Neue EU-Standardvertragsklauseln – Der erhoffte Rettungsring für den transatlantischen Datentransfer, oder doch nicht?

Das Schrems II Urteil des Europäischen Gerichtshofs (EuGH) hat in der Praxis eine gravierende Unsicherheit hinterlassen. Die Kluft zwischen dem in Europa geforderten Datenschutz und den praktischen Anforderungen einer globalisierten Wirtschaftswelt wird immer größer. Am 12. November 2020 hat die Europäische Kommission nun Entwürfe für neue EU-Standardvertragsklauseln (SCCs) veröffentlicht. Doch sind neue SCCs das von allen erhoffte „Allheilmittel“?

Hintergrund

Nachdem der EuGH am 16. Juli diesen Jahres mit seinem Schrems II Urteil (Rs. C-311/18) das EU-US Privacy Shield für ungültig erklärt hat, blieb den meisten Unternehmen für ihre Datentransfers in die USA nur der Rückgriff auf SCCs als alternativen Transfermechanismus, um den Anforderungen der Art. 44 ff. EU-Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Jedoch stellte der EuGH in seinem Urteil auch klar, dass insbesondere im Falle eines Datentransfers in die USA, bei dem der Datenimporteur oder einer der von ihm eingesetzten Unterauftragsverarbeiter der Section 702 Foreign Intelligence Surveillance Act (FISA) unterliegt, der Abschluss der SCCs allein nicht mehr ausreicht. Hiervon sind in der Praxis wiederum die meisten Datentransfers betroffen, da die Datenimporteure i.d.R. Cloudanbieter als Unterauftragsverarbeiter einsetzen (wie beispielsweise Amazon Web Services oder Microsoft Services), welche unter den Anwendungsbereich von Section 702 FISA fallen. Um dennoch personenbezogene Daten in die USA übermitteln zu können, müssen die Unternehmen nun zusätzliche Maßnahmen zum Schutz der Daten ergreifen. Eine Lösung auf technischer Ebene (beispielsweise mittels Verschlüsselungsverfahren, bei dem der Schlüssel beim Datenexporteur in der EU verbleibt) ist in den meisten Fällen bereits aufgrund der Art des in Anspruch genommenen Dienstes rein faktisch nicht möglich.

Aus diesem Grund versuchen viele Unternehmen derzeit noch mit Hilfe von individuell verhandelten zusätzlichen vertraglichen Maßnahmen ein höheres Datenschutzniveau zu gewährleisten. Hierbei kommt es jedoch i.d.R. zu Konflikten mit den US Datenimporteuren. Darüber hinaus fehlt den meisten EU-Datenexporteuren die notwendige Verhandlungsmacht gegenüber den „US-Riesen“ wie Microsoft und Google, um die geforderten Regelungen in den Verhandlungen durchzusetzen. Die derzeit bestehenden Orientierungshilfen der deutschen Aufsichtsbehörden sind, wie auch die auf europäischer Ebene, für die Praxis leider nur wenig hilfreich. Neue SCCs könnten hier rechtssichere Abhilfe schaffen und die Position der EU-Datenexporteure stärken. Nachdem die von der EU-Kommission gesetzte Feedbackperiode zu den Entwürfen der SCCs am 10. Dezember 2020 abgelaufen ist, bleibt abzuwarten, ob die Verabschiedung der Implementierungsentscheidungen der neuen SCCs noch im Jahr 2020 erfolgen wird.

Was regeln die neuen SCCs, um der Schrems II Problematik abzuhelfen?

Die Problematik des Zugriffs ausländischer Behörden auf personenbezogene Daten beim Datenimporteur wird nun in den Clauses 2 und 3 der neuen SCCs behandelt.
In Clause 2 geht es in erster Linie darum, dass die Parteien vertraglich garantieren müssen, dass keine nationalen Gesetze, einschließlich etwaiger Auflagen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, der Erfüllung der Verpflichtungen aus den SCCs entgegenstehen. Zur Gewährleistung dieser Garantien müssen die Parteien eine Überprüfung der geplanten Datentransfers vornehmen und diese dokumentieren.

In Clause 3 wird wiederum der Fall des konkreten Zugriffs bzw. der rechtsverbindlichen Anfrage einer Behörde auf die Daten des EU-Datenexporteurs geregelt. Hier geht es in erster Linie um Informationspflichten der Datenimporteure gegenüber dem Datenexporteur und den betroffenen Personen. Sofern dem Datenimporteur die vorgenannte Information untersagt ist, muss er sich nach besten Kräften um eine Aufhebung dieses Verbots bemühen, um schnellstmöglich so viele Informationen wie möglich erteilen zu können. Darüber hinaus ist der Datenimporteur verpflichtet, etwaige Anfragen einer Behörde auf deren Rechtmäßigkeit hin zu überprüfen und alle verfügbaren Rechtsmittel zur Anfechtung des Antrags auszuschöpfen.

Soweit so gut. Doch reichen diese Regelungen auch aus, um den Datentransfer in die USA nach Schrems II zu retten?

Diese Frage muss derzeit wohl leider noch mit nein beantwortet werden. Die neuen Regelungen stützen zwar den Versuch der EU-Datenexporteure mit Hilfe von vertraglichen Regelungen für ein höheres Datenschutzniveau zu sorgen, sodass der derzeitige Konflikt mit den US-Datenimporteuren, teils mühsam individuelle vertragliche Regelungen auszuhandeln, hiermit größtenteils entfallen dürfte. Die Lösung des grundsätzlichen Problems, dass US-Behörden über ihre nationalen Gesetze die US-Unternehmen zur Offenlegung von Daten zwingen können, ohne dass den betroffenen Personen hiergegen angemessene Rechtsschutzmechanismen zur Verfügung stehen, wird hierdurch jedoch nicht gelöst.

Die Kernproblematik besteht in erster Linie darin, dass die US-Behörden nicht durch die vertraglichen Regelungen der SCCs, welche zwischen den Datenimportierenden und –exportierenden Unternehmen getroffen werden, gebunden sind.

So hat auch der Europäische Datenschutzausschuss (EDSA) in seiner am 10. November 2020 veröffentlichten Empfehlung (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) klargestellt, dass rein vertragliche Maßnahmen zwischen dem Datenexporteur und -importeur nicht die Anwendbarkeit der zur Offenlegung von Daten verpflichtenden nationalen Gesetze im Drittland ausschließen können (vgl. Rn. 95 der Empfehlung). Der EDSA wird nun zusammen mit dem Europäischen Datenschutzbeauftragten eine gemeinsame Stellungnahme zu dem Entwurf der neuen SCCs ausarbeiten. Jedoch wies die Vorsitzende des EDSA, Andrea Jelinek, bereits ausdrücklich darauf hin, dass die SCCs keine Patentlösung für Datenübermittlungen nach Schrems II darstellen können.

Fazit

Auch wenn neue SCCs zumindest die Position der EU-Datenexporteure stärken werden, bleibt nach wie vor offen, wie und wann der Datentransfer in die USA wieder in einer praxisnahen und risikofreien Form möglich sein wird. Es scheint, als ob eine sinnvolle Lösung nur auf der Ebene der politischen Zusammenarbeit mit den USA erreicht werden kann. Zumindest mit der Wahl des neuen US-Präsidenten, Joe Biden, könnte eine politische Lösung ein Stück näher gerückt sein.
Der Entwurf der neuen Standardvertragsklauseln kann hier abgerufen werden.

Die Empfehlung des EDSA (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) finden Sie hier.

Tom Kleine Jäger, Rechtsanwalt
Frankfurt am Main