Neue Standardvertragsklauseln

Datenübermittlung in die USA und in Drittstaaten

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt.
Der EuGH hält das Datenschutzniveaus in den USA nicht für angemessen, da das Privacy Shield-Abkommen keinen ausreichenden