmen als technische und organisatorische Maßnahmen (TOMs) bekannt sind. Um geeignete technische Maßnahmen treffen zu können, sollten Unternehmen ihre Datenflüsse und in Zukunft auch die bestehende Rechtslage im Datenschutz in den Zielländern genau kennen. Technischen Maßnahmen, wie Pseudonymisierung der Daten, die in Betracht gezogen werden können, sind im Anhang des Empfehlungsschreibens des EDPB aufgelistet.

Fazit

Um für die Zukunft gewappnet zu sein, empfiehlt es sich bereits jetzt sich mit den neuen Standardvertragsklauseln vertraut zu machen – und zwar schon bevor sie von der Europäischen Kommission verabschiedet werden. 

 

Da Standardvertragsklauseln derzeit die einzige Grundlage für Datenübermittlungen in den meisten Drittländern bilden – solange es kein nach dem Schrems II-Urteil erweiterter EU-US Privacy Shield gibt – lohnt es sich, die Durchsicht des Entwurfs genauso wie die Rechtslage in diesem Bereich regelmäßig zu verfolgen. 

 

Ein weiterer Tipp: Lernen Sie die Datenflüsse Ihres Unternehmens jetzt schon detailliert kennen, damit die Umstellung auf die neuen Standardvertragsklauseln später leichter fällt. Denn bevor die Parteien gemäß den neuen Standardvertragsklauseln eine Übermittlung personenbezogener Daten vereinbaren, müssen sie zunächst eine Bewertung der besonderen Umstände der Übermittlung (wie Inhalt und Dauer des Vertrags oder die Art der übermittelten Daten), der Gesetze des Ziellandes und des Treffens zusätzlicher Schutzmaßnahmen einschließlich technischer und organisatorischer Maßnahmen, die während der Übermittlung und der Verarbeitung der personenbezogenen Daten im Zielland angewendet werden, vornehmen. Diese Bewertung zu den Risiken der Datenübertragung muss dokumentiert und auf Anfrage den Aufsichtsbehörden zur Verfügung gestellt werden.

 

Somit trifft die Unternehmen mit dem Inkrafttreten der neuen Standardvertragsklauseln mehr Verantwortung als in der Vergangenheit. 

 

Die Kommission scheint in folgenden Punkten über die Anforderungen des Schrems II-Urteils hinausgegangen zu sein:

 

  1. Alle relevanten „Gesetze“ des Ziellandes müssen seitens der Unternehmen (Datenexporteure innerhalb der EU) überprüft werden, nicht nur die Überwachungsgesetze.
  2. Die Faktoren, die bei der Bewertung der Gesetze des Ziellandes zu berücksichtigen sind, gehen unverhältnismäßig weit für Unternehmen. Das führt zu einer hohen Belastung der Unternehmen, die ihren Sitz innerhalb der EU haben und sich mit allen relevanten nationalen Gesetzen eines Drittlandes intensiv auseinandersetzen müssen. 
  3. Die Parteien sind verpflichtet, bei der Durchführung solcher Bewertungen nach besten Kräften vorzugehen. Um das in der Realität auch umsetzen zu können, wird Unternehmen, wie bereits oben erwähnt, empfohlen ihre Datenflüsse zu überprüfen und eine detaillierte Überprüfung der Rechtslage in den Drittländern zu veranlassen, in die ihre Daten übermittelt werden.   

Autorin:

Sibel Bayrak,

Legal Team Usercentrics

Disclaimer

Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.

 

Home Ressourcen Blog Internationale Datenübermittlung in der Praxis: Sind neue Standardvertragsklauseln die Rettung?

Ähnliche Artikel