SBS Firmengruppe Logos

| Datenschutzrecht

Nach „Privacy Shield“-Aus: Überarbeitete Standardvertragsklauseln


Überarbeitete Standardvertragsklauseln sollen neue EU-Basis für globale Datentransfers liefern

Bereits im Juli 2020 berichteten wir über den Sieg von Max Schrems vor dem EuGH, durch dessen Klage das transatlantische Datenabkommen „Privacy Shield“ zwischen der EU und den USA als ungültig erklärt wurde (den Artikel finden Sie hier). Dies hatte jedoch zur Folge, dass zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA weggefallen ist und auch die geltende Praxis der Standardvertragsklauseln ins Wanken geriet. Das Resultat war eine massive Rechtsunsicherheit für Unternehmen mit einer Datenverarbeitung in den USA. Nun hat die EU-Kommission die überarbeiteten Standardvertragsklauseln (SVK) befürwortet und veröffentlicht, welche beim Übermitteln von Daten in die USA angewendet werden können und so die Weitergabe von personenbezogenen Daten aus der EU in Drittstaaten rechtssicherer machen soll.

Standardvertragsklauseln werden an EuGH-Rechtsprechung und DSGVO angepasst

In ihrem Urteil aus dem Vorjahr stellten die EuGH-Richter erneut fest, dass der Datenschutzstandard in den USA nicht dem der EU entspreche und die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden den Richtern zu weit gehen. NSA, FBI und andere dürfen nach dem amerikanischen Foreign Intelligence Surveillance Act (FISA) selbst ohne richterlichen Beschluss die Daten ausländischer Nutzer durchsuchen, wie die Enthüllungen von Edward Snowden zeigten. Nachdem der EuGH nun das bisherige Abkommen als ungültig deklarierte, hielt die EU-Kommission es für angebracht die SVK als verbliebenes alternative Instrument für Datenübermittlungen an die EuGH-Rechtsprechung und die Anforderungen der Datenschutzgrundverordnung (DSGVO) anzupassen.

Die überarbeiteten SVK liefern so erstmals Garantien, „um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Insbesondere gilt es vorab zu klären, „wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist“. Die treibende Motivation hierbei liegt darin, dass die Klauseln nicht im Widerspruch zu den Grundrechten und -freiheiten stehen, welche in einer demokratischen Gesellschaft notwendig sind.

Betroffene sollen über Datenabfrage zu personenbezogenen Daten informiert werden

datentransfer,datenschutz,eu,usaMit den neuen SVK soll der Betroffene über Datenabfragen zu personenbezogenen Daten durch den Datenimporteur informiert werden. Wenn der Datenimporteur also einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Daten erhält, soll er mit einem Zusatz zu den SVK zusagen, den oder die Betroffenen unverzüglich darüber in Kenntnis zu setzen. Hierbei soll dem Betroffenen Details zu den angeforderten personenbezogenen Informationen, das anfragende Amt sowie die Rechtsgrundlage für den Antrag und die erteilte Antwort dargelegt werden. Sofern dem Importeur dieser Schritt untersagt wird, muss er sich „nach besten Kräften um eine Aufhebung des Verbots“ bemühen. Die Daten beziehende Stelle muss außerdem gegebenenfalls „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen. Des Weiteren sollen dem Betroffenen gegenüber die laut dem SVK-Anhang vorgenommen Maßnahmen angegeben werden, mit welchen die Menge der persönlichen Daten von einem Transfer möglichst geringgehalten, psyeudonymisiert und verschlüsselt werden. Auch müssen die Lieferanten sicherstellen, dass sie die nötigen zusätzlichen Voraussetzungen erfüllen und Vorkehrungen treffen, sofern die Verarbeitung über einen externen Dienstleister läuft.

Bitkom fordert bessere politische Lösungen für Drittstaatentransfers

Die EU-Kommission veröffentlichte zusätzlich Muster-Datenschutzklauseln zwischen Firmen oder Behörden und Auftragsverarbeitern, welche ihren Sitz in der EU haben. Sie hebt hervor, die Bedürfnisse und Erwartungen aller Betroffenen berücksichtigt zu haben. Nach dem Urteil des EuGH und den daraus folgenden Unklarheiten, kam es der Kommission darauf an, „benutzerfreundliche Instrumente zu entwickeln, auf die sich Unternehmen voll und ganz verlassen können“.

Laut des IT-Verbandes Bitkom sei es essenziell, dass global aktive Unternehmen ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können, weswegen diese Maßnahmen ein richtiger Schritt seien. Allerdings würden die überarbeiteten Klauseln die Problematik der Einzelfallprüfung nicht lösen und somit die Konzerne vor einen enormen Umstellungsaufwand stellen. Viele Unternehmen könnten dies kaum leisten, da sie zusätzliche Schutzmaßnahmen implementieren müssen, die Konkretisierung allerdings der internen Bewertung überlassen sei. Aus diesem Grund fordert Bitkom bessere politische Lösungen für Drittstaatentransfers. Die Unternehmen sollen von den Einzelbewertungen befreit werden, wofür mehr grundsätzliche Angemessenheitsentscheidungen für wichtige Länder außerhalb der EU – wie die USA – entscheidend sind, um den Datenaustausch dauerhaft abzusichern.

Einige Stimmen verlangen, dass Daten einfach ausschließlich in der EU verarbeitet werden sollen. Dies sei laut Bitkom jedoch keine Lösung, da europäische Firmen mit Forschungszentren in den USA oder Indien, wie z.B. solche aus dem Gesundheitsbereich, genauso betroffen wären wie IT-Dienstleister, welche einen Support über alle Zeitzonen hinweg absichern.

SBS Legal – Rechtsanwälte für Datenschutzrecht

Ist Ihr Unternehmen von den Standardvertragsklauseln betroffen oder haben Sie weitere Fragen zum Thema Datenschutzrecht auf globaler Ebene? Dann sind Sie bei SBS Legal – Kanzlei für Datenschutzrecht genau richtig!

Die Rechtsanwälte von SBS Legal greifen auf jahrelange Erfahrung bei dem Begründen und Halten von Datensicherheit zurück. Auch beraten wir täglich Unternehmen mit Geschäftssitz außerhalb der Europäischen Union, bei denen vor allem die rechtmäßige Übermittlung von personenbezogenen Daten in ein EU-Drittland sicherzustellen ist.

Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.

Sie brauchen Hilfe im Datenschutzrecht? 

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Der Erstkontakt zu den Anwälten der SBS LEGAL ist immer kostenlos.

 


SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht