EU-US-Datentransfer: Entwurf neuer Standardvertragsklauseln – aber noch keine Lösung

EU-US-Datentransfer: Entwurf neuer Standardvertragsklauseln – aber noch keine Lösung

3 min.

In den Prozess um eine legale Datenübermittlung in Drittstaaten kommt erneut Bewegung: Nach dem Aus für den transatlantischen „Privacy Shield“ soll nach dem Willen der EU-Kommission mit neuen „Standardvertragsklauseln“ (SCC) der Transfer von Kundendaten aus der EU in Drittstaaten wie die USA zumindest eingeschränkt möglich bleiben.

Ein entsprechender Entwurf der EU-Kommission wurde durch den Europäischen Datenschutzausschuss (EDSA) wohlwollend aufgenommen. Rechtssicherheit besteht jedoch noch nicht – eine endgültige Verabschiedung der neuen SCC durch die Kommission steht noch aus und die Frage deren Wirksamkeit ist immer noch offen.

Sobald Rechtssicherheit besteht, werden wir unsere Kunden informieren. Bis dahin bleibt es bei den empfohlenen Übergangsmaßnahmen (siehe Kundenmitteilung vom 30. September 2020: Nach dem Privacy Shield – jetzt handeln! – Datenschutz-Beratung (ecovis.com))

Entwurf neuer Standardvertragsklauseln

Nachdem der EuGH im Juli 2020 das Privacy Shield für ungültig erklärte, soll nach dem Willen der EU-Kommission mit neuen „Standardvertragsklauseln“ (SCC) der Transfer von Kundendaten aus der EU in Drittstaaten wie die USA zumindest eingeschränkt möglich bleiben.

Hintergrund der Entscheidung ist insbesondere die mögliche Massenüberwachung durch Sicherheitsbehörden wie FBI und NSA durch die FISA-Regelung oder den Cloud Act. Der Datenschutzstandard in den Vereinigten Staaten sei so nicht mit dem der EU vergleichbar.

Die Standardvertragsklauseln für Verantwortliche und ihre Auftragsverarbeiter werden eine EU-weite Wirkung haben und zielen darauf ab, eine vollständige Harmonisierung und Rechtssicherheit in der gesamten EU zu gewährleisten.

Umgang mit ausländischen Behördenanfragen – Betroffene sollen benachrichtigt werden

Den wesentlichen Kern der Ergänzung stellt der Umgang mit ausländischen Behördenanfragen dar. In solchen Fällen soll zukünftig eine Information der betroffenen Kunden, Mitarbeiter oder Geschäftspartner (ergo der „Betroffenen“) der verantwortlichen Unternehmen erfolgen.

Der Auftragsverarbeiter soll mit einem Anhang zu den SCC zusagen, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Informationen erhält. Sollte ihm dies rechtlich untersagt sein, so hat er sich „nach besten Kräften um eine Aufhebung des Verbots“ zu bemühen. Zudem soll die Stelle, die Daten bezieht, „alle verfügbaren Rechtsmittel“ ausschöpfen.

Der EDSA  befürwortet vor allem, dass die neuen Verträge spezifischeren Schutz vor allem bei verbindlichen Ersuchen von Behörden zur Offenlegung personenbezogener Daten vorsähen. Dadurch entsprechen sie eher den Anforderungen der Datenschutz-Grundverordnung und des „Schrems-II-Urteils“ des EuGH.

Rollen und Verantwortlichkeiten festlegen

Auch der parallele Entwurf der Kommission für Muster-Datenschutzklauseln zwischen Firmen oder Behörden und Auftragsverarbeitern, die ihren Sitz in der EU haben, trifft bei den europäischen Datenschutzbeauftragten auf überwiegende Zustimmung. Dieser enthält unter anderem sogenannte „Andockklausel“, die es weiteren Stellen ermöglicht, den SCCs beizutreten, sowie weitere Aspekte, die die Pflichten der Auftragsverarbeiter betreffen.
Der Bundesdatenschutzbeauftragte Ulrich Kelber würdigte den Entwurf: Der angenommene Vorschlag könnte „Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen, ohne Einschränkungen beim Datenschutz zu machen“.
Ob er das allerdings angesichts der hohen Hürden durch die rechtstaatlich zweifelhafte US-amerikanische Gesetzgebung tatsächlich leisten wird, wird von der neuen US-Regierung abhängen.

Axel Keller
Rechtsanwalt in Rostock
Tel.: +49 381 12 88 49 0