Nachdem im Juli 2020 der EuGH mit der „Schrems II"-Entscheidung das „Privacy Shield" und damit die Übermittlung personenbezogener Daten in die USA für unzulässig erklärt hat, hat die EU die problematische Drittlandübermittlung auf neue Beine gestellt. Genau zum richtigen Zeitpunkt, denn die deutschen Datenschutzbehörden überprüfen gerade mit einer Task Force, wie genau es deutsche Unternehmen eigentlich mit dem Datentransfer in die USA nehmen.

Das Schrems II-Urteil des EuGH

Im Juli des vergangenen Jahres hat der Europäische Gerichtshof (EuGH, Urteil vom 16. Juli 2020, Az. C-311/18 – „Schrems II") die Rechtsgrundlagen für die Übermittlung von Daten in die USA für ungültig bzw. unzureichend erklärt. Der Transfer von personenbezogenen Daten in die USA ist seitdem nur noch in Ausnahmefällen rechtmäßig. Dies betrifft die länderübergreifende Zusammenarbeit zwischen Unternehmen, genauso aber die Nutzung von Softwarelösungen von US-Anbietern (z. B. Microsoft 365, Google Cloud, Amazon Web Services) oder Conferencing-Tools (Zoom, Teams, etc.).

Zu den Einzelheiten des Schrems II-Urteils lesen Sie hier mehr.

Reaktionen der Datenschutzbehörden auf das Schrems II-Urteil

Mangels alternativer Anbieter und fehlender rechtlicher Alternativlösungen war der internationale Datentransfer seit dem Schrems II-Urteil mit erheblichen Rechtsunsicherheiten und Haftungsrisiken verbunden. Dabei haben die betroffenen Unternehmen keine Unterstützung durch einheitliche und praxistaugliche Handlungsempfehlungen der Datenschutzbehörden erfahren. Während die Berliner Beauftragte für Datenschutz und Informationsfreiheit alle Unternehmen, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermittelten, zum umgehenden Wechsel zu europäischen Dienstleistern aufforderte, bemühten sich insbesondere der Baden-Württembergische Beauftragte für den Datenschutz und die Informationsfreiheit und der Europäische Datenschutzausschuss (EDSA) Orientierungshilfen und Empfehlungen auszusprechen, damit diese Tools weiter eingesetzt werden können. Allerdings blieben auch hier entscheidende Fragen ungeklärt und Unternehmen mehr oder weniger hilflos im Dunkeln.

Die neuen Standarddatenschutzklauseln

Abhilfe versprechen die am 4. Juni 2021 verabschiedeten neuen EU-Standarddatenschutzklauseln. Diese tragen aus Sicht der Kommission den Anforderungen des Schrems II-Urteils an den internationalen Datentransfer Rechnung und sollen das notwendige hohe Datenschutzniveau sicherstellen. Die neuen Klauseln enthalten eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln und sind in Modulen aufgebaut. Sie finden auf die Übermittlung zwischen Verantwortlichen (Modul 1) sowie auf Datenübertragungen an Auftragsverarbeiter (Modul 2) Anwendung. Zudem gelten die neuen Klauseln auch für die Datenübermittlung von einem Auftragsverarbeiter an weitere (Unter-)Auftragsverarbeiter (Modul 3) sowie für den Transfer von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).

Daneben sehen sie eine zwingende Risikoeinschätzung der Beteiligten vor: Sowohl der Datenexporteur als auch der Datenimporteur müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Bei der dafür notwendigen Prüfung sollen auch die Vorschriften im Empfängerland berücksichtigt werden, die den Behörden weitreichende Zugriffsrechte auf die übermittelten Daten zuschreiben. Die Risikoeinschätzung ist den Aufsichtsbehörden auf Verlangen vorzulegen.

Ob es sich bei den neuen Standarddatenschutzklauseln um den erhofften finalen Rettungsanker für den Datentransfer in die USA handelt, bleibt unsicher. Bereits im Schrems II-Urteil hatte der EuGH betont, dass Standarddatenschutzklauseln nicht geeignet seien, das fehlende Schutzniveau eines Drittlandes auszugleichen, da sie lediglich den Datenimporteur, nicht jedoch die Behörden des Drittlandes binden würden. Dies ist insbesondere ein Problem im Hinblick auf die starken US-Behörden. Wirklich rechtssicher für europäische Unternehmen wäre daher allein eine Nachfolgevereinbarung für den EU-US Privacy Shield, mit der allerdings nicht zeitnah zu rechnen ist. Bis zu einer möglichen „Schrems III"-Entscheidung bilden die neuen Standarddatenschutzklauseln daher aktuell die einzige rechtliche Grundlage für den Datentransfer in die USA.

Handlungsdruck wegen verstärkter Prüfung durch die Aufsichtsbehörden

Bereits im Februar dieses Jahres wurde bekannt, dass sich die deutschen Datenschutzbehörden unter Leitung von Hamburg und Berlin zu einer Task Force zusammengeschlossen haben, um die konsequente Umsetzung des Schrems II-Urteils bei deutschen Unternehmen zu überprüfen. Diese Überprüfung erfolgt seit dem 1. Juni 2021 durch Übersendung eines Fragenkataloges, der insbesondere Fragen über den Einsatz von Dienstleistern zum E-Mail-Versand, Hosting von Internetseiten, Webtracking, Verwaltung von Bewerberdaten und den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten umfasst. Dadurch wollen die Behörden überprüfen, ob sich die Unternehmen angemessen sensibel mit dem Thema Drittlandübermittlung beschäftigt haben. Für Unternehmen steigt dadurch der Handlungsdruck in Sachen internationalem Datentransfer – ein „Augen zu und durch" kann teuer werden.
Wir empfehlen daher, das Thema Drittlandtransfer jetzt anzupacken und alle bereits abgeschlossenen Standardvertragsklauseln – insbesondere mit US-Anbietern – zu aktualisieren. Hierbei unterstützen wir Sie selbstverständlich gern.