US-Datentransfer: Datenschützer befürworten neue Standardvertragsklauseln
Die EU-Datenschutzbeauftragten stellen sich im Kern hinter den Entwurf der EU-Kommission für eine "Privacy-Shield"-Alternative, fordern aber noch Korrekturen.
(Bild: mixmagic/Shutterstock.com)
Nach dem Aus für den transatlantischen "Privacy Shield" soll nach dem Willen der EU-Kommission mit neuen "Standardvertragsklauseln" (SVK) der Transfer von Kundendaten aus der EU in Drittstaaten wie die USA zumindest eingeschränkt möglich bleiben. Der Europäische Datenschutzausschuss (EDSA) und der EU-Datenschutzbeauftragte Wojciech Wiewiórowski unterstützen prinzipiell diese Vorgehensweise. Die EDSA-Vorsitzende Andrea Jelinek lobte, dass SVK damit das Zeug hätten, ein "einheitliches, starkes und EU-weites Werkzeug zur Rechenschaftslegung" zu werden.
Umgang mit ausländischen Behördenanfragen
Der Europäische Gerichtshof (EuGH) hatte den Datenschutzschild mit den USA im Juli für zu löchrig erklärt und gekippt. Die Luxemburger Richter stellten dabei erneut fest, dass dortige Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichten. Der Datenschutzstandard in den Vereinigten Staaten entspreche so nicht dem in der EU.
Die geplanten neuen Transferklauseln sollen laut der Kommission in diesem Lichte besondere Garantien vorsehen, "um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands" auf die Einhaltbarkeit der SVK durch den Datenimporteur zu regeln. Dabei gelte es vor allem zu klären, wie damit umzugehen ist, wenn Behörden in Drittländern verbindlich die Weitergabe personenbezogener Daten ersuchen.
Betroffene sollen benachrichtigt werden
Der Datenimporteur soll mit einem Anhang zu den SVK zusagen, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Informationen erhält. Wenn ihm dies untersagt ist, muss er sich "nach besten Kräften um eine Aufhebung des Verbots" bemühen. Zudem soll die Stelle, die Daten bezieht, "alle verfügbaren Rechtsmittel" ausschöpfen.
Der EDSA und Wiewiórowski begrüßen nun, dass die neuen SVK spezifischeren Schutz vor allem bei verbindlichen Ersuchen von Behörden zur Offenlegung personenbezogener Daten vorsähen. Dadurch entsprechen die SVK mehr den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des "Schrems-II-Urteils" des EuGH. Mehrere Bestimmungen könnten aber noch verbessert oder klarer gefasst werden. Dazu zählten etwa der Anwendungsbereich der SVK, bestimmte Rechte von Drittbegünstigten und Pflichten in Bezug auf die Weiterübermittlung von Daten.
Rollen und Verantwortlichkeiten festlegen
Auch am parallelen Entwurf der Kommission für Muster-Datenschutzklauseln zwischen Firmen oder Behörden und Auftragsverarbeitern, die ihren Sitz in der EU haben, finden die europäischen Datenschutzbeauftragten wenig auszusetzen. Sie drängen hier aber ebenfalls auf ein paar Nachbesserungen. So sollte etwa das Zusammenspiel zwischen den beiden Dokumenten über die "Andockklausel" vereinfacht und erweitert werden. In den Anhängen zu den SVK müssten die Rollen und Verantwortlichkeiten der einzelnen Parteien in Bezug auf die einzelnen Verarbeitungstätigkeiten zudem so weit wie möglich geklärt werden.
Der Bundesdatenschutzbeauftragte Ulrich Kelber würdigte, dass der EDSA und Wiewiórowski "zu einem klaren Urteil" gekommen seien. Es habe "intensive Verhandlungen zu den Stellungnahmen" gegeben. Die deutsche Position finde sich an vielen Stellen der Papiere wieder. Der angenommene Vorschlag könnte "Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen, ohne Einschränkungen beim Datenschutz zu machen". Den finalen Text der überarbeiteten Klauseln will die Kommission zeitnah verabschieden und dabei noch Eingaben aus einer öffentlichen Konsultation berücksichtigen.
(tiw)
