Neue Standardvertragsklauseln

Datenübermittlung in die USA und in Drittstaaten

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt.  
Der EuGH hält das Datenschutzniveaus in den USA nicht für angemessen, da das Privacy Shield-Abkommen keinen ausreichenden Schutz biete gegenüber nachrichtendienstlichen Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet werden bzw. dorthin übermittelt werden.
Durch die Ungültigkeit des Angemessenheitsbeschlusses kann mit sofortiger Wirkung keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden.
Ob und wann ein „Ersatz“ für die Privacy Shield-Vereinbarung vorhanden sein wird, ist aktuell nicht abzusehen. Augrund des Regierungswechsels in den USA und der vorhandenen nachrichtendienstlichen Rechtslage kann dies voraussichtlich noch einige Zeit in Anspruch nehmen.

Was müssen Unternehmen nach dem Urteil tun?

Unternehmen und Start-ups sollten überprüfen, welche Dienstleister personenbezogenen Daten in Drittländern verarbeiten. Die bisher hierfür genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. ersetzt werden. Außerdem sollten die Verarbeitungsverzeichnisse und die Datenschutzerklärungen angepasst und Hinweise auf Privacy Shield als Garantie für eine Datenübermittlung entfernt werden.
  • Abschluss von Standardvertragsklauseln
Eine mögliche Garantie für Datenübermittlungen in die USA sind sogenannte Standardvertragsklauseln. Dies sind vorgefertigte Vertragsmuster der EU-Kommission für die Übermittlung von Daten von Ländern der Europäischen Union in Drittländer (Nicht-EU-Länder).
Diese Standardvertragsklauseln sind gemäß den Anforderungen des EuGH aus dem Schrems II-Urteil von der Europäischen Kommission an die Anforderungen der DSGVO angepasst und am 4. Juni 2021 veröffentlicht worden. Dabei gibt es zwei Sets von Standardvertragsklauseln, die abgechlossen werden können. Ein Set betrifft Datenübermittlungen zwischen Unternehmer und dem Auftragsverarbeiter und ein Set ist für die Übermittlung personbezogener Daten in Drittstaaten vorgesehen. Diese Vertragsmuster müssen unverändert übernommen werden. Werden Daten in Drittstaaten/die USA übermittelt, sind die neuen Standardvertragsklauseln abzuschließen. Bestehende Vertragsverhältnisse bei denen bisher personenbezogene Daten in Drittstaaten/die USA übermittelt werden und bei denen die Datenübermittlung auf die bisherigen Standardvertragsklauseln gestützt wurden, sind auf die neuen Standardvertragsklauseln anzupassen. Für die Anpassung bestehender Vertragsverhältnisse an die neuen Standardvertragsklauseln war eine Übergangsfrist von 18 Monaten vorgesehen. Die Frist endete am 27. Dezember 2022. Wurden also für Datenübermittlungen bisher die “alten” Standardvertragsklauseln verwendet, mussten diese bis zum 27. Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden. Falls noch nicht geschehen, sollten Unternehmen und Start-ups mit Datenübermittlungen in Drittländer  die Datenempfänger um die Vorlage der neuen Standardvertragsklauseln bitten, oder diesen die neuen Standardvertragsklauseln zur Unterschrift vorlegen. Letztlich gilt dies auch für alle anderen Drittstaaten (z.B. Russland, Indien, China), die kein der EU angemessenes Datenschutzniveau gewährleisten können.
Im Dezember 2022 hat die EU-Kommission ein förmliches Verfahren zur Annahme eines Angemessenheitsbeschlusses für die Datenübermittlung in die USA eingeleitet. Mit einem Angemessenheitsbeschluss für ein angemessenes Schutzniveau beim Datenempfänger wäre es möglich internationale Datenübermittlungen in die USA auch ohne Standardvertragsklauseln durchzuführen. Bis der Angemessenheitsbechluss verabschiedet ist, sind allerdings die neuen Standardvertragsklauseln abzuschließen.

Wie können Sie konkret vorgehen?

