Nachdem der EuGH in diversen Urteilen nahezu alle Möglichkeiten verworfen hat, rechtmäßig Daten in die USA senden zu können, hat die EU-Kommission nun neue Standardvertragsklauseln veröffentlicht.

Es ist schon so ein Kreuz mit der Datenschutzgesetzgebung in Europa: Nachdem die Datenschutzgrundverordnung geradezu sensationell vor etwa fünf Jahren in vielen Bereichen einheitliche Regelungen für ganz Europa mit sich gebracht hat – denn niemand hatte damit gerechnet, dass sich die EU-Staaten in einem Bereich einigen könnten, der bis dato recht zerklüftet und sehr unterschiedlich in den Mitgliedsstaaten geregelt war – setzte bald darauf Ernüchterung ein: Schon bald wurde nämlich klar, dass die „DSGVO“ für die Unternehmen viele Pflichten mit sich brachte, die von Ihnen nur kaum oder jedenfalls nur mit immens großem Aufwand zu bewältigen war. Dies galt und gilt insbesondere für die zahlreichen Informationpflichten sowie die Bewältigung neuer und sehr umfassender neuer Ansprüche, wie z.B. auf Auskunft oder Löschung.

Ein Kernproblem hatte die DSGVO aber nicht beseitigen können: Die strengen Regeln gelten zwar grundsätzlich auch für die Aktivitäten der großen US-Konzerne wie Facebook, Google, Zoom und Microsoft. Sie enthielten aber keine rechtssicheren Lösungen, wie der Einsatz der in technischer und funktionaler Hinsicht so beliebten Tools wie „WhatsApp“ oder „Zoom“ erfolgen kann, ohne datenschutzrechtlich im Graubereich oder gar in der Illegalität zu handeln. Dies wurde verschärft durch die strenge Rechtsprechung des EuGH, wonach in den USA nur ein unzureichendes Datenschutzniveau bestehe, u.a. durch die dortigen Zugriffsmöglichkeiten US-amerikanischer Behörden. In Urteilen zum österreichischen „Schrems“-Fall erklärte er folglich das sog. „EU-Privacy-Shield“ für rechtswidrig und legte die Latte für die Zulässigkeit mit der Verwendung sog. EU-Standardvertragsklauseln nahezu unerreichbar hoch.

Nunmehr hat die EU-Kommission am 4.6.2021 neue sog. „Standardvertragsklauseln“ veröffentlicht:
Sie dienen damit als Rechtsgrundlage für die Übermittlung in Staaten mit einem unzureichenden Datenschutzniveau, wie z.B. in die USA. Vor der Anwendung dieser Klauseln muss der Rechtsanwender – also Bürger, Unternehmen, Anwälte, Richter – verschiedene Schritte prüfen. Erster Schritt ist hierbei die Prüfung, in welche der vier nachfolgenden Kategorien der Datentransfer fällt:
- Das Unternehmen transferiert zu einem eigenverantwortlichen Unternehmen in den USA, z. B. im Rahmen der gemeinsamen Verantwortlichkeit („Controller to Controller“);

• Das Unternehmen transferiert zu einem weisungsgebundenen Dienstleister („Controller to Processor“);
• Ein Dienstleister transferiert zu einem anderen (Sub-)Dienstleister („Processor to Processor“);
• Ein Dienstleister transferiert zu einem Unternehmen in den USA („Processor to Controller“);

Zweiter Schritt ist die Vornahme eines „Data Transfer Impact Assessments“ gem. Klausel 14. Dies soll eine dokumentierte Risikobewertung sein, u.a. mit Berücksichtigung der besonderen Umstände der Übermittlung sowie gesonderter vertraglicher, technischer oder organisatorischer Garantien (zu denen in technischer Hinsicht z.B. Verschlüsselungssoftware gehört).

Zu guter Letzt ist das übermittelnde Unternehmen (also der Dienstleister) verpflichtet, die Einhaltung der vorstehend genannten Verpflichtungen umfassend zu dokumentieren, um diese auf Verlangen des Auftraggebers nachweisen zu können.
Sie merken also: Es wird nicht einfacher. Künftig ist zu wünschen, dass die Datenschutzbehörden künftig noch besser als bisher dafür sorgen, dass sich US-amerikanische Unternehmen noch intensiver um die Erfüllung datenschutzrechtlicher Anforderungen kümmern, was europäischen Unternehmen einen einfacheren Umgang mit deren Tools ermöglichen würde – ohne große Formalitäten und vielleicht ja irgendwann einmal auch ohne die Verwendung sehr abstrakt gehaltener, kaum verständlicher sog. „Standardvertragsklauseln“.

Bild: ©pixaby