Datenübermittlung in die USA und in Drittstaaten

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt. Der EuGH hält das Datenschutzniveaus in den USA nicht für angemessen, da das Privacy Shield-Abkommen keinen ausreichenden Schutz biete gegenüber nachrichtendienstlichen Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet werden bzw. dorthin übermittelt werden.
Durch die Ungültigkeit des Angemessenheitsbeschlusses kann mit sofortiger Wirkung keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden. Ob und wann ein „Ersatz“ für die Privacy Shield-Vereinbarung vorhanden sein wird, ist aktuell nicht abzusehen. Aufgrund des Regierungswechsels in den USA und der vorhandenen nachrichtendienstlichen Rechtslage kann dies voraussichtlich noch einige Zeit in Anspruch nehmen.

Was müssen Unternehmen nach dem Urteil tun?

Unternehmen und Start-ups sollten überprüfen, welche Dienstleister personenbezogenen Daten in Drittländern verarbeiten. Die bisher hierfür genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. ersetzt werden. Außerdem sollten die Verarbeitungsverzeichnisse und die Datenschutzerklärungen angepasst und Hinweise auf Privacy Shield als Garantie für eine Datenübermittlung entfernt werden.

1. Abschluss von Standardvertragsklauseln

Eine mögliche Garantie für Datenübermittlungen in die USA sind sogenannte Standardvertragsklauseln. Dies sind vorgefertigte Vertragsmuster der EU-Kommission für die Übermittlung von Daten von Ländern der Europäischen Union in Drittländer (Nicht-EU-Länder).
Diese Standardvertragsklauseln sind gemäß den Anforderungen des EuGH aus dem Schrems II-Urteil von der Europäischen Kommission an die Anforderungen der DSGVO angepasst und am 4. Juni 2021 veröffentlicht worden. Dabei gibt es zwei Sets von Standardvertragsklauseln, die abgeschlossen werden können. Ein Set betrifft Datenübermittlungen zwischen Unternehmer und dem Auftragsverarbeiter und ein Set ist für die Übermittlung personenbezogener Daten in Drittstaaten vorgesehen.
Diese Vertragsmuster müssen unverändert übernommen werden. Werden Daten in Drittstaaten/die USA übermittelt, sind die neuen Standardvertragsklauseln abzuschließen. Bestehende Vertragsverhältnisse bei denen bisher personenbezogene Daten in Drittstaaten/die USA übermittelt werden und bei denen die Datenübermittlung auf die bisherigen Standardvertragsklauseln gestützt wurden, sind auf die neuen Standardvertragsklauseln anzupassen.
Für die Anpassung bestehender Vertragsverhältnisse an die neuen Standardvertragsklauseln ist eine Übergangsfrist von 18 Monaten vorgesehen. Die Frist endet am 27. Dezember 2022. Wurden also für Datenübermittlungen bisher die “alten” Standardvertragsklauseln verwendet, müssen diese bis zu diesem Datum durch die neuen Standardvertragsklauseln ersetzt werden. Unternehmen und Start-ups mit Datenübermittlungen in Drittländer müssen die Datenempfänger also um die Vorlage der neuen Standardvertragsklauseln bitten, oder diesen die neuen Standardvertragsklauseln zur Unterschrift vorlegen. Letztlich gilt dies auch für alle anderen Drittstaaten (z.B. Russland, Indien, China), die kein der EU angemessenes Datenschutzniveau gewährleisten können.
Der Abschluss der Standardvertragsklauseln reicht im Einzelfall allein nicht aus.
Erforderlich ist außerdem
  • die Prüfung des Vertragstextes der Standardvertragsklauseln. Es muss das richtige Set gewählt worden sein und die Klauseln dürfen inhaltlich nicht verändert worden sein. Die Anhänge zu den Standardvertragsklauseln müssen ordnungsgemäß ausgefüllt sein.
  • das durch die Standardvertragsklauseln zugesagte Datenschutzniveau muss auch tatsächlich eingehalten werden. Insbesondere in Bezug auf Datenübermittlungen in die USA ist zu prüfen, ob das Risiko des Zugriffs auf die Daten durch US-Behörden und nachrichtendienstliche Anordnungen verhindert wird.
Achtung bei Sub-Unternehmern: Setzt der Dienstleister und Datenempfänger im Drittstaat seinerseits Sub-Subunternehmer ein, müssen Sie die Standardvertragsklauseln auch direkt mit dem Subunternehmer abschließen. Die Klauseln gibt es nur in der Variante Unternehmer (Verantwortlicher) und Subunternehmer, ein Abschluss zwischen Dienstleister und Sub-Unternehmer ist nicht möglich, da es für solche eine Konstellation keine Klauseln gibt.

2. Daten innerhalb der EU speichern

Viele größere US-Anbieter, bieten inzwischen aber die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden. Daher sollten Unternehmen Ihre US-Dienstleister nach EU-Servern fragen und möglichst in europäischen Rechenzentren ihre Datenhaltung betreiben. Ob dies ein “sicherer” Weg ist, lässt sich abschließend nicht sagen. Das Risiko bei Datenübermittlungen in die USA liegt grundsätzlich potentiell im relativ leichten Zugriff auf Daten durch US-Behörden. Dennoch dürfte es gegenüber den Aufsichtsbehörden ein positives Zeichen sein, sich um eine Datenverarbeitung außerhalb der USA zu bemühen.

3. Ausnahmen vom Abschluss der Standardvertragsklauseln

Art. 49 DSGVO enthält verschiedene Ausnahmen, wonach personenbezogene Daten transferiert werden können, ohne dass es dem Abschluss formaler Standardvertragsklauseln oder Angemessenheitsbeschlüssen bedarf. Unternehmen sollten daher prüfen, ob ihre Datenübermittlung unter diese Ausnahmen fallen könnten.
Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene Datenschutzniveau informiert wurde. Eine Übermittlung von Kundendaten ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle, in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen selbst veranlasst hat. Beispielsweise die Übermittlung von Namen, Anschrift und Kontaktdaten für die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.
Ist die Übermittlung in die USA unzulässig, können die üblichen Sanktionen durch Aufsichtsbehörden drohen. Es könnte die Unterlassung des Einsatzes von Diensten und Dienstleistern verlangt oder Bußgelder (bis 4 Prozent des Umsatzes eines Unternehmens) verhängt werden.