04.09.2018

Standardvertragsklauseln – Ein Trump(f) für die Datenübermittlung in die USA?

Der EU-US-Privacy-Shield steht seitens der EU-Organe unter zunehmender Kritik. Als Alternative für Datenübertragungen in die USA und Gewährleistung eines „angemessenen Datenschutzniveaus“ werden immer häufiger Standardvertragsklauseln ins Feld geführt. Doch auch für diese könnte bald das Aus durch den EuGH kommen.

Hintergrund

Die Kritik der EU-Organe am Privacy-Shield reißt nicht ab. Ende Juli 2018 kritisierte die EU-Justizkommissarin Jourova erneut das in den USA praktizierte Datenschutzniveau, setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy-Shields.

Ein Hauptkritikpunkt ist das Fehlen einer Ombudsperson in den USA, bei der sich betroffene Personen aus Europa über die Verletzung der Datenschutz-Vorgaben beschweren können. Es bleibt zweifelhaft, ob US-Handelsminister Ross auf diese Fristsetzung reagieren wird. Bereits im Frühjahr bezeichnete er das Datenschutzniveau in der EU als übertrieben und unnötig. Für US-Unternehmen bestünde die Gefahr zurückgehender Geschäfte. Der Privacy-Shield steht damit mehr denn je vor einer ungewissen Zukunft.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Ist der Privacy Shield die einzige Möglichkeit für einen sicheren Datentransfer in die USA?

Nach Art. 44 der Datenschutz-Grundverordnung („DSGVO“) ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig. Neben dem Privacy-Shield bzw. Angemessenheitsbeschlüssen der Kommission gibt es für konzerninterne Datenübertragungen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll.

Außerhalb von Konzernen bieten sich sog. Standardvertragsklauseln an, um ein angemessenes Datenschutzniveau zu gewährleisten. So kann etwa ein Unternehmen, ansässig in der EU, mit seinem Auftragsverarbeiter in den USA ergänzend zu einem herkömmlichen Auftragsverarbeitungsvertrag (nach Art. 28 DSGVO) die Standardvertragsklauseln vereinbaren. Durch die von der EU-Kommission entwickelten Klauseln soll sichergestellt werden, dass der Auftragsverarbeiter ein dem EU-Recht entsprechendes Datenschutzniveau einhält.

Sind Standardvertragsklauseln das Mittel der Zukunft?

Die aktuell gültigen Standardvertragsklauseln der EU-Kommission stammen aus dem Jahr 2010. Werden sie innerhalb eines Auftragsverarbeitervertrages mit einem US-Unternehmen einbezogen, so genügt die Datenübertragung grundsätzlich den Anforderungen der DSGVO.

Seit 2015 werden diese Standardvertragsklauseln jedoch nach Vorlage des irischen High Courts vom Europäischen Gerichtshof („EuGH“) auf ihre Rechtmäßigkeit überprüft. Im zugrundeliegenden Verfahren argumentierte der Datenschutz-Aktivist und Anwalt Max Schrems, dass die Übertragung von Facebook-Irland (Sitz Facebooks in Europa) auf die Facebook-Server des Mutterkonzerns in den USA gegen das europäische Datenschutzrecht verstoße. Insbesondere die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von EU-Bürgern wurden dabei kritisiert.

Ins gleiche Horn stößt auch die aktuelle Kritik des EU-Parlamentes wie der EU-Kommission am Privacy Shield. Vor allem wegen des CLOUD Acts, einem Gesetzt, das es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, auch wenn die Speicherung außerhalb der USA erfolgt, hat sich diese Problematik noch weiter zugespitzt.

Facebook hat unterdessen Rechtsmittel vor dem irischen Gericht eingelegt, das die Frage nach der Gültigkeit der Standardvertragsklauseln dem EuGH zur Klärung vorgelegt hat. Es kann jedoch nicht davon ausgegangen werden, dass dieses Rechtsmittel Einfluss auf die Entscheidung des EuGHs haben wird, da dieser bereits mit der Rechtsfrage befasst ist und ihm das Verfahren nicht wieder „entzogen“ werden kann.

Die Zukunft der aktuell gültigen Standardvertragsklauseln hängt also von der Entscheidung des EuGHs ab. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, neue Standardvertragsklauseln zu erlassen, welche die Rechtsauffassung des EuGHs, der Behörden und des EU-Parlamentes sowie die aktuellen Entwicklungen in den USA berücksichtigen. Für Unternehmen könnte dies eine zukunftstaugliche Alternative zum Privacy-Shield darstellen. Allerdings müssten in diesem Fall auch alle Verträge, die auf den bisherigen Standardvertragsklauseln basieren, neu verfasst und abgeschlossen werden.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 6 und 9.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Fazit und Handlungsempfehlung

Erheblicher Grund zur Sorge besteht für Unternehmen nicht. Die Datenübertragung in die USA ist aktuell noch sowohl auf der Grundlage der Standardvertragsklauseln von 2010 oder dem Privacy Shield möglich. Nur wenn beide Alternativen vom EuGH und/oder der Kommission zeitgleich für nicht angemessen bzw. unwirksam erklärt werden würden, wäre (außerhalb von Binding Corporate Rules) eine rechtmäßige Datenübertragung in die USA ausgeschlossen. Da die Kommission um die Bedeutung solcher Datenübertragungen für EU-Unternehmen weiß, ist zu hoffen, dass eine Alternative mit genügend Vorlaufzeit zur Anpassung entwickelt wird, bevor Privacy-Shield und Standardvertragsklauseln als Rechtsgrundlage entfallen.

Aktuelle Ausführungen der Trump-Regierung lassen den Schluss zu, dass das bevorstehende erste US-Bundesgesetz zum Datenschutz eher weite Zugriffsmöglichkeiten für Unternehmen und Behörden auf personenbezogene Daten ermöglicht und damit die Kritik aus Europa weiter befeuern wird. Die neuen Standardvertragsklauseln der Kommission könnten dann das Instrument der Zukunft für Datenübertragungen in die USA werden, da das neue US-Bundesgesetz nicht den Anforderungen der EU-Justizkommissarin Jourova entspricht und damit den Privacy Shield zuerst zum Scheitern bringen könnte, worauf die Kommission durch neue Standardvertragsklauseln reagieren kann.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …