Nach EuGH-Urteil: Zukunft des internationalen Datentransfers

Wir haben bereits vom Ausgang des EuGH-Verfahrens berichtet. Der EuGH hat das EU-US-Privacy-Shield mit sofortiger Wirkung für ungültig erklärt. Hinzu kommt das Wackeln der Standardvetragsklauseln. In unserem Blogbeitrag zum abschließenden EuGH-Urteil konnten wir Ihnen noch keine konkreten Empfehlungen aussprechen, das möchten wir heute nachholen. Die Aufsichtsbehörde Baden-Württemberg hat als erste Institution eine Orientierungshilfe mit Vorschlägen zur Anpassung der EU-Standardvertragsklauseln herausgegeben.

Das EuGH-Urteil Ende Juli hatte große Wellen geschlagen. Schließlich übermittelt fast jedes zweite Unternehmen personenbezogene Daten in die USA - durch die Verwendung von Software-as-a-Service (SaaS) sowie Cloud-Diensten. Die Ungültigkeit des EU-US-Privacy-Shield und das Wackeln der Standardvertragsklauseln bedrohen einige grundlegende Unternehmensprozesse.

Wir hatten Ihnen bereits empfohlen sich nach Alternativen in der EU umzuschauen. Allerdings wird man nicht immer fündig und wenn man dann einen EU-Dienstleister gefunden hat, setzt dieser als Unterauftragnehmer US-Dienstleister ein. So ist es aktuell noch schwierig, eine Datenübermittlung in die USA zu umgehen.

Die Datenübermittlung in Drittländer ist in Art. 44 ff. DSGVO geregelt. Nach diesen Normen darf eine Datenübermittlung nur stattfinden, wenn das Drittland oder die Organisation ein angemessenes Schutzniveau nachweisen kann. Das angemessene Schutzniveau muss mit dem der EU zumindest gleichwertig sein. Die USA kann dieses geforderte Schutzniveau als gesamtes Land nicht nachweisen. Somit bleiben neben den Ausnahmeregelungen in Art. 49 DSGVO nur die EU-Standardvertragsklauseln, die dem Unternehmen in der EU das gleichwertige Schutzniveau in den USA zusichern sollen.

Aufsichtsbehörde Baden-Württemberg

Die Aufsichtsbehörde Baden-Württemberg hat nun als erste Institution die Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? herausgegeben.

In dieser Handlungsempfehlung sagt die Aufsichtsbehörde konkret, dass eine Übermittlung in die USA auf Grundlage der Standardvertragsklauseln zwar denkbar ist, die Anforderungen an ein angemessenes Schutzniveau auf Seiten der USA aber nur in seltenen Fällen erfüllt werden kann. Dies liegt an den rechtlichen Gegebenheiten in den USA wie beispielsweise der Zugang zu und die Sammlung von personenbezogenen Daten zu Zwecken der nationalen Sicherheit und zur Strafverfolgung durch den FISA (Foreign Intelligence Survellance Act) und die Executive Order 12333.

Die Aufsichtsbehörde schlägt in ihrem Paper auf der einen Seite Ergänzungen der EU-Standardvertragsklauseln sowie auf der anderen Seite Änderungen der EU-Standardvertragsklauseln vor. Allerdings sind die Änderungen genehmigungspflichtig, d.h. sie müssen von der zuständigen Aufsichtsbehörde einzeln genehmigt werden. Dennoch betont die Aufsichtsbehörde, dass sie in Kenntnis der extremen Belastung der einzelnen Unternehmen sind und das weitere Vorgehen am Grundsatz der Verhältnismäßigkeit ausgerichtet wird. Ein lobenswerter Ansatz - wir sind gespannt, ob dieser auch bei den ersten Bußgeldern zum Ausdruck kommt.

Wir sind gespannt, ob und wann die nächsten Aufsichtsbehörden nachziehen und ob die EU-Standardvertragsklauseln nach Vorstellung der Aufsichtsbehörde Baden-Württemberg angepasst werden.

Wenn Sie sich unsicher sind, ob eine Datenübermittlung stattfinden darf bzw. ob Sie Ihren US-Dienstleister weiterhin nutzen dürfen, greifen Sie auf die Orientierungshilfe zurück oder sprechen Sie uns an. Gemeinsam untersuchen wir Ihre Datenströme und sprechen Ihnen konkrete Handlungsempfehlungen aus.

Wird es irgendwann eine allgemeingültige Rechtsgrundlage für den Datentransfer geben?

Es ist sehr unwahrscheinlich, dass die USA als gesamtes Land irgendwann einmal von der EU-Kommission einen Angemessenheitsbeschluss erteilt bekommt. Es ist aber wahrscheinlich, dass es zum dritten Male eine Willenserklärung in Form eines Selbstzertifizierungsbeschlusses geben wird. Die US-Unternehmen können sich diesem Selbstzertifizierungsmechanismus unterwerfen und garantieren somit den EU-Unternehmen, dass sie den Unternehmen und den EU-Bürgern ein angemessenes Schutzniveau gewährleisten. Die EU-Kommission verhandelt bereits mit der US-Regierung an einem neuen Privacy-Shield. Die USA möchte die Voraussetzungen für ein verbessertes EU-US-Privacy-Shield ausloten, das mit dem gesetzlichen Rahmen in der EU vereinbar ist.

Währenddessen sind die amerikanischen Riesen nach anfänglicher Schockstarre zurück und aktualisieren ihre Datenschutzerklärungen. Facebook und Google möchten sich in Zukunft bei einem Datentransfer von der EU in die USA nur noch auf die EU-Standardvertragsklauseln berufen. Aber wie rechtssicher dieser Weg ist, wird sich erst noch zeigen. Max Schrems möchte mit seiner Non-Profit-Organisation "none of your business" testen, ob die Aufsichtsbehörden ihrer Aufgabe nachkommen und den Einsatz der EU-Standardvertragsklauseln genau prüfen. Und wer weiß vielleicht schafft es Herr Schrems zum wiederholten Male rechtliche Rahmenbedingungen zu Fall zu bringen.

Die Thematik rund um die Datenübermittlung wird somit nie abschließend geklärt sein. Wir halten Sie hier über alle Veränderungen und Neuerungen auf dem Laufenden.