US-Datentransfer: EU-Kommission schlägt neue Standardvertragsklauseln vor
Der Entwurf sieht eine Garantie für den Datenschutz vor und legt die Hürden hoch für eine Weitergabe persönlicher Informationen in die USA und andere Staaten.
(Bild: mixmagic/Shutterstock.com)
Nachdem der Europäische Gerichtshof (EuGH) im Juli den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten aus der EU in die USA für ungültig erklärte, versucht die EU-Kommission nun ein prinzipiell verbliebenes alternatives Instrument zu retten. Sie hat dazu am Freitag einen Entwurf für neue sogenannte Standardvertragsklauseln (SVK) für die Informationsweitergabe in Drittstaaten veröffentlicht.
Berücksichtigung von Schrems II
Die überarbeiteten SVK sollen nach Angaben der Brüsseler Regierungsinstitution die Vorgaben aus dem "Schrems-II-Urteil" des EuGH sowie die neuen Empfehlungen des Europäischen Datenschutzausschusses (EDSA) dazu berücksichtigen.
Klar war angesichts der Entscheidung der Luxemburger Richter bereits, dass es eng wird beim Übermitteln von Kundendaten in die USA. Der EuGH hatte hier zum wiederholten Mal festgestellt, dass dortige Gesetze wie der FISA oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichten und der Datenschutzstandard daher nicht dem in der EU entspreche.
Gesetze im Bestimmungsdrittland dürfen Klauseln nicht verhindern
In dem Vorschlag der Kommission heißt es nun, dass die Klauseln – "insbesondere im Lichte der Rechtsprechung des Gerichtshofs" – besondere Garantien vorsehen sollten, "um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands" auf die Einhaltbarkeit der SVK durch den Datenimporteur zu regeln. Dabei gelte es vor allem zu klären, "wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist".
Der Transfer und die Verarbeitung persönlicher Informationen sollten dem Entwurf zufolge nur dann erfolgen, "wenn die Gesetze des Bestimmungsdrittlandes den Datenimporteur nicht daran hindern, diese Klauseln einzuhalten". Sei es nötig, Übermittlungen in Drittländer zu stoppen, da die SVK nicht eingehalten werden könnten, unterrichte der zuständige Mitgliedsstaat unverzüglich die Kommission. Diese werde die entsprechende Botschaft an die anderen EU-Länder weiterleiten.
Informierung Betroffener bei rechtsverbindlichem Antrag einer Behörde
Weitere Details zu den Auflagen, die im SVK-Entwurf schon anklingen, enthält der zusätzlich ins Spiel gebrachte Anhang: Die Vertragsparteien sollen demnach gewährleisten, keinen Grund zu der Annahme zu haben, dass die Gesetze im Bestimmungsland "einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur an der Erfüllung seiner Verpflichtungen aus diesen Klauseln hindern".
Dies beruhe auf dem Verständnis, dass Gesetze, die das Wesen der Grundrechte und -freiheiten respektierten und in einer demokratischen Gesellschaft notwendig und verhältnismäßig seien, nicht im Widerspruch zu den Klauseln stünden. Der Importeur erklärt sich mit dem Zusatz zudem bereit, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf eine Datenherausgabe erhält. Mitzuteilen seien dabei Details zu den angeforderten personenbezogenen Informationen, das anfordernde Amt, die Rechtsgrundlage für den Antrag und die erteilte Antwort.
Anfechtung der Anfrage und Angabe der getroffenen Maßnahmen
Wenn es dem Datenbezieher untersagt ist, den Lieferanten oder die direkten Betroffenen zu benachrichtigen, muss er sich "nach besten Kräften um eine Aufhebung des Verbots" bemühen, "um so viele Informationen wie möglich und so bald wie möglich zu übermitteln". Zudem soll der Importeur gegebenenfalls "alle verfügbaren Rechtsmittel zur Anfechtung des Antrags" ausschöpfen. Zeitgleich müsse er sich um einstweilige Maßnahmen bemühen, "um die Wirkungen des Ersuchens auszusetzen, bis das Gericht in der Sache entschieden hat".
Lesen Sie auch
Auslegungssache: c't startet eigenen Datenschutz-Podcast
Anzugeben sind zudem getroffene Maßnahmen, mit denen die Menge der persönlichen Daten vor einem Transfer möglichst gering gehalten, pseudonymisiert und verschlüsselt wird. Wenn die Verarbeitung über einen externen Dienstleister läuft, müssen die Lieferanten sicherstellen, dass auch diese die nötigen zusätzlichen Vorkehrungen treffen.
Verantwortliche müssen für EU-Datenschutzniveau sorgen
Die im EDSA versammelten Datenschutzbehörden führen in ihren Ratschlägen zur Umsetzung des Schrems-II-Urteils parallel auf Basis einer früheren Frage-Antwort-Liste aus, dass die Verantwortlichen beim Transfer persönlicher Informationen insbesondere in die USA "zusätzliche Maßnahmen" treffen müssten. Damit sei "das gleiche Datenschutzniveau" wie in der EU zu gewährleisten. Die genauen Umstände von Übertragungen müssten "von Fall zu Fall" betrachtet werden. Dies gelte für Transfers in alle Drittstaaten.
Daneben hat die Kommission einen Entwurf für Muster-Datenschutzklauseln zwischen Firmen oder Behörden und Auftragsarbeitern vorgelegt, die ihren Sitz in der EU haben. Zu beiden Initiativen läuft nun eine öffentliche Konsultation bis zum 10. Dezember. Die Schlussklauseln will die Brüsseler Exekutivinstanz im Anschluss veröffentlichen, wenn von den Mitgliedsstaaten kein Widerspruch kommt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bme)