Das Schrems-II-Urteil hat den transatlantischen Datenverkehr in eine Sinnkrise gestürzt. Denn Mitte 2020 urteilte der Europäische Gerichtshof (EuGH), dass die zentrale Rechtsgrundlage für den Datenverkehr zwischen EU und USA (sog. PrivacyShield-Framework) nicht mit europäischen Recht vereinbar sei. Mehr noch: Gerade erst haben die deutschen Aufsichtsbehörden damit begonnen, großflächig zu überprüfen, welche Unternehmen dennoch Daten in die USA übermitteln. Und plötzlich leuchtet uns ein trügerisches Licht am Ende des Tunnels entgegen. Denn die Europäische Kommission hat nun eine erste Lösungsmöglichkeit für EU-Unternehmen vorgestellt. Bevor es nun aber wieder losgeht, sollten Unternehmen einiges beachten …
Kurz zum Hintergrund
Die Datenschutzgrundverordnung (DSGVO) regelt, dass jede Verarbeitung (und somit auch jede Übermittlung) grundsätzlich rechtswidrig ist, es sei denn, die*der Betroffene willigt in die Verarbeitung ein oder es gibt eine Rechtsvorschrift, die die Verarbeitung auch ohne Einwilligung zulässt. Wer aber personenbezogene Daten in ein Land außerhalb der Europäischen Union übermitteln will, braucht mehr als „nur“ eine Einwilligung oder eine einwilligungsunabhängige Rechtsvorschrift. Denn die DSGVO geht davon aus, dass außerhalb der Europäischen Union in der Regel nicht das gleiche Datenschutzniveau gegeben ist. Daher ist eine zusätzliche Erlaubnisgrundlage für den Datentransfer in ein Drittland erforderlich.
Datenübermittlungen in die USA beruhten bis Mitte 2020 häufig auf dem sog. PrivacyShield-Framework oder auf sog. EU-Standardvertragsklauseln. Kurz zur Erklärung:
Das PrivacyShield-Framework war eine Einigung zwischen der EU und den USA darüber, dass Daten an solche US-Unternehmen übermittelt werden dürfen, die sich in den USA als datenschutzkonform registriert haben.
Die EU-Standardvertragsklauseln sind hingegen von der EU-Kommission herausgegebene Musterverträge, mit denen sich Unternehmen außerhalb der EU (z.B. in den USA) vertraglich verpflichten konnten, EU-Datenschutzstandards einzuhalten.
Der EuGH urteilte jedoch, dass das PrivacyShield-Framework nicht mit EU-Recht vereinbar sei und zweifelte „wenig leise“ daran, dass US-Unternehmen überhaupt in der Lage seien, die Verpflichtungen aus den EU-Standardvertragsklauseln einzuhalten. Damit fielen in zahlreichen Fällen beide Rechtsgrundlagen für den US-Datentransfer weg.
Der Lösungsvorschlag der EU-Kommission
Die EU-Kommission hat nun neue Musterverträge für den Drittlandtransfer (sog. Standardvertragsklauseln) entworfen. Eine Frage lässt die EU-Kommission hierbei jedoch offen: Können US-Unternehmen diese neuen Verträge überhaupt erfüllen.
Im 19. Erwägungsgrund zum Entscheidungsentwurf heißt es:
Die Übermittlung und Verarbeitung personenbezogener Daten im Rahmen von
Standardvertragsklauseln sollten nicht erfolgen, wenn die Rechtsvorschriften und
Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung
der Klauseln hindern.
Anders ausgedrückt: Wer personenbezogene Daten in die USA auf Grundlage der neuen Standardvertragsklauseln übermitteln will, ist verpflichtet, sich mit dem US-Recht auseinanderzusetzen und dahingehend zu überprüfen, ob die US-Datenempfänger überhaupt in der Lage sind, sich an ihre Verpflichtungen zu halten.
Wie geht es jetzt weiter?
Die nächsten Schritte sind folgende:
Erstens: Jedes Unternehmen nimmt sein Verzeichnis von Verarbeitungstätigkeiten in die Hand und untersucht, bei welchen Verarbeitungsvorgängen ein US-Datentransfer stattfindet.
Zweitens: Soweit dabei festgestellt wird, dass ein US-Datentransfer auf eine gesonderte Einwilligung der Betroffenen gestützt wird, sollte es zunächst dabei bleiben. Soweit aber festgestellt wird, dass eine Datenübermittlung in die USA auf die alten Standardvertragsklauseln gestützt wird, sollte ein weiterer Prüfschritt erfolgen (siehe Drittens).
Drittens: Bei allen Vorgängen, die auf den Standardvertragsklauseln beruhen, sollte zunächst geprüft werden, ob im konkreten Fall das jeweils geltende US-Recht die Einhaltung der neuen Standardvertragsklauseln ermöglicht oder nicht. Nur bejahendenfalls sollte auf den Einsatz der neuen Standardvertragsklauseln gesetzt werden. Anderenfalls muss eine Alternative gefunden werden.
Nette Randbemerkungen
Wer US- (oder anderen Nicht-EU)-Unternehmen den Einsatz von Standardvertragsklauseln vorschlagen will, sollte beachten, dass die Vertragsmuster modular aufgebaut sind. Daher muss zunächst der Übermittlungsvorgang analysiert werden, bevor die richtigen Module ausgewählt werden.
Ferner hat die EU-Kommission erstmals auch Standard-Auftragsverarbeitungs-Vereinbarungen herausgegeben. Diese dürfen weder mit den Standardvertragsklauseln verwechselt noch durch diese ersetzt werden. Allein eine Kombination ist denkbar.
Dr. Stephan Gärtner, Stanhope SG Datenschutz
