RB aktu­ell

Die neu­en Stan­dard­ver­trags­klau­seln – ein Schritt zur trans­at­lan­ti­schen Datensicherheit?

Von Rechts­an­wäl­tin Made­lai­ne Isa­bel­le Baa­de und The­re­sa Hößl (wiss. Mitarbeiterin)

Gleich ob Unter­neh­men in Zei­ten von Coro­na Bespre­chun­gen über ame­ri­ka­ni­sche Video­kon­fe­renz­sys­te­me abhal­ten oder die Dienst­lei­tung aus­län­di­scher Cloud-Anbie­ter in Anspruch neh­men – die Daten­über­mitt­lung in Dritt­staa­ten wie die USA ist all­ge­gen­wär­tig, der inter­na­tio­na­le Daten­strom die Grund­la­ge der moder­nen Wirt­schaft. Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter müs­sen dabei sicher­stel­len, dass auch die Daten­über­mitt­lung in Län­der außer­halb des Gel­tungs­be­reichs der DS-GVO deren all­ge­mei­ne Vor­aus­set­zun­gen erfüllt.

Pro­ba­tes Mit­tel sind in die­sem Kon­text soge­nann­te Ange­mes­sen­heits­be­schlüs­se nach Art. 45 DS-GVO. Die­se fasst die EU-Kom­mis­si­on nach einer ent­spre­chen­den Prü­fung des bestehen­den Schutz­ni­veaus in einem bestimm­ten Dritt­staat und ermög­licht damit die rechts­si­che­re und recht­mä­ßi­ge Daten­über­mitt­lung dort­hin. Ins­be­son­de­re bedarf es dann kei­ner wei­te­ren Schutz­maß­nah­men für die Daten­über­mitt­lung. Aktu­ell exis­tie­ren Ange­mes­sen­heits­be­schlüs­se etwa für die Schweiz, Isra­el, Neu­see­land und Japan. Glei­ches galt lan­ge Zeit auch im Hin­blick auf die USA, bis der öster­rei­chi­sche Daten­schutz­ak­ti­vist und Grün­der der euro­päi­schen Daten­schutz­in­itia­ti­ve noyb der USA den Kampf ansag­te. Er brach­te im Okto­ber 2015 das „Safe-Harbor“-Abkommen, das den recht­mä­ßi­gen Daten­aus­tausch zwi­schen der EU und der USA ermög­li­chen soll­te, und im Juli 2020 auch des­sen Nach­fol­ge­re­ge­lung, die Daten­schutz­ver­ein­ba­rung „Pri­va­cy Shield“, vor dem EuGH zu Fall. Für Unter­neh­men, die ihre Daten­über­mitt­lung in die USA bis zu die­sem Zeit­punkt auf die Ange­mes­sen­heits­be­schlüs­se stütz­ten, hat­te dies teil­wei­se gigan­ti­sche Aus­wir­kun­gen. Deut­sche Daten­schutz­auf­sichts­be­hör­den rie­ten sogar dazu, gänz­lich von der Über­mitt­lung von Daten in die USA abzu­se­hen und auf inner­eu­ro­päi­sche Ver­ar­bei­tung umzu­stel­len, was in Anbe­tracht der über­wie­gen­den Anzahl von Tech­no­lo­gie-Unter­neh­men in den USA kein ein­fa­ches Unter­fan­gen war und ist.

Jus­tiz­kom­mis­sar der EU, Didier Reyn­ders, sah es daher zutref­fend als „Pflicht und Prio­ri­tät“ der EU-Kom­mis­si­on an, „benut­zer­freund­li­che Instru­men­te“ für den Daten­trans­fer in Dritt­staa­ten zu ent­wi­ckeln, „auf die sich Unter­neh­men voll und ganz ver­las­sen kön­nen“. Des­halb beschloss die EU-Kom­mis­si­on am 04.06.2021 neue Stan­dard­ver­trags­klau­seln für die Daten­über­mitt­lung in Dritt­staa­ten und für die Ver­wen­dung zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern. Stan­dard­ver­trags­klau­seln kön­nen als Grund­la­ge für die Daten­über­mitt­lung in Dritt­län­der genutzt wer­den, wenn sie im Wesent­li­chen unver­än­dert in die zugrun­de­lie­gen­den Ver­trä­ge über­nom­men wer­den. Damit wei­sen Stan­dard­ver­trags­klau­seln gra­vie­ren­de Nach­tei­le gegen­über Ange­mes­sen­heits­be­schlüs­sen auf: Sie müs­sen zwi­schen den Par­tei­en aus­drück­lich ver­ein­bart wer­den und bedür­fen einer Ein­zel­fall­prü­fung. Denn aus­weis­lich Erwä­gungs­grund 20 des neu­en Durch­füh­rungs­be­schlus­ses sol­len zusätz­li­che Schutz­maß­nah­men getrof­fen wer­den, die den beson­de­ren Umstän­den der Über­mitt­lung, der Rechts­la­ge und den Gepflo­gen­hei­ten des Dritt­lan­des Rech­nung tra­gen – obwohl die Bewer­tung des Daten­schutz­ni­veaus in Dritt­staa­ten hoch­kom­plex ist und mit­un­ter sogar die EU-Kom­mis­si­on vor immense Schwie­rig­kei­ten stellt. Abge­se­hen davon hat der Ver­ant­wort­li­che die für ihn pas­sen­den Bestim­mun­gen aus einer Rei­he von all­ge­mei­nen Klau­seln und Modu­len zu wäh­len, die für ver­schie­de­ne Über­mitt­lungs­sze­na­ri­en ange­passt sind. Ins­ge­samt trifft Ver­ant­wort­li­che also ein erheb­li­cher Implementierungsaufwand.

Den­noch ist es wich­tig, zeit­nah rechts­si­che­re Lösun­gen zu fin­den. Denn die deut­schen Daten­schutz­be­hör­den haben erst weni­ge Tage vor dem Beschluss der neu­en Stan­dard­ver­trags­klau­seln ange­kün­digt, im Rah­men einer län­der­über­grei­fen­den, koor­di­nier­ten Kon­trol­le inter­na­tio­na­le Daten­trans­fers auf ihre DS-GVO-Kon­for­mi­tät zu prü­fen. Haupt­au­gen­merk rich­ten die Behör­den auf den Ein­satz von Dienst­leis­tern zum E-Mail-Ver­sand, zum Hos­ting von Inter­net­sei­ten, zum Web­tracking, zur Ver­wal­tung von Bewer­ber­da­ten und den kon­zern­in­ter­nen Aus­tausch von Kun­den- und Beschäf­tig­ten­da­ten. All das sind Prak­ti­ken, die unab­hän­gig von Grö­ße und Umsatz in nahe­zu jedem Unter­neh­men ange­wen­det wer­den. In Anbe­tracht der emp­find­li­chen Geld­bu­ßen besteht des­halb aku­ter Handlungsbedarf.

Madelaine Isabelle Baade
Made­lai­ne Isa­bel­le Baade