Standard-Klauseln der EU für den Datentransfer in die USA

Zoom, Teams, Google Analytics… es gibt zahlreiche Softwareprogramme und Möglichkeiten, sich gerade in der Pandemie digital aufzustellen. Unsere Erfahrung zeigt, dass der Datenschutz aber dann vernachlässigt wird – und immer öfter kommt es zu Diskussionen zwischen Veranstaltern und Dienstleistern.

Nachdem die EU-Kommission nun (endlich) die sog. Standardvertragsklauseln aktualisiert hat, gibt es jetzt wieder einen Anlass, dieses zugegeben komplexe Thema anzugehen. Hintergrund (auch meines Beitrages) ist der Transfer von Daten zwischen unterschiedlichen Datenverarbeitern (z.B. dem Veranstalter, seiner Eventagentur, dem Streaming-Anbieter, dem Hoster, dem Analyse-Tool-Anbieter usw.).

Innerhalb der EU

Ein Datentransfer innerhalb der EU ist grundsätzlich unproblematisch, da das Datenschutzniveau EU-weit einheitlich ist. Probleme kann es letztlich aber dann geben, wenn beteiligte Datenverarbeiter schlampen, z.B. weil der Auftragsverarbeiter die Regeln nicht einhält.

Außerhalb der EU

Schwieriger wird es, wenn Daten aus der EU in Nicht-EU-Staaten gelangen sollen. Nur, weil ein beteiligter Datenverarbeiter nicht in der EU sitzt oder verarbeitet, heißt das nicht, dass ein Datentransfer dann allein aufgrund der Tatsache erlaubt wäre, dass Geschäftssitz oder Verarbeitung faktisch nicht in der EU stattfindet.

Vielmehr braucht es eine in der DSGVO verankerte Erlaubnis, z.B. einen Angemessenheitsbeschluss oder eben die sog. Standardvertragsklauseln (s.u.).

Prominenter Sonderfall USA

Ein Datentransfer in die USA ließ sich früher bspw. auf den sog. Privacy Shield stützen. Diese Vereinbarung aber, der sich datenverarbeitende US-Unternehmen haben unterwerfen können, hat der Europäische Gerichtshof für unwirksam erachtet – u.a. weil die Rolle der US-Geheimdienste nicht geklärt war.

Angemessenheitsbeschluss?

Wer personenbezogene Daten außerhalb der EU transferieren möchte, darf dies nur aufgrund eines sog. Angemessenheitsbeschlusses – mit dem stellt die EU-Kommission fest, dass im Zielland XY ein der EU vergleichbares Datenschutzniveau gegeben ist.

Mit Blick auf die USA war das bis jetzt der EU-US-Privacy-Shield, der aber zwischenzeitlich hinfällig ist.

Die Europäische Kommission hat bisher die nationalen Regelungen in Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay als angemessenen Schutz anerkannt. Hier finden Sie die jeweils aktuellen Beschlüsse der EU.

Standardvertragsklauseln?

Art. 46 DSGVO gibt aber eine weitere Möglichkeit vor: Hiernach darf das datenverarbeitende Unternehmen personenbezogene Daten an ein Drittland übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Als solche „geeigneten Garantien“ kommen bspw. die von der Europäischen Kommission genehmigten Standardvertragsklauseln in Betracht (Art. 46 Abs. 2 Buchstabe c DSGVO).

Die EU-Kommission hat diese 2021 aktualisiert, so dass Datenverarbeiter diese nun verwenden können. In den Vorlagen finden sich 4 Module, d.h. unterschiedliche Klauseln abhängig vom Vertragsverhältnis: Modul 1: Übermittlung von Verantwortlichen an Verantwortliche | Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter | Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter | Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche.

“Standard” bedeutet insoweit: Wenn man diese Klauseln nutzt, wird vermutet, dass die Klauseln den Anforderungen der DSGVO entsprechen. Das betrifft übrigens nicht nur die USA, sondern alle Drittländer, zu denen es (noch) keinen Angemessenheitsbeschluss (s.o.) gibt.

Das heißt:

Die neuen Standardvertragsklauseln können verwendet werden für Datenverarbeitung, die von hier aus veranlasst außerhalb der EU stattfinden.

Aber: Der deutsche Auftraggeber muss im Einzelfall prüfen, ob/dass der Vertragspartner im EU-Ausland sich auch an diese Vereinbarungen halten wird. Denn der Datenempfänger bzw. -verarbeiter im EU-Ausland verpflichtet sich mit diesen Klauseln zu einer Verarbeitung, die den Anforderungen der DSGVO sehr nahe kommt. Mit Blick auf die USA kann das aber schwierig werden, wenn nämlich nach dem dortigen sog. Cloud Act US-Behörden auf Daten zugreifen können.

Handlungsempfehlungen: Was nun?

1. Prüfen Sie, ob es einen Datentransfer in Länder außerhalb der EU gibt (nicht nur auf die USA konzentrieren!). Das kommt insbesondere dann in Betracht, wenn Sie Plugins, Software oder Tools nutzen, die aus den USA oder anderen Drittländern stammen oder wenn Ihr Vertragspartner dort seinen Geschäftssitz hat.
   1. Wenn nein: Dann müssen Sie auch nichts weiter tun.
   2. Wenn ja:
      • Gibt es dorthin bereits einen Angemessenheitsbeschluss?
      • Können die Standardvertragsklauseln verwendet werden?
2. Prüfen Sie Ihre Datenschutzhinweise: Wenn Sie sich bisher noch immer auf das Privacy Shield stützen, sollten Sie schnell tätig werden – denn das ist unbestreitbar dann jetzt schon rechtswidrig.
3. Prüfen Sie alle Ihre Datenschutzverträge: Worauf wird Bezug genommen?