Nachdem der EuGH (C-311/18) das EU-US Privacy-Shield Abkommen für ungültig erklärte, stellt sich die Frage unter welchen Voraussetzungen Datentransfers in die USA künftig zulässig sind und ob Standardvertragsklauseln hierbei als Lösung eingesetzt werden könnten.
Auch unabhängig von datenschutzrechtlichen Abkommen (wie dem Privacy-Shield) oder etwaigen individualvertraglichen Gestaltungen trotz Verwendung der EU-Standardvertragsklauseln werden auch künftig Bedenken bestehen bleiben. Denn US-Behörden haben weitreichende Befugnisse, wenn es um den Zugriff auf (personenbezogene) Daten geht. Da Unternehmen aber aufgrund der meist besseren Kapazität, Qualität, Preis und Sicherheit auf die Dienste der US-amerikanischen Dienstleister angewiesen sind und nicht auf europäische Dienstleister zurückgreifen können, sind diese letztlich auf den Datentransfer in die USA angewiesen. Zudem befinden sich auch oft Tochtergesellschaften in den USA, sodass ein Datentransfer für manche Unternehmen unumgänglich ist.
Da die Datenübermittlung selbst bereits eine Datenverarbeitung darstellt bedarf es in rechtlicher Hinsicht – wie auch bei einer Datenverarbeitung allein innerhalb der EU – zum einen eine Rechtsgrundlage (Art.6 DSGVO). Erst im nächsten Schritt müssen ergänzend die Voraussetzungen der DSGVO für die Übermittlung in Drittländer eingehalten werden. Nach den Art. 44 ff. DSGVO muss der Verantwortliche daher für den Datenschutz geeignete Garantien nachweisen, welche die Sicherheit der Daten und ein angemessenes Datenschutzniveau im Drittland bestätigen.
So muss bei der Übermittlung die Vertraulichkeit, Integrität und Zweckbindung hinsichtlich der Verarbeitung der übermittelten personenbezogenen Daten gegeben sein. Dies könnte durch die Verwendung der sog. EU-Standardvertragsklauseln umgesetzt werden.
Diese Standardvertragsklauseln wurden von der EU-Kommission noch unter Geltung der EG 95/46- Richtlinie – der Vorgängerin der DSGVO – erlassen und gelten in Art.46 Abs.5 DSGVO auch nach in Krafttreten der DSGVO fort.
Unter den zahlreichen einzelnen Klauseln sind aus datenschutzrechtlicher Sicht folgende Klauseln besonders wichtig:
- Klausel 2: Einzelheiten für die Übermittlung: Die Vertragsbeteiligten sind verpflichtet die konkreten Zwecke und Mittel der Datenverarbeitung im Drittland konkret festzuhalten, bevor ein Datentransfer überhaupt erfolgen darf.
- Klausel 4: Der Datenexporteur gewährleistet, dass er die zu übermittelnden Daten auch bisher rechtmäßig verarbeitet hat, wobei Betroffene von denen personenbezogene Daten der besonderen Kategorie (Art.9 DSGVO) übermittelt werden, vorher darüber in Kenntnis gesetzt werden und ihnen auf Anfrage eine Kopie der Klauseln zur Verfügung gestellt werden müssen. Außerdem muss sichergestellt werden, dass der Datenempfänger im Drittland die Wahrnehmung der Betroffenenrechte und Kontrollrechte der Aufsichtsbehörden gewährleistet.
- Klausel 5: Zu den Pflichten des Datenimporteurs gehört auch dass er bestätigt, dass er «seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen – und dass er, wenn es doch einmal so kommen sollte, den Exporteur hierüber informiert».
Gerade dies scheint unter Berücksichtigung der bereits angesprochenen weitreichenden Ermächtigungsgrundlagen von US-Behörden fraglich. Denn gesetzlich können diese zu jedem Zeitpunkt – zumindest nicht mit erheblichen Aufwand – auf Daten von elektronischen Kommunikationsdienstleistern, wie z.B. Cloudanbietern und andere Softwareanbietern, zurückgreifen. Auch wenn hierdurch zwar grundsätzlich der Datenimporteur in die Pflicht genommen wird, bleibt der Datenexporteur haftungsrechtlich Verantwortlicher und hat neben finanziellen Sanktionen im Falle einer Pflichtverletzung auch einen Imageschaden zu fürchten. - Klausel 6: Im Rahmen der Entscheidungsfindung, ob und unter welchen Voraussetzungen personenbezogene Daten in ein Drittland wie den USA übermittelt werden, sollten Verantwortliche berücksichtigen, dass sie nach Art.82 DSGVO mit dem Empfänger im Drittland gesamtschuldnerisch haften, wobei Betroffene die Wahl haben, welchen von beiden sie für einen Datenschutzvorfall schadensrechtlich (voll) in Haftung nehmen wollen, ungeachtet eines etwaigen Regresses im Innenverhältnis.
Verantwortliche sollten mE daher jede Datenübermittlung in die USA genau prüfen und entscheiden, ob nicht auch eine alleinige Datenverarbeitung innerhalb der EU möglich ist. So bieten mittlerweile einige US-Dienstleister bereits Wahlmöglichkeiten an, die Daten entweder über US-Server oder aber über Server zu verarbeiten, die sich in der EU befinden. Sollte eine Datenübermittlung in die USA unumgänglich sein, sollten Verantwortliche mindestens auf die Verwendung u.a. von EU-Standardvertragsklauseln setzen, ggf. sogar ergänzende Vertragsinhalte vereinbaren.
Dabei sollten Verantwortliche allerdings bedenken, dass nicht der bloße Abschluss solcher Klauseln entscheidend ist, sondern eine rechtmäßige Übermittlung nur dann gegeben ist und gewährleistet werden kann, wenn diese auch tatsächlich umgesetzt werden. Diese tatsächliche Umsetzung muss ferner vorab aber auch nach Beginn der Verarbeitung regelmäßig kontrolliert werden, möchten sich Datenexporteure keiner Haftung aussetzen.
Wie derartige Kontrollen von Kleinunternehmern oder auch größeren Mittelstandsunternehmen erbracht werden können, steht hierbei auf einem anderen Blatt…