Datentransfer in die USA

Standardvertragsklauseln statt EU-US-Privacy Shield?

| Redakteur: Peter Schmitz

Standardvertragsklauseln könnten für Unternehmen eine zukunftstaugliche Alternative zum EU-US-Privacy-Shield darstellen.
Standardvertragsklauseln könnten für Unternehmen eine zukunftstaugliche Alternative zum EU-US-Privacy-Shield darstellen. (Bild: Pixabay / CC0)

Der EU-US-Privacy-Shield steht seitens der EU unter massiver Kritik: So forderte der Aus­schuss für bürgerliche Freiheiten, Justiz und Inneres des Parlamentes der Europäischen Union (LIBE) mit einer Resolution die Kom­mis­si­on dazu auf, den EU-US-Privacy-Shield zum 1. September auszusetzen, nachzubessern und neu zu verhandeln, wenn sich die USA nicht an die Datenschutzvorgaben hält.

Im Anschluss an die Forderung nach der Aussetzung des U-US-Privacy-Shield zum 1. September 2018 beschloss das Europäische Parlament in einem Entschließungsantrag vom 26.06.2018 der Forderung des LIBE-Ausschusses stattzugeben. Zudem kritisierte die EU-Justizkommissarin Jourova Ende Juli 2018 das in den USA praktizierte Datenschutzniveau und setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy Shields.

Als Alternative für rechtskonforme Datenübertragungen in die USA und zur Gewährleistung eines „angemessenen Datenschutzniveaus“ werden immer häufiger Standardvertragsklauseln als Alternative zum EU-US-Privacy-Shield genannt. Doch auch für diese könnte bald das Aus durch den Europäischen Gerichtshof kommen.

Datenübermittlungen in die USA ein No-Go?

Ist der EU-US-Privacy-Shield in Gefahr?

Datenübermittlungen in die USA ein No-Go?

30.08.18 - Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Daten­trans­fers aus der EU in die USA kritisch betrachtet. Insbesondere der als „EU-US Privacy Shield“ bezeichnete Angemessenheits­beschluss der EU-Kommission, der Datentransfers in die USA ermöglicht, gilt als nicht mehr zukunftssicher. Unternehmen sollten andere Rechtsgrundlagen für den Datentransfer in die USA wählen. lesen

Welche Alternativen gibt es zum Privacy-Shield?

Nach Art. 44 der Datenschutz-Grundverordnung (DSGVO) ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig. Neben dem Privacy Shield bzw. den Angemessenheitsbeschlüssen der Kommission gibt es speziell für konzerninterne Datenübertragungen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll.

Konzernextern bieten sich Standardvertragsklauseln an, um ein angemessenes Datenschutzniveau zu gewährleisten. So kann etwa ein Unternehmen, welches ansässig in der EU ist, mit seinem Auftragsverarbeiter in den USA ergänzend zu einem herkömmlichen Auftragsverarbeitungsvertrag (nach Art. 28 DSGVO) die Standardvertragsklauseln vereinbaren. Durch die von der EU-Kommission entwickelten Klauseln soll sichergestellt werden, dass der Auftragsverarbeiter ein dem EU-Recht entsprechendes Datenschutzniveau einhält.

Retter in der Not? Die Standardvertragsklauseln

Die aktuell gültigen Standardvertragsklauseln der EU-Kommission stammen aus dem Jahr 2010. Werden sie innerhalb eines Auftragsverarbeitervertrages mit einem US-Unternehmen einbezogen, so genügt die Datenübertragung grundsätzlich den Anforderungen der Datenschutz-Grundverordnung.

Hintergrund: Seit 2015 werden diese Standardvertragsklauseln jedoch nach Vorlage des irischen High Courts vom EuGH auf ihre Rechtmäßigkeit überprüft. Im zugrundeliegenden Verfahren argumentierte der Datenschutz-Aktivist und Anwalt Max Schrems, dass die Übertragung von Facebook-Irland (Sitz Facebooks in Europa) auf die Facebook-Server des Mutterkonzerns in den USA gegen das europäische Datenschutzrecht verstoße. Insbesondere die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von EU-Bürgern wurden dabei kritisiert. Ins gleiche Horn stößt auch die aktuelle Kritik des EU-Parlamentes wie der EU-Kommission am Privacy Shield. Vor allem wegen des CLOUD Acts, einem Gesetz, das es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, auch wenn die Speicherung außerhalb der USA erfolgt, hat sich diese Problematik noch weiter zugespitzt.

Facebook hat unterdessen Rechtsmittel vor dem irischen Gericht eingelegt, das die Frage nach der Gültigkeit der Standardvertragsklauseln dem EuGH zur Klärung vorgelegt hat. Es kann jedoch nicht davon ausgegangen werden, dass dieses Rechtsmittel Einfluss auf die Entscheidung des Europäischen Gerichtshofs haben wird, da dieser bereits mit der Rechtsfrage befasst ist und ihm das Verfahren nicht wieder „entzogen“ werden kann.

Die Zukunft der aktuell gültigen Standardvertragsklauseln hängt also von der Entscheidung des EuGHs ab. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, neue Standardvertragsklauseln zu erlassen, welche die Rechtsauffassung des EuGHs, der Behörden und des EU-Parlamentes sowie die aktuellen Entwicklungen in den USA berücksichtigen. Für Unternehmen könnte dies eine zukunftstaugliche Alternative zum EU-US-Privacy-Shield darstellen. Allerdings müssten in diesem Fall auch alle Verträge, die auf den bisherigen Standardvertragsklauseln basieren, neu verfasst und abgeschlossen werden.

Ausblick

Erheblicher Grund zur Besorgnis besteht für Unternehmen derzeit nicht. Die Datenübertragung in die USA ist aktuell noch sowohl auf der Grundlage der Standardvertragsklauseln von 2010 oder dem Privacy Shield möglich. Nur wenn beide Alternativen vom EuGH und/oder der Kommission zeitgleich für nicht angemessen bzw. unwirksam erklärt werden würden, wäre (außerhalb von Binding Corporate Rules) eine rechtmäßige Datenübertragung in die USA ausgeschlossen. Da die Kommission um die Bedeutung solcher Datenübertragungen für EU-Unternehmen weiß, ist zu hoffen, dass eine Alternative mit genügend Vorlaufzeit zur Anpassung entwickelt wird, bevor der Privacy Shield und die EU-Standardvertragsklauseln als Rechtsgrundlage entfallen.

Aktuelle Ausführungen der US-Regierung lassen den Schluss zu, dass das bevorstehende erste US-Bundesgesetz zum Datenschutz eher weite Zugriffsmöglichkeiten für Unternehmen und Behörden auf personenbezogene Daten ermöglicht und damit die Kritik aus Europa weiter befeuern wird. Die neuen Standardvertragsklauseln der Kommission könnten dann das Instrument der Zukunft für Datenübertragungen in die USA werden, da das neue US-Bundesgesetz nicht den Anforderungen der EU-Justizkommissarin Jourova entspricht und damit den Privacy Shield zuerst zum Scheitern bringen könnte, worauf die Kommission durch neue Standardvertragsklauseln reagieren kann.

Simone Rosenthal
Simone Rosenthal (Bild: SWD-Rechtsanwälte)

Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für Digitalisierung & Recht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45484261 / Compliance und Datenschutz )