Datentransfers in die USA – die Ausgangslage
Am 16. Juli 2020 ging ein großer Ruck durch die Datenschutzwelt: Das sogenannte Schrems-II-Urteil des EuGH erklärte das US-Privacy Shield, das zuvor die Grundlage für Datentransfers in die USA gebildet hatte, für ungültig. Die Folge: Personenbezogene Daten durften plötzlich nicht mehr ohne Weiteres in die USA übermittelt werden. Insbesondere bei der Nutzung von Software-Dienstleistern mit Sitz in den USA stellt das Urteil des EuGH viele Unternehmen vor neue Herausforderungen.
Als Reaktion auf dieses wegweisende Urteil erließ die Europäische Kommission am 4. Juni 2021 neue modular aufgebaute Standardvertragsklauseln (Standard Contractual Clauses, SCC) mit neuen Pflichten für Unternehmen. Diese in vier Modulen aufgebauten SCC bilden seitdem die Grundlage für Datentransfers in die USA oder andere sogenannte „Drittländer“. Sie dürfen ohne Genehmigung durch die Aufsichtsbehörde genutzt werden, wenn das Vertragsmuster der Europäischen Kommission unverändert genutzt wird.
Um den Datentransfer in Drittländer allerdings nach den europäischen Schutzstandards gewährleisten zu können, sind auch noch weitere Maßnahmen erforderlich. Dabei ist insbesondere vom Datenexporteur ein sog. „Transfer Impact Assessment“ durchzuführen. Hierbei handelt es sich um eine Risikobewertung mit welcher überprüft werden soll, ob der Datenempfänger durch geltendes Recht im Drittland gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen. Das Ergebnis dieser Risikobewertung muss durch die Vertragsparteien dokumentiert werden.
Auf was Unternehmen jetzt achten müssen – 6 Maßnahmen
Unternehmen sollten all ihre Datenverarbeitungen und -übermittlungen überprüfen, um insbesondere Altverträge auf die neuen Standardvertragsklauseln umzustellen. Dies muss bis zum 27. Dezember 2022 erfolgen. Denn ab diesem Datum verlieren die alten Standardvertragsklauseln ihre Wirkung und der Datentransfer darf dann nicht mehr auf dieser Grundlage erfolgen.
Um Unternehmen die Umstellung auf die neuen Standardvertragsklauseln zu erleichtern und ihnen einen Überblick über die Änderungen, die mit dem Schrems-II-Urteil einhergehen, zu verschaffen, hat der Europäische Datenschutzausschuss am 18. Juni 2021 neue Empfehlungen zu ergänzenden Maßnahmen bei Drittlandtransfers veröffentlicht. Diese lassen sich in sechs Punkten zusammenfassen:
- Die Datenübermittlungen kennen – Der Datenexporteur sollte einen Überblick über alle Datentransfers sowie deren Art und Weise haben
- Auswahl der eingesetzten Übermittlungsinstrumente wie z. B. Angemessenheitsbeschluss, SCC oder Corporate Binding Rules
- Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments gemäß Artikel 46 DSGVO im Hinblick auf die Gesamtumstände der Übermittlung – Das Übermittlungsinstrument muss gewährleisten, dass das durch die DSGVO geschaffene Schutzniveau nicht durch eine etwaige Übermittlung umgangen wird.
- Zusätzliche Maßnahmen implementieren – Sofern die Prüfung ergibt, dass das in Schritt 3 gewählte Übermittlungsinstrument nicht ausreichend ist, einen angemessenen Schutz von personenbezogenen Daten zu gewährleisten, ist darüber nachzudenken, ob weitere Schutzmaßnahmen zu implementieren sind, welche in technischer, vertraglicher oder organisatorischer Form erfolgen können.
- Gegebenenfalls zusätzliche Verfahrensschritte – wie z. B. Benachrichtigung der Aufsichtsbehörde
- Regelmäßige Überprüfung – Die implementierten Maßnahmen sollten in regelmäßigen Abständen auf ihre Effektivität überprüft werden
In den Vereinigten Staaten von Amerika ist es den Geheimdiensten auf Grundlage von verschiedenen gesetzlichen Vorschriften (z. B. dem Cloud Act) gestattet, einen Großteil ausländischer Daten zu verarbeiten. Ein Datentransfer in den USA steht somit auf wackligen Beinen, auch wenn alternative Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules verwendet werden können.
Das Wichtigste zusammengefasst
Die neuen SCC können zwar als Rechtsgrundlage für einen Drittlandtransfer genutzt werden, dennoch werden weitere Schutzmaßnahmen erforderlich. Eine Datenübermittlung ist nur mit sogenannten „geeigneten Garantien“ möglich. Zu diesen gehören Standardvertragsklauseln in Kombination mit starken Datenschutzmaßnahmen und Corporate Binding Rules.
Autorin:
Rebeka Bosnjak
Privacy Consultant
Rebeka Bosnjak ist Volljuristin und hat in München an der Ludwig-Maximilians-Universität Rechtswissenschaften studiert. Ihr erstes Staatsexamen absolvierte sie im Juli 2018, das zweite folgte nach ihrem Referendariat am OLG München im Oktober 2020. Schon während dieser Zeit entwickelte sie eine gewisse Affinität zum Datenschutzrecht. Dabei liegt es ihr besonders am Herzen, das Recht auf informationelle Selbstbestimmung als eines der höchsten Rechtsgüter zu schützen.