Neue Standardvertragsklauseln nach Schrems II

Das “Schrems II Urteil” des Europäischen Gerichtshofs (EuGH) vom Juli 2020, in welchem das EU-U.S. Privacy Shield Abkommen für ungültig erklärt worden ist, hat die EU-Kommission dazu veranlasst, neue Standardvertragsklauseln (SVK) zu entwerfen. Diese neuen SVK sollen die Lücke, die durch das Schrems II Urteil entstanden ist, schließen.

Was war passiert?

Da der Datenschutzstandard in den USA nach Ansicht der EU-Kommission nicht mit dem Schutz personenbezogener Daten in der Europäischen Union vergleichbar ist, müssen ganz bestimmte Bedingungen erfüllt werden, damit personenbezogene Daten in das sogenannte Drittland übermittelt werden dürfen. Eine dieser Bedingungen sind geeignete Garantien gemäß Art. 46 DSGVO, denn für alle Unternehmen gibt es Mittel und Wege den eigenen Datenschutzstandard zu erhöhen. Hierzu stand z.B. eine Zertifizierung nach dem EU-U.S. Privacy Shield Abkommen zur Verfügung. Zudem müssen zwischen Datenexporteur und Datenimporteur mit Sitz in einem Drittland sogenannte Standardvertragsklauseln geschlossen werden, die bestimmte Bedingungen festlegen, unter denen eine Datenübermittlung stattfinden darf.

Sowie das EU-U.S. Privacy Shield Abkommen als auch Standardvertragsklauseln wurden als Legitimation für eine Übermittlung personenbezogener Daten in die USA durch den EuGH aber für ungültig erklärt. Da auch sonst nur wenige alternative Möglichkeiten für den Schutz personenbezogener Daten von EU-Bürgern vor dem Zugriff staatlicher Stellen in den USA existieren, ist eine Datenübermittlung in die USA aktuell nur im Ausnahmefall möglich. Denn die Richter haben zwar Standardvertragsklauseln nicht für grundsätzlich unwirksam erklärt, der Datenexporteur muss aber vor einer Übermittlung in ein Drittland prüfen, ob die in den SVK geforderten Bedingungen vom Datenimporteur überhaupt eingehalten werden können. Gerade in den USA ist dies aber nicht der Fall, denn staatliche Stellen können auf Grundlage des Foreign Intelligence Surveillance Act oder des Cloud Act auf Daten von EU-Bürgern zugreifen, ohne dass der Datenimporteur dies verhindern könnte. Durchsetzbare und wirksame Rechte, wie sie in Art. 46 Abs. 3 lit. b) DSGVO gefordert werden, stehen EU-Bürgern in den USA ebenfalls nicht zur Verfügung.

Lösung neue Standardvertragsklauseln?

Nicht von der Hand zu weisen ist aber, dass viele Unternehmen in der EU auf Diensteanbieter in den USA angewiesen sind und hierfür auch eine Übermittlung personenbezogener Daten erforderlich ist. Genau deshalb arbeitet die EU-Kommission aktuell an neuen Standardvertragsklauseln. Denn so sollen die Vorgaben aus dem “Schrems II Urteil” des EuGH sowie die neuen Empfehlungen des Europäischen Datenschutzausschusses (EDSA) umgesetzt werden.

In dem Vorschlag der Kommission heißt es daher nun, dass die Klauseln – “insbesondere im Lichte der Rechtsprechung des Gerichtshofs” – besondere Garantien vorsehen sollten, “um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands” auf die Einhaltbarkeit der SVK durch den Datenimporteur zu regeln. Dabei gelte es vor allem zu klären, “wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist”.

Die Übermittlung und die Verarbeitung persönlicher Informationen sollten dem Entwurf zufolge nur dann erfolgen, “wenn die Gesetze des Bestimmungsdrittlandes den Datenimporteur nicht daran hindern, diese Klauseln einzuhalten”. Sei es nötig, Übermittlungen in Drittländer zu stoppen, da die SVK nicht eingehalten werden könnten, unterrichte der zuständige Mitgliedsstaat unverzüglich die Kommission. Die Kommission werde dann die entsprechende Botschaft an die anderen EU-Länder weiterleiten.

Inwiefern die neuen Klauseln aber geeignet sind, die durch das weggefallene EU-US-Privacy-Shield entstandene Sicherheitslücke bei US-Datentransfers zu schließen, ist fraglich.

Zwar sollen die neuen SVK auch den Feststellungen des EuGH Urteils „Schrems II“ gerecht werden. Den US-Unternehmen stehen im Zweifel aber keine Mittel zur Verfügung, diese Vereinbarungen in den neuen SVK einzuhalten, also z.B. eine Anfrage von US-Sicherheitsbehörden auf Grundlage von FISA oder Cloud Act abzuwehren oder EU-Bürger über einen solchen Zugriff zu informieren. Sollte dies angenommen werden, dürften die neuen SVK von US-Unternehmen ggf. also überhaupt nicht unterzeichnet werden.

Auch die neuen SVK werden für sich genommen also nicht ausreichen, um eine Datenübermittlung in die USA zu rechtfertigen. Vielmehr müssen, wie es der EDSA formuliert „zusätzliche Maßnahmen“ ergriffen werden, um den Schutz personenbezogener Daten von EU-Bürgern in Drittländern zu erhöhen. Das können z.B. effektive Verschlüsselungen oder vertragliche Abreden darüber sein, dass Anfragen von US-Behörden abgewehrt und betroffene EU-Bürger:innen über eine solche Anfrage unverzüglich informiert werden.

Fazit

Die EU-Kommission hat am 12.11.2020 einen Entwurf für neue Standardvertragsklauseln vorgestellt. Diese können grundsätzlich eine angemessene Garantie für die Datensicherheit bei Drittstaatentransfers darstellen und sind deshalb vor allem für Übermittlungen von personenbezogenen Daten in die USA nach Wegfall des EU-U.S.-Privacy Shields von großer Bedeutung.

Dass die neuen SVK Datenübermittlungen in die USA aber für sich allein genommen wirksam erlauben, ist nicht abzusehen. Vielmehr bleibt eine Datenübermittlung in die USA im Regelfall auch mit neuen SVK weiterhin unzulässig. Wir bei Webersohn & Scholtz haben daher eine Risikoanalyse entwickelt, mit der unter Beachtung der Vorgaben des EuGHs und des EDSA eine Abwägung der Risiken für die betroffenen Personen unter Verwendung von Datenimporteuren mit Sitz in einem Drittland möglich ist. Gerne können Sie sich mit uns in Verbindung setzen, um eine solche Risikoanalyse für Ihre Datenübermittlungen durchzuführen.