Standardvertragsklauseln – Ein Trump(f) für die Datenübermittlung in die USA?

S
 
5.0 (1)
Bewertung schreiben
ISiCO_Logo-Subline_RGB

Der EU-US-Privacy-Shield steht seitens der EU-Organe unter zunehmender Kritik. Als Alternative für Datenübertragungen in die USA und Gewährleistung eines „angemessenen Datenschutzniveaus“ werden immer häufiger Standardvertragsklauseln ins Feld geführt. Doch auch für diese könnte bald das Aus durch den EuGH kommen. 

Hintergrund

Die Kritik der EU-Organe am Privacy-Shield reißt nicht ab. Ende Juli 2018 kritisierte die EU-Justizkommissarin Jourova erneut das in den USA praktizierte Datenschutzniveau, setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy-Shields.

Ein Hauptkritikpunkt ist das Fehlen einer Ombudsperson in den USA, bei der sich betroffene Personen aus Europa über die Verletzung der Datenschutz-Vorgaben beschweren können. Es bleibt zweifelhaft, ob US-Handelsminister Ross auf diese Fristsetzung reagieren wird. Bereits im Frühjahr bezeichnete er das Datenschutzniveau in der EU als übertrieben und unnötig. Für US-Unternehmen bestünde die Gefahr zurückgehender Geschäfte. Der Privacy-Shield steht damit mehr denn je vor einer ungewissen Zukunft.

Ist der Privacy Shield die einzige Möglichkeit für einen sicheren Datentransfer in die USA?

Nach Art. 44 der Datenschutz-Grundverordnung („DSGVO“) ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig. Neben dem Privacy-Shield bzw. Angemessenheitsbeschlüssen der Kommission gibt es für konzerninterne Datenübertragungen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll.

Außerhalb von Konzernen bieten sich sog. Standardvertragsklauseln an, um ein angemessenes Datenschutzniveau zu gewährleisten. So kann etwa ein Unternehmen, ansässig in der EU, mit seinem Auftragsverarbeiter in den USA ergänzend zu einem herkömmlichen Auftragsverarbeitungsvertrag (nach Art. 28 DSGVO) die Standardvertragsklauseln vereinbaren. Durch die von der EU-Kommission entwickelten Klauseln soll sichergestellt werden, dass der Auftragsverarbeiter ein dem EU-Recht entsprechendes Datenschutzniveau einhält.

Sind Standardvertragsklauseln das Mittel der Zukunft?

Die aktuell gültigen Standardvertragsklauseln der EU-Kommission stammen aus dem Jahr 2010. Werden sie innerhalb eines Auftragsverarbeitervertrages mit einem US-Unternehmen einbezogen, so genügt die Datenübertragung grundsätzlich den Anforderungen der DSGVO.

Seit 2015 werden diese Standardvertragsklauseln jedoch nach Vorlage des irischen High Courts vom Europäischen Gerichtshof („EuGH“) auf ihre Rechtmäßigkeit überprüft. Im zugrundeliegenden Verfahren argumentierte der Datenschutz-Aktivist und Anwalt Max Schrems, dass die Übertragung von Facebook-Irland (Sitz Facebooks in Europa) auf die Facebook-Server des Mutterkonzerns in den USA gegen das europäische Datenschutzrecht verstoße. Insbesondere die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von EU-Bürgern wurden dabei kritisiert.

Ins gleiche Horn stößt auch die aktuelle Kritik des EU-Parlamentes wie der EU-Kommission am Privacy Shield. Vor allem wegen des CLOUD Acts, einem Gesetzt, das es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, auch wenn die Speicherung außerhalb der USA erfolgt, hat sich diese Problematik noch weiter zugespitzt.

Facebook hat unterdessen Rechtsmittel vor dem irischen Gericht eingelegt, das die Frage nach der Gültigkeit der Standardvertragsklauseln dem EuGH zur Klärung vorgelegt hat. Es kann jedoch nicht davon ausgegangen werden, dass dieses Rechtsmittel Einfluss auf die Entscheidung des EuGHs haben wird, da dieser bereits mit der Rechtsfrage befasst ist und ihm das Verfahren nicht wieder „entzogen“ werden kann.

Die Zukunft der aktuell gültigen Standardvertragsklauseln hängt also von der Entscheidung des EuGHs ab. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, neue Standardvertragsklauseln zu erlassen, welche die Rechtsauffassung des EuGHs, der Behörden und des EU-Parlamentes sowie die aktuellen Entwicklungen in den USA berücksichtigen. Für Unternehmen könnte dies eine zukunftstaugliche Alternative zum Privacy-Shield darstellen. Allerdings müssten in diesem Fall auch alle Verträge, die auf den bisherigen Standardvertragsklauseln basieren, neu verfasst und abgeschlossen werden.

Fazit und Handlungsempfehlung

Erheblicher Grund zur Sorge besteht für Unternehmen nicht. Die Datenübertragung in die USA ist aktuell noch sowohl auf der Grundlage der Standardvertragsklauseln von 2010 oder dem Privacy Shield möglich. Nur wenn beide Alternativen vom EuGH und/oder der Kommission zeitgleich für nicht angemessen bzw. unwirksam erklärt werden würden, wäre (außerhalb von Binding Corporate Rules) eine rechtmäßige Datenübertragung in die USA ausgeschlossen. Da die Kommission um die Bedeutung solcher Datenübertragungen für EU-Unternehmen weiß, ist zu hoffen, dass eine Alternative mit genügend Vorlaufzeit zur Anpassung entwickelt wird, bevor Privacy-Shield und Standardvertragsklauseln als Rechtsgrundlage entfallen.

Aktuelle Ausführungen der Trump-Regierung lassen den Schluss zu, dass das bevorstehende erste US-Bundesgesetz zum Datenschutz eher weite Zugriffsmöglichkeiten für Unternehmen und Behörden auf personenbezogene Daten ermöglicht und damit die Kritik aus Europa weiter befeuern wird. Die neuen Standardvertragsklauseln der Kommission könnten dann das Instrument der Zukunft für Datenübertragungen in die USA werden, da das neue US-Bundesgesetz nicht den Anforderungen der EU-Justizkommissarin Jourova entspricht und damit den Privacy Shield zuerst zum Scheitern bringen könnte, worauf die Kommission durch neue Standardvertragsklauseln reagieren kann.

Art Veröffentlichung:
Mehrfach
Thema des Eintrags (Marketing, eCommerce)
  • Anwendung / Lösung
  • E-Commerce
  • Recht
IT-Thema des Eintrags?
  • Automotive
  • Breitband Internet
  • Cloud Computing / Hosting
  • Cyber-Physikalische Systeme
  • E-Government
  • E-Health
  • E-Learning
  • Industrie 4.0
  • IT-Sicherheit
  • Logistik
  • Mobile IT
  • Smarte IT
Kontaktdaten Unternehmen / Pressekontakt:

ISiCO Datenschutz GmbH
Deborah Reusch
Presse und Marketing
Am Hamburger Bahnhof 4
10557 Berlin
Tel.: 030 213 002 850
Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Inhalt weiterempfehlen / teilen:

Benutzer-Bewertungen

1 Bewertungen

Bewerten Sie den Artikel: 
 
5.0  (1)
Haben Sie schon ein Konto?
Ratings
Bewerten Sie den Artikel:
Fachartikel
Für die Bewertung des Fachartikels, wie ist Ihr Status zum Thema oder wie schätzen Sie sich ein?
Datenschutz Kommentar
Durch das Anhaken der folgenden Checkbox und des Buttons "Absenden" erlaube ich www.ecin.de die Speicherung meiner oben eingegeben Daten:
Um eine Übersicht über die Kommentare / Bewertungen zu erhalten und Missbrauch zu vermeiden wird auf www.ecin.de der Inhalt der Felder "Name", "Titel" "Kommentartext" (alles keine Pflichtfelder / also nur wenn angegeben), die Bewertung sowie Deine IP-Adresse und Zeitstempel Deines Kommentars gespeichert. Sie können die Speicherung Ihres Kommentars jederzeit widerrufen. Schreiben Sie uns einfach eine E-Mail: "redaktion / at / ecin.de". Mehr Informationen welche personenbezogenen Daten gespeichert werden, finden Sie in unserer Datenschutzerklärung.
Ich stimme der Speicherung meiner personenbezogenen Daten zu:
Kommentare
Bewerten Sie den Artikel: 
 
5.0
Bewertungs-Knowhow:
Mitarbeiter im Unternehmen
S

Haftungsausschluss Fachartikel

ECIN.de bietet unter www.ecin.de/fachartikel einen Bereich zum Veröffentlichen von (werblichen) Fachartikeln. Dies bedeutet, dass zwar Fachwissen von Experten vermittelt wird, aber gleichzeitig auch die Tätigkeiten eines Experten oder eines Unternehmens in Form von Textinhalten und Verlinkungen präsentiert werden können.

Für den Inhalt der Fachartikel ist allein deren Urheber verantwortlich.

ECIN.de distanziert sich von dem Inhalt der Fachartikel. Der Inhalt der Fachartikel wurde von ECIN.de weder auf ihre Richtigkeit noch darauf überprüft, ob damit die Rechte Dritter verletzt werden.

Wenn Ihnen ein Rechtsverstoß auffällt kontaktieren Sie ECIN.de