04.09.2018
Standardvertragsklauseln – Ein Trump(f) für die Datenübermittlung in die USA?
Jacqueline Neiazy
Director Datenschutz
Der EU-US-Privacy-Shield steht seitens der EU-Organe unter zunehmender Kritik. Als Alternative für Datenübertragungen in die USA und Gewährleistung eines „angemessenen Datenschutzniveaus“ werden immer häufiger Standardvertragsklauseln ins Feld geführt. Doch auch für diese könnte bald das Aus durch den EuGH kommen.
Hintergrund
Die Kritik der EU-Organe am Privacy-Shield reißt nicht ab. Ende Juli 2018 kritisierte die EU-Justizkommissarin Jourova erneut das in den USA praktizierte Datenschutzniveau, setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy-Shields.
Ein Hauptkritikpunkt ist das Fehlen einer Ombudsperson in den USA, bei der sich betroffene Personen aus Europa über die Verletzung der Datenschutz-Vorgaben beschweren können. Es bleibt zweifelhaft, ob US-Handelsminister Ross auf diese Fristsetzung reagieren wird. Bereits im Frühjahr bezeichnete er das Datenschutzniveau in der EU als übertrieben und unnötig. Für US-Unternehmen bestünde die Gefahr zurückgehender Geschäfte. Der Privacy-Shield steht damit mehr denn je vor einer ungewissen Zukunft.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Ist der Privacy Shield die einzige Möglichkeit für einen sicheren Datentransfer in die USA?
Nach Art. 44 der Datenschutz-Grundverordnung („DSGVO“) ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig. Neben dem Privacy-Shield bzw. Angemessenheitsbeschlüssen der Kommission gibt es für konzerninterne Datenübertragungen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll.
Außerhalb von Konzernen bieten sich sog. Standardvertragsklauseln an, um ein angemessenes Datenschutzniveau zu gewährleisten. So kann etwa ein Unternehmen, ansässig in der EU, mit seinem Auftragsverarbeiter in den USA ergänzend zu einem herkömmlichen Auftragsverarbeitungsvertrag (nach Art. 28 DSGVO) die Standardvertragsklauseln vereinbaren. Durch die von der EU-Kommission entwickelten Klauseln soll sichergestellt werden, dass der Auftragsverarbeiter ein dem EU-Recht entsprechendes Datenschutzniveau einhält.
Sind Standardvertragsklauseln das Mittel der Zukunft?
Die aktuell gültigen Standardvertragsklauseln der EU-Kommission stammen aus dem Jahr 2010. Werden sie innerhalb eines Auftragsverarbeitervertrages mit einem US-Unternehmen einbezogen, so genügt die Datenübertragung grundsätzlich den Anforderungen der DSGVO.
Seit 2015 werden diese Standardvertragsklauseln jedoch nach Vorlage des irischen High Courts vom Europäischen Gerichtshof („EuGH“) auf ihre Rechtmäßigkeit überprüft. Im zugrundeliegenden Verfahren argumentierte der Datenschutz-Aktivist und Anwalt Max Schrems, dass die Übertragung von Facebook-Irland (Sitz Facebooks in Europa) auf die Facebook-Server des Mutterkonzerns in den USA gegen das europäische Datenschutzrecht verstoße. Insbesondere die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von EU-Bürgern wurden dabei kritisiert.
Ins gleiche Horn stößt auch die aktuelle Kritik des EU-Parlamentes wie der EU-Kommission am Privacy Shield. Vor allem wegen des CLOUD Acts, einem Gesetzt, das es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, auch wenn die Speicherung außerhalb der USA erfolgt, hat sich diese Problematik noch weiter zugespitzt.
Facebook hat unterdessen Rechtsmittel vor dem irischen Gericht eingelegt, das die Frage nach der Gültigkeit der Standardvertragsklauseln dem EuGH zur Klärung vorgelegt hat. Es kann jedoch nicht davon ausgegangen werden, dass dieses Rechtsmittel Einfluss auf die Entscheidung des EuGHs haben wird, da dieser bereits mit der Rechtsfrage befasst ist und ihm das Verfahren nicht wieder „entzogen“ werden kann.
Die Zukunft der aktuell gültigen Standardvertragsklauseln hängt also von der Entscheidung des EuGHs ab. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, neue Standardvertragsklauseln zu erlassen, welche die Rechtsauffassung des EuGHs, der Behörden und des EU-Parlamentes sowie die aktuellen Entwicklungen in den USA berücksichtigen. Für Unternehmen könnte dies eine zukunftstaugliche Alternative zum Privacy-Shield darstellen. Allerdings müssten in diesem Fall auch alle Verträge, die auf den bisherigen Standardvertragsklauseln basieren, neu verfasst und abgeschlossen werden.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Fazit und Handlungsempfehlung
Erheblicher Grund zur Sorge besteht für Unternehmen nicht. Die Datenübertragung in die USA ist aktuell noch sowohl auf der Grundlage der Standardvertragsklauseln von 2010 oder dem Privacy Shield möglich. Nur wenn beide Alternativen vom EuGH und/oder der Kommission zeitgleich für nicht angemessen bzw. unwirksam erklärt werden würden, wäre (außerhalb von Binding Corporate Rules) eine rechtmäßige Datenübertragung in die USA ausgeschlossen. Da die Kommission um die Bedeutung solcher Datenübertragungen für EU-Unternehmen weiß, ist zu hoffen, dass eine Alternative mit genügend Vorlaufzeit zur Anpassung entwickelt wird, bevor Privacy-Shield und Standardvertragsklauseln als Rechtsgrundlage entfallen.
Aktuelle Ausführungen der Trump-Regierung lassen den Schluss zu, dass das bevorstehende erste US-Bundesgesetz zum Datenschutz eher weite Zugriffsmöglichkeiten für Unternehmen und Behörden auf personenbezogene Daten ermöglicht und damit die Kritik aus Europa weiter befeuern wird. Die neuen Standardvertragsklauseln der Kommission könnten dann das Instrument der Zukunft für Datenübertragungen in die USA werden, da das neue US-Bundesgesetz nicht den Anforderungen der EU-Justizkommissarin Jourova entspricht und damit den Privacy Shield zuerst zum Scheitern bringen könnte, worauf die Kommission durch neue Standardvertragsklauseln reagieren kann.
Weitere Neuigkeiten
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
09.01.2025
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen … Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
03.01.2025
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen … Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können