Nach Wegfall des EU-US-Privacy Shield: EU-Kommission präsentiert offiziellen Entwurf für neue Standardvertragsklauseln

Die Kassation des EU-US-Privacy Shield zum 16.07.2020 durch den EuGH traf nicht nur Seitenbetreiber unerwartet, sondern auch die EU-Gesetzgebungsorgane selbst. Diese waren nun gehalten, eine neue Lösung zu erarbeiten, um die sichere Übermittlung von Daten aus der EU in Drittländer zu gewährleisten und dabei die gerichtlichen Feststellungen umzusetzen. Am 12.11.2020 hat die EU-Kommission mit dem Entwurf neuer Standardvertragsklauseln (SCCs) ein vorläufiges Ergebnis vorgestellt. Die Klauseln sollen nach Vorstellung der Kommission künftig als geeignete Garantie für Datenübermittlungen in Drittländer dienen. Die IT-Recht Kanzlei stellt die Klauseln vor und geht der Frage nach, ob sie – vor allem für Datentransfers in die USA – ausreichen.

I. Standardvertragsklauseln als geeignete Garantien für internationale Datentransfers

Die Datenschutzgrundverordnung (DSGVO) geht von dem Grundsatz aus, dass nur der Transfer personenbezogener Daten innerhalb der EU unbegrenzt sicher ist.

Für Übermittlungen von Daten aus der EU in das außereuropäische Ausland fordert die DSGVO in Art. 46 DSGVO dahingegen geeignete Datensicherheitsgarantien.

Dies können einerseits sogenannte Angemessenheitsbeschlüsse sein, welche die EU-Kommission für gewisse Länder erlässt, in denen sie ein mit der EU vergleichbar hohes Datenschutzniveau feststellt (erlassen etwa für Argentinien, Andorra, Israel, Kanada, die Schweiz sowie weitere Staaten).

Auch unter die Angemessenheitsbeschlüsse fiel das EU-US-Privacy Shield, welches allerdings am 16.07.2020 durch den EuGH gekippt wurde.

Als zweite Alternative sind andererseits die sogenannten Standardvertragsklauseln (englisch: Standard Contractual Clauses – SCCs) von Bedeutung, die – einmal von der EU-Kommission amtlich genehmigt – zwischen Datenverantwortlichen in der EU und in außereuropäischen Ausland zur vertraglichen Grundlage für sichere Datentransfers gemacht werden können.

II. EU-Kommission präsentiert Entwurf modernisierter Standardvertragsklauseln

Augenscheinlich vor allem durch die Ungültigkeitsentscheidung bezüglich des EU-US-Privacy Shield motiviert, hat die EU-Kommission am 12.11.2020 den Entwurf neuer Standardvertragsklauseln vorgestellt.

Nach Wegfall der entscheidenden Rechtsgrundlage für den wirtschaftlich bedeutsamen EU-US-Datenverkehr war schnelles Handeln erforderlich, um das datenschutzrechtliche Risiko von Unternehmen im transatlantischen Wirtschaftsverkehr zu adressieren.

Das Privacy Shield war gekippt worden, weil US-amerikanische Gesetze wie der "Cloud Act" US-Sicherheitsbehörden unkontrollierbare Zugriffe auf EU-Datenbestände ermöglichten, die in die USA übermittelt wurden.

Dieser Problematik versucht die Kommission nun in den neuen Klauseln zu begegnen.

Gemäß der Kommission sollen die neuen Klauseln „Garantien vorsehen, um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf den Schutz der Daten zu regeln.

Dabei sollen die Klauseln vor allem verbindliche Regelungen für den Datenimporteur dahingehend treffen, "wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist".

Wesentliches Prinzip der neuen Klauseln ist, dass internationale Datentransfers nur dann sollen vollzogen werden können, „wenn die Gesetze des Bestimmungsdrittlandes den Datenimporteur nicht daran hindern, diese Klauseln einzuhalten".

Die Klauseln greifen auch ein vom EuGH angemerktes weiteres Manko auf: Unter dem EU-US-Privacy Shield wurden EU-Betroffene über behördliche Zugriffsanfragen in den USA nicht unterrichtet, wussten im Zweifel also nicht um diese Datenpreisgaben.

Dies soll sich nun ändern. In dem Klauselentwurf wird eine Pflicht des Datenimporteurs etabliert, Betroffene unverzüglich zu informieren, wenn eine ausländische Behörde einen Antrag auf Herausgabe der Betroffenendaten stellt.

Wird dem Importeur eine Benachrichtigung behördlich untersagt, soll er sich dem Entwurf nach bestmöglich um eine Aufhebung der Untersagung bemühen und im Zweifel „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags ausschöpfen“.

III. Wann treten die neuen Klauseln in Kraft?

Bis zum Inkrafttreten der neuen Klauseln kann es noch dauern.

Beim von der Kommission vorlegten Regelwerk handelt es sich um einen ersten Entwurf, der nun zur Konsultation offensteht. Die Stellungnahmefrist endet am 10.12.2020.

Gegebenenfalls wird der Entwurf im Anschluss noch modifiziert, bevor er von der Kommission offiziell verabschiedet wird. Widersprüche von Mitgliedsstaaten sind möglich.

IV. Heilen die neuen Klauseln die Datensicherheit für US-Transfers?

Inwiefern die neuen Klauseln geeignet sind, die durch das weggefallene EU-US-Privacy-Shield entstandene Sicherheitslücke bei US-Datentransfers zu schließen, ist fraglich.

Zwar adressieren die Klauseln entscheidende gerichtliche Feststellungen des EuGH dazu, was für datensichere Übermittlungen in die USA nötig wäre, nämlich: die Beschneidung des Zugriffs ausländischer Behörden auf die Datenbestände und die Benachrichtigung von EU-Betroffenen über solche Zugriffsanträge.

Das US-Problem vermögen sie aber nicht zu beheben, sondern legen allein dem Datenimporteur alle Pflichten auf, um die Auswirkungen nationaler US-Gesetze auf die Datensicherheit bestmöglich zu regulieren.

Die bloßen Standard-Klauseln können insofern die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, nicht aufheben.

Nach Ansicht führender Datenschützer wären daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, um eine „angemessene Garantie“ für EU-Us-Transfers zu bieten. Standardvertragsklauseln sollen für sich genommen gerade nicht ausreichen.

Ob unter Berufung auf ein neues Vertragswerk der EU-Kommission das Risiko rechtswidriger Datenübermittlungen in die USA vollständig behoben werden kann, bleibt also abzuwarten.

V. Fazit

Die EU-Kommission hat am 12.11.2020 einen Entwurf für neue Standardvertragsklauseln vorgestellt.

Diese können nach der DSGVO eine angemessene Garantie für die Datensicherheit bei Drittstaatentransfers bieten und sind vor allem für US-Transfers nach Wegfall des Privacy Shield von großer Bedeutung.

Die neuen Klauseln sollen die Zugriffsmöglichkeiten von ausländischen Behörden auf Datenbestände beschneiden und eine bessere Informationspolitik für Betroffene ermöglichen, können die geltenden ausländischen Gesetze aber natürlich weder umgehen noch aushebeln.

Nach einer Konsultationsphase, die am 10.12.2020 endet, plant die EU-Kommission die offizielle Verabschiedung der Klauseln – vorausgesetzt, die Mitgliedsstaaten widersprechen nicht.

Ob die neuen Klauseln das Risiko rechtswidriger Datenübermittlungen vor allem in die USA aber wirksam aufheben, bleibt abzuwarten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.