Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von RA Phil Salewski

Nach Wegfall des EU-US-Privacy Shield: EU-Kommission präsentiert offiziellen Entwurf für neue Standardvertragsklauseln

News vom 26.11.2020, 10:53 Uhr | Keine Kommentare

Die Kassation des EU-US-Privacy Shield zum 16.07.2020 durch den EuGH traf nicht nur Seitenbetreiber unerwartet, sondern auch die EU-Gesetzgebungsorgane selbst. Diese waren nun gehalten, eine neue Lösung zu erarbeiten, um die sichere Übermittlung von Daten aus der EU in Drittländer zu gewährleisten und dabei die gerichtlichen Feststellungen umzusetzen. Am 12.11.2020 hat die EU-Kommission mit dem Entwurf neuer Standardvertragsklauseln (SCCs) ein vorläufiges Ergebnis vorgestellt. Die Klauseln sollen nach Vorstellung der Kommission künftig als geeignete Garantie für Datenübermittlungen in Drittländer dienen. Die IT-Recht Kanzlei stellt die Klauseln vor und geht der Frage nach, ob sie – vor allem für Datentransfers in die USA – ausreichen.

I. Standardvertragsklauseln als geeignete Garantien für internationale Datentransfers

Die Datenschutzgrundverordnung (DSGVO) geht von dem Grundsatz aus, dass nur der Transfer personenbezogener Daten innerhalb der EU unbegrenzt sicher ist.

Für Übermittlungen von Daten aus der EU in das außereuropäische Ausland fordert die DSGVO in Art. 46 DSGVO dahingegen geeignete Datensicherheitsgarantien.

Dies können einerseits sogenannte Angemessenheitsbeschlüsse sein, welche die EU-Kommission für gewisse Länder erlässt, in denen sie ein mit der EU vergleichbar hohes Datenschutzniveau feststellt (erlassen etwa für Argentinien, Andorra, Israel, Kanada, die Schweiz sowie weitere Staaten).

Auch unter die Angemessenheitsbeschlüsse fiel das EU-US-Privacy Shield, welches allerdings am 16.07.2020 durch den EuGH gekippt wurde.

Als zweite Alternative sind andererseits die sogenannten Standardvertragsklauseln (englisch: Standard Contractual Clauses – SCCs) von Bedeutung, die – einmal von der EU-Kommission amtlich genehmigt – zwischen Datenverantwortlichen in der EU und in außereuropäischen Ausland zur vertraglichen Grundlage für sichere Datentransfers gemacht werden können.

II. EU-Kommission präsentiert Entwurf modernisierter Standardvertragsklauseln

Augenscheinlich vor allem durch die Ungültigkeitsentscheidung bezüglich des EU-US-Privacy Shield motiviert, hat die EU-Kommission am 12.11.2020 den Entwurf neuer Standardvertragsklauseln vorgestellt.

Nach Wegfall der entscheidenden Rechtsgrundlage für den wirtschaftlich bedeutsamen EU-US-Datenverkehr war schnelles Handeln erforderlich, um das datenschutzrechtliche Risiko von Unternehmen im transatlantischen Wirtschaftsverkehr zu adressieren.

Das Privacy Shield war gekippt worden, weil US-amerikanische Gesetze wie der "Cloud Act" US-Sicherheitsbehörden unkontrollierbare Zugriffe auf EU-Datenbestände ermöglichten, die in die USA übermittelt wurden.

Dieser Problematik versucht die Kommission nun in den neuen Klauseln zu begegnen.

Gemäß der Kommission sollen die neuen Klauseln „Garantien vorsehen, um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf den Schutz der Daten zu regeln.

Dabei sollen die Klauseln vor allem verbindliche Regelungen für den Datenimporteur dahingehend treffen, "wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist".

Wesentliches Prinzip der neuen Klauseln ist, dass internationale Datentransfers nur dann sollen vollzogen werden können, „wenn die Gesetze des Bestimmungsdrittlandes den Datenimporteur nicht daran hindern, diese Klauseln einzuhalten".

Die Klauseln greifen auch ein vom EuGH angemerktes weiteres Manko auf: Unter dem EU-US-Privacy Shield wurden EU-Betroffene über behördliche Zugriffsanfragen in den USA nicht unterrichtet, wussten im Zweifel also nicht um diese Datenpreisgaben.

Dies soll sich nun ändern. In dem Klauselentwurf wird eine Pflicht des Datenimporteurs etabliert, Betroffene unverzüglich zu informieren, wenn eine ausländische Behörde einen Antrag auf Herausgabe der Betroffenendaten stellt.

Wird dem Importeur eine Benachrichtigung behördlich untersagt, soll er sich dem Entwurf nach bestmöglich um eine Aufhebung der Untersagung bemühen und im Zweifel „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags ausschöpfen“.

Der Entwurf zum neuen Standardvertragsklauselwerk kann in englischer Sprache hier abgerufen werden.

Banner Starter Paket

III. Wann treten die neuen Klauseln in Kraft?

Bis zum Inkrafttreten der neuen Klauseln kann es noch dauern.

Beim von der Kommission vorlegten Regelwerk handelt es sich um einen ersten Entwurf, der nun zur Konsultation offensteht. Die Stellungnahmefrist endet am 10.12.2020.

Gegebenenfalls wird der Entwurf im Anschluss noch modifiziert, bevor er von der Kommission offiziell verabschiedet wird. Widersprüche von Mitgliedsstaaten sind möglich.

IV. Heilen die neuen Klauseln die Datensicherheit für US-Transfers?

Inwiefern die neuen Klauseln geeignet sind, die durch das weggefallene EU-US-Privacy-Shield entstandene Sicherheitslücke bei US-Datentransfers zu schließen, ist fraglich.

Zwar adressieren die Klauseln entscheidende gerichtliche Feststellungen des EuGH dazu, was für datensichere Übermittlungen in die USA nötig wäre, nämlich: die Beschneidung des Zugriffs ausländischer Behörden auf die Datenbestände und die Benachrichtigung von EU-Betroffenen über solche Zugriffsanträge.

Das US-Problem vermögen sie aber nicht zu beheben, sondern legen allein dem Datenimporteur alle Pflichten auf, um die Auswirkungen nationaler US-Gesetze auf die Datensicherheit bestmöglich zu regulieren.

Die bloßen Standard-Klauseln können insofern die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, nicht aufheben.

Nach Ansicht führender Datenschützer wären daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, um eine „angemessene Garantie“ für EU-Us-Transfers zu bieten. Standardvertragsklauseln sollen für sich genommen gerade nicht ausreichen.

Ob unter Berufung auf ein neues Vertragswerk der EU-Kommission das Risiko rechtswidriger Datenübermittlungen in die USA vollständig behoben werden kann, bleibt also abzuwarten.

V. Fazit

Die EU-Kommission hat am 12.11.2020 einen Entwurf für neue Standardvertragsklauseln vorgestellt.

Diese können nach der DSGVO eine angemessene Garantie für die Datensicherheit bei Drittstaatentransfers bieten und sind vor allem für US-Transfers nach Wegfall des Privacy Shield von großer Bedeutung.

Die neuen Klauseln sollen die Zugriffsmöglichkeiten von ausländischen Behörden auf Datenbestände beschneiden und eine bessere Informationspolitik für Betroffene ermöglichen, können die geltenden ausländischen Gesetze aber natürlich weder umgehen noch aushebeln.

Nach einer Konsultationsphase, die am 10.12.2020 endet, plant die EU-Kommission die offizielle Verabschiedung der Klauseln – vorausgesetzt, die Mitgliedsstaaten widersprechen nicht.

Ob die neuen Klauseln das Risiko rechtswidriger Datenübermittlungen vor allem in die USA aber wirksam aufheben, bleibt abzuwarten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller