Standardvertragsklauseln: Neue EU-Basis für globale Datentransfers steht

Die EU-Kommission hat die überarbeiteten Standardvertragsklauseln angenommen, die etwa beim Übermitteln von Daten in die USA angewendet werden können.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen

(Bild: mixmagic/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Weitergabe personenbezogener Informationen aus der EU in Drittstaaten wie die USA soll rechtssicherer werden. Die EU-Kommission hat dazu am Freitag neue Standardvertragsklauseln (SVK) befürwortet und veröffentlicht. Sie reagiert damit vor allem auf das Urteil des Europäischen Gerichtshofs (EuGH) aus dem vorigen Jahr, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte.

c't DSGVO - Was 2021 wirklich wichtig ist

180 Seiten Ratgeber von Fachjuristen: Was Unternehmen, Vereine und Selbstständige wissen müssen! Mit vielen FAQs, Anleitungen, Checklisten und Mustern. Auf DVD: 60 Minuten Webinar "Anatomie einer IT-Katastrophe" – vorbereitet sein und die Krise meistern.

Die Luxemburger Richter stellten mit ihrem Beschluss zum wiederholten Mal fest, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichen und der Datenschutzstandard in den USA daher nicht dem in der EU entspricht. Die Kommission hielt es daher für angebracht, die SVK als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen. Zudem wollte sie Anforderungen der Datenschutz-Grundverordnung (DSGVO) in den Klauseln berücksichtigen.

Die überarbeiteten SVK schreiben so erstmals Garantien vor, "um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands" auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem vorab zu klären, "wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist". Getragen werden die Regeln von dem Verständnis, dass Gesetze, die das Wesen der Grundrechte und -freiheiten respektieren und in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, nicht im Widerspruch zu den Klauseln stehen.

Der Datenimporteur soll mit einem Zusatz zu den SVK zusagen, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Informationen erhält. Mitzuteilen sind dabei Details zu den angeforderten personenbezogenen Informationen, das anfragende Amt, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn ihm dieser Schritt untersagt wird, muss er sich "nach besten Kräften um eine Aufhebung des Verbots" bemühen. Zudem soll die Daten beziehende Stelle gegebenenfalls "alle verfügbaren Rechtsmittel zur Anfechtung des Antrags" ausschöpfen.

Anzugeben sind zudem laut dem SVK-Anhang vorgenommene Maßnahmen, mit denen die Menge der persönlichen Daten vor einem Transfer möglichst gering gehalten, pseudonymisiert und verschlüsselt wird. Wenn die Verarbeitung über einen externen Dienstleister läuft, müssen die Lieferanten sicherstellen, dass auch diese die nötigen zusätzlichen Vorkehrungen treffen.

Daneben hat die Kommission Muster-Datenschutzklauseln zwischen Firmen oder Behörden und Auftragsverarbeitern publiziert, die ihren Sitz in der EU haben. Sie betont, bei beiden angepassten Werkzeugen die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und des EU-Datenschutzbeauftragten, die Rückmeldungen von Interessenträgern sowie Empfehlungen der Mitgliedstaaten berücksichtigt zu haben. Große Veränderungen gegenüber dem Entwurf vom Herbst finden sich aber nicht mehr in den Papieren.

"Nach dem Schrems-II-Urteil war es unsere Pflicht und Priorität, benutzerfreundliche Instrumente zu entwickeln, auf die sich Unternehmen voll und ganz verlassen können", erklärte Justizkommissar Didier Reynders. "Diese Aufgabe ist erfüllt." Der IT-Verband Bitkom sprach von einem "richtigen Schritt", da global tätige Unternehmen ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können müssten. Die neuen Klauseln lösten aber die Problematik der Einzelfallprüfung nicht und stellten die Konzerne vor "einen riesigen Umstellungsaufwand". Sie müssten zusätzliche Schutzmaßnahmen implementieren. Welche genau, bleibe aber "der internen Bewertung überlassen", was viele Firmen kaum leisten könnten.

Letztlich seien bessere politische Lösungen für den Drittstaatentransfer erforderlich, meint der Bitkom. Für die Zukunft werde es entscheidend sein, dass mehr grundsätzliche sogenannte Angemessenheitsentscheidungen für wichtige Länder außerhalb der EU den Datenaustausch "dauerhaft absichern" und die Unternehmen von den Einzelbewertungen befreien. Der häufige Appell, Daten ausschließlich in Europa zu verarbeiten, sei keine Lösung. Europäische Firmen aus dem Gesundheitsbereich mit Forschungszentren in den USA oder Indien wären davon genauso betroffen wie IT-Dienstleister, die einen 24-Stunden-Support global über alle Zeitzonen absichern.

(tiw)