Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft.

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelle Beispiele hierfür sind Systeme für Videokonferenzen, HR Systeme, Anwendersoftware, Newsletterdienstleister, Mailprogramme, etc. Meist laufen sie zwar über Serverstandorte innerhalb der EU, „funken aber trotzdem nach Hause“ (in die USA).

Die USA – ein Drittland

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).

Der goldene Weg: generelle Regelungen

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.

„Safe Harbour“ und „Privacy Shield“ sind Geschichte

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen. Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben.

Der aktuelle Stand: Verabschiedung neuer Standardvertragsklauseln durch die EU-Kommission

Die EU-Kommission hat am Freitag, 04. Juni 2021, neue Standardvertragsklauseln (SVK) befürwortet und verabschiedet.
Die Kommission hielt es daher für angebracht, die SVK als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen. Zudem wollte sie Anforderungen der Datenschutz-Grundverordnung (DSGVO) in den Klauseln berücksichtigen.
Die überarbeiteten SVK schreiben so erstmals Garantien vor, „um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem vorab zu klären, „wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist“. Getragen werden die Regeln von dem Verständnis, dass Gesetze, die das Wesen der Grundrechte und -freiheiten respektieren und in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, nicht im Widerspruch zu den Klauseln stehen.
Der Datenimporteur soll mit einem Zusatz zu den SVK zusagen, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Informationen erhält. Mitzuteilen sind dabei Details zu den angeforderten personenbezogenen Informationen, das anfragende Amt, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn ihm dieser Schritt untersagt wird, muss er sich „nach besten Kräften um eine Aufhebung des Verbots“ bemühen. Zudem soll die Daten beziehende Stelle gegebenenfalls „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen.
Anzugeben sind zudem laut dem SVK-Anhang vorgenommene Maßnahmen, mit denen die Menge der persönlichen Daten vor einem Transfer möglichst geringgehalten, pseudonymisiert und verschlüsselt wird. Wenn die Verarbeitung über einen externen Dienstleister läuft, müssen die Lieferanten sicherstellen, dass auch diese die nötigen zusätzlichen Vorkehrungen treffen.
Unternehmen müssen bald neue Standardvertragsklauseln abschließen und ihre bisherigen Klauseln durch die neuen ersetzen. Das gilt nicht nur im Verhältnis zu externen Dritten, z.B. Dienstleistern oder Kunden, sondern auch für konzerninterne Verträge.