Ich habe in einem vorherigen Beitrag das Urteil des Europäischen Gerichtshofs zum PrivacyShield (C-311/18) ausführlich erläutert und auch eine erste Ausweichmöglichkeit (Artikel 49 Absatz 2 lit. a DSGVO) vorgestellt. Heute stelle ich eine weitere Variante vor. Gleich zum Punkt:
Die Lösung kurz vorgestellt
Mit ihrem Artikel 46 schenkt uns die Datenschutzgrundverordnung eine weitere, „einfache Lösung“, Datenübermittlungen oder -auslagerungen in die USA unabhängig vom Bestand des PrivacyShields zu rechtfertigen.
Die Lösung ist denkbar einfach: Das betroffene US-Unternehmen verpflichtet sich vertraglich dazu, EU-Datenschutzstandards zu achten. Für diese Zwecke hat die EU-Kommission bereits in der Vor-DSGVO-Zeit Musterverträge entworfen und genehmigt, die sog. Standardvertragsklauseln. Die Muster sind hier zu finden.
Die Umsetzung
Beim Einsatz der Standardvertragsklauseln ist grundsätzlich folgendes zu beachten:
- Zunächst müsst ihr Euch für die richtigen Standardvertragsklauseln entscheiden. Wenn ihr
- Daten an ein US-Unternehmen übermittelt, das die Daten anschließend eigenverantwortlich weiterverarbeitet, könnt zwischen den Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer und den alternativern Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer wählen. Ich weiß, dass die Frage, für welche Variante ein Unternehmen sich entscheiden soll, häufig stellt. Ich empfehle hier folgende Richtschnur: In Fällen sensibler Daten ist die datenschutzfreundlichere Grundvariante vorzugswürdig und in den übrigen Fällen die wirtschaftsfreundlicheren alternativen Standardvertragsklauseln. Unterschiede gibt es v.a. in den Punkten Haftung, Verhältnis zu den Aufsichtsbehörden und behördlichen Entscheidungen, Flexibilität in der Vertragsgestaltung. Dies sollte im Einzelfall mit dem Datenschutzbeauftragten abgestimmt werden.
- ein US-Unternehmen damit beauftragt, für Euch weisungsgemäß Daten zu verarbeiten (Auftragsverarbeitung), müsst ihr die Auftragsverarbeitungsvereinbarung durch diese Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter ergänzen. Ein beliebter Fehler besteht darin, die Standardvertragsklauseln mit einer Vereinbarung über die Auftragsverarbeitung (vgl. Artikel 28 Absatz 3 DSGVO) zu verwechseln. Ganz wichtig: Es muss in dieser Konstellation über eine Auftragsverarbeitungsvereinbarung (AVV) und eine Vereinbarung über die Standardvertragsklauseln nebeneinander geben. Beide Vertragswerke dürfen sich nicht widersprechen.
- Im nächsten Schritt müssen die übrigen Verträge (zivilrechtliche Verträge, AVV usw.) derart umgestaltet werden, dass sie den Standardvertragsklauseln nicht widersprechen. Dieser Punkt wird oft unterschätzt oder gar übersehen. Er ist – allein aus Haftungssicht – aber sehr wichtig.
- Nun folgt ein ungewöhnlicher Schritt. Ihr müsst eine Vorab-Bewertung der Verarbeitungsvorgänge vornehmen. Im Ergebnis müsst ihr herausfinden, ob die Risiken, die mit dem Datentransfer in die USA verbunden sind, hinreichend minimiert werden. Hierbei sind v.a. vier Prüfpunkte wichtig: (1) Wie kann verhindert werden, das US-Behörden ungehindert Zugriff auf die Daten erhalten. (2) Wie kann verhindert werden, dass die Daten in den USA auf privatwirtschaftlicher Ebene ungehindert verarbeitet werden. (3) Wie erhalten die Betroffenen angemessene Rechtsschutzinstrumente (z.B. Klagemöglichkeiten)? (4) Wie sensibel sind die Daten, die übermittelt werden? Hierbei seid ihr zunächst auf die Angaben des jeweiligen US-Unternehmens angewiesen und müsst dies ergebnisoffen prüfen (lassen). Ich empfehle, dies gleich mit einer sog. Datenschutzfolgeabschätzung zu verbinden. Ich gebe zu, dass dieser Punkt extrem komplex ist, aber hilft, die richtige Entscheidung zu treffen.
- Wenn ihr nach den ersten drei Schritten noch immer beim Ergebnis steht, dass eine US-basierte Datenverarbeitung auf die Standardvertragsklauseln gestützt werden darf, müssen diese auch vereinbart werden. Die meisten US-Unternehmen haben hierfür die Grundlagen bereits geschaffen, in der Regel sind die Standardvertragsklauseln Bestandteil des Gesamtvertrags werkes. Anderenfalls müssen sie gesondert vereinbart werden. Achtet bitte immer darauf, dass die US-Unternehmen verpflichtet werden, alle ihre Subunternehmer nach den Standardvertragsklauseln zu verpflichten. Das wird häufig übersehen.
- Im nächsten Schritt müsst ihr ein Verfahren definieren, mit dem ihr die vorherigen Schritte regelmäßig (in der Regel alle sechs Monate) und anlassbezogen kontrolliert. Hierfür kommt der betriebliche Datenschutzbeauftragte in Betracht. Das Kontrollverfahren sollte schriftlich festgelegt werden.
- Im letzten Schritt sind natürlich die Datenschutzerklärungen gegenüber Website-Besuchern, Kunden, Beschäftigten, Lieferanten usw. entsprechend anzupassen.
Für wen lohnt sich das?
Ich will erneut offen sein. Die Standardvertragsklauseln werden derzeit als die komfortabelste Variante, den US-EU-Datentransfer abzusichern, gehandelt. Die meisten US-Unternehmen, darunter etwa Google, wollen hierauf umsteigen. Doch EU-Unternehmen, die sich hierauf berufen wollen, müssen viele Hausaufgaben machen. Nicht falsch verstehen, das sollte niemanden davon abhalten. Aber ihre Implementierung lohnt sich v.a. in Fällen, in denen ein Unternehmen unbedingt eine Übergangslösung für eine verhältnismäßig unkritische Datenverarbeitung brauchen. Fälle, in denen extrem sensible Daten (z.B. Gesundheitsdaten, Beschäftigtendaten) verarbeitet werden sollen, können hiermit nur bedingt gelöst werden.