  1. Bestandsaufnahme betriebsintern
  • Werden Daten von Kunden, Mitgliedern, Usern, etc. in Drittstaaten (insbesondere USA) verarbeitet?
  • Werden Daten von Kunden, Mitgliedern, Usern, etc. von Unternehmen verarbeitet, deren Sitz sich in den USA befindet?
2. Bestandsaufnahme der in Anspruch genommenen Sub-Dienstleister
  • Setzen Dienstleister und Auftragsverarbeiter Anbieter aus Drittsaaten/USA ein? (Z. B. Webhoster, Buchhaltungsdienst)
3. Vereinbarung der SCC
  • Unternehmen aus Drittstaaten müssen um die Vorlage neuer Standardvertragsklauseln gebeten werden
  • Austragsverarbeiter müssen gefragt werden, ob Standardvertragsklauseln mit deren Subunternehmern in Drittstaaten geschlossen wurden
 4. Überprüfung der technischen Schutzmaßnahmen
  • Anbieter aus Drittstaaten müssen um Nennung von Sicherheitsmaßnahmen gebeten werden (z. B. Verschlüsselung)
  • Auftragsverarbeiter müssen gefragt werden, ob deren Subunternehmer Schutzmaßnahmen nachgewiesen haben
Obige Vorgänge sind zu dokumentieren und protokollieren.
Der Abschluss der Standardvertragsklauseln reicht im Einzelfall allein nicht aus.
Erforderlich ist außerdem
  • die Prüfung des Vertragstextes der Standardvertragsklauseln. Es muss das richtige Set gewählt worden sein und die Klauseln dürfen inhaltlich nicht verändert worden sein. Die Anhänge zu den Standardvetragsklauslen müssen ordnungsgemäß ausgefüllt sein.
  • das durch die Standardvertragsklauseln zugesagte Datenschutzniveau muss auch tatsächlich eingehalten werden. Insbesondere in Bezug auf Datenübermittlungen in die USA ist zu prüfen, ob das Risiko des Zugriffs auf die Daten durch US-Behörden und nachrichtendienstliche Anordnungen verhindert wird.
Zur Ergänzung der Standardvertragsklauseln wird auch auf die Orientierungshilfe des Landesdatenschutzbeauftragten Baden-Württembergs hingewiesen.
Achtung bei Subunternehmern: Setzt der Dienstleister und Datenempfänger im Drittstaat seinerseits Subunternehmer ein, sehen die Standardvertragsklauseln nun auch die Konstellation vor, dass der Dienstleister die Klauseln direkt mit dem Subunternehmer abzuschließt.
  • Daten innerhalb der EU speichern
Viele größere US-Anbieter, bieten inzwischen aber die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden. Daher sollten Unternehmen Ihre US-Dienstleister nach EU-Servern fragen und möglichst in europäischen Rechenzentren ihre Datenhaltung betreiben. Ob dies ein “sicherer” Weg ist, lässt sich abschließend nicht sagen. Das Risiko bei datenübermittlungen in die USA liegt grundsätzlich potentiell im relativ leichten Zugriff auf Daten durch US-Behörden. Dennoch dürfte es gegenüber den Aufsichtsbehörden ein positives Zeichen sein, sich um eine Datenverarbeitung außerhalb der USA zu bemühen.
  •  Ausnahmen vom Abschluss der Standardvertragsklauseln
Art. 49 DSGVO enthält verschiedene Ausnahmen, wonach personenbezogene Daten transferiert werden können, ohne dass es dem Abschluss formaler Standardvertragsklauseln oder Angemessenheitsbeschlüssen bedarf. Unternehmen sollten daher prüfen, ob ihre Datenübermittlung unter diese Ausnahmen fallen könnten. Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland  eingewilligt hat und über das fehlende angemessene
Datenschutzniveau informiert wurde. Eine Übermittlung von Kundendaten ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen selbst veranlasst hat. Beispielsweise die Übermittlung von Name, Anschrift und Kontaktdaten für die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.
Ist die Übermittlung in die USA unzulässig, können die üblichen Sanktionen durch Aufsichtsbehörden drohen. Es könnte die Unterlassung des Einsatzes von Diensten und Dienstleistern verlangt oder Bußgelder (bis 4 Prozent des Umsatzes eines Unternehmens) verhängt werden.