Die neuen Standardvertragsklauseln – ein Schritt zur transatlantischen Datensicherheit?

News, Wirtschaftsrecht, Datenschutzrecht   |   14. June 2021

Gleich ob Unternehmen in Zeiten von Corona Besprechungen über amerikanische Videokonferenzsysteme abhalten oder die Dienstleitung ausländischer Cloud-Anbieter in Anspruch nehmen – die Datenübermittlung in Drittstaaten wie die USA ist allgegenwärtig, der internationale Datenstrom die Grundlage der modernen Wirtschaft. Verantwortliche und Auftragsverarbeiter müssen dabei sicherstellen, dass auch die Datenübermittlung in Länder außerhalb des Geltungsbereichs der DS-GVO deren allgemeine Voraussetzungen erfüllt.

Probates Mittel sind in diesem Kontext sogenannte Angemessenheitsbeschlüsse nach Art. 45 DS-GVO. Diese fasst die EU-Kommission nach einer entsprechenden Prüfung des bestehenden Schutzniveaus in einem bestimmten Drittstaat und ermöglicht damit die rechtssichere und rechtmäßige Datenübermittlung dorthin. Insbesondere bedarf es dann keiner weiteren Schutzmaßnahmen für die Datenübermittlung. Aktuell existieren Angemessenheitsbeschlüsse etwa für die Schweiz, Israel, Neuseeland und Japan. Gleiches galt lange Zeit auch im Hinblick auf die USA, bis der österreichische Datenschutzaktivist und Gründer der europäischen Datenschutzinitiative noyb der USA den Kampf ansagte. Er brachte im Oktober 2015 das „Safe-Harbor“-Abkommen, das den rechtmäßigen Datenaustausch zwischen der EU und der USA ermöglichen sollte, und im Juli 2020 auch dessen Nachfolgeregelung, die Datenschutzvereinbarung „Privacy Shield“, vor dem EuGH zu Fall. Für Unternehmen, die ihre Datenübermittlung in die USA bis zu diesem Zeitpunkt auf die Angemessenheitsbeschlüsse stützten, hatte dies teilweise gigantische Auswirkungen. Deutsche Datenschutzaufsichtsbehörden rieten sogar dazu, gänzlich von der Übermittlung von Daten in die USA abzusehen und auf innereuropäische Verarbeitung umzustellen, was in Anbetracht der überwiegenden Anzahl von Technologie-Unternehmen in den USA kein einfaches Unterfangen war und ist.

Justizkommissar der EU, Didier Reynders, sah es daher zutreffend als „Pflicht und Priorität“ der EU-Kommission an, „benutzerfreundliche Instrumente“ für den Datentransfer in Drittstaaten zu entwickeln, „auf die sich Unternehmen voll und ganz verlassen können“. Deshalb beschloss die EU-Kommission am 04.06.2021 neue Standardvertragsklauseln für die Datenübermittlung in Drittstaaten und für die Verwendung zwischen Verantwortlichen und Auftragsverarbeitern. Standardvertragsklauseln können als Grundlage für die Datenübermittlung in Drittländer genutzt werden, wenn sie im Wesentlichen unverändert in die zugrundeliegenden Verträge übernommen werden. Damit weisen Standardvertragsklauseln gravierende Nachteile gegenüber Angemessenheitsbeschlüssen auf: Sie müssen zwischen den Parteien ausdrücklich vereinbart werden und bedürfen einer Einzelfallprüfung. Denn ausweislich Erwägungsgrund 20 des neuen Durchführungsbeschlusses sollen zusätzliche Schutzmaßnahmen getroffen werden, die den besonderen Umständen der Übermittlung, der Rechtslage und den Gepflogenheiten des Drittlandes Rechnung tragen – obwohl die Bewertung des Datenschutzniveaus in Drittstaaten hochkomplex ist und mitunter sogar die EU-Kommission vor immense Schwierigkeiten stellt. Abgesehen davon hat der Verantwortliche die für ihn passenden Bestimmungen aus einer Reihe von allgemeinen Klauseln und Modulen zu wählen, die für verschiedene Übermittlungsszenarien angepasst sind. Insgesamt trifft Verantwortliche also ein erheblicher Implementierungsaufwand.

Dennoch ist es wichtig, zeitnah rechtssichere Lösungen zu finden. Denn die deutschen Datenschutzbehörden haben erst wenige Tage vor dem Beschluss der neuen Standardvertragsklauseln angekündigt, im Rahmen einer länderübergreifenden, koordinierten Kontrolle internationale Datentransfers auf ihre DS-GVO-Konformität zu prüfen. Hauptaugenmerk richten die Behörden auf den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und den konzerninternen Austausch von Kunden- und Beschäftigtendaten. All das sind Praktiken, die unabhängig von Größe und Umsatz in nahezu jedem Unternehmen angewendet werden. In Anbetracht der empfindlichen Geldbußen besteht deshalb akuter Handlungsbedarf.


 


 
Autorinnen

Madelaine Isabelle Baade

Rechtsanwältin


View profile

Theresa Hößl

Wissenschaftliche Mitarbeiterin


View profile

Stay up to date

Gerne halten wir Sie mit unserer RB news und unserem Newsletter auf dem Laufenden.

News abonnieren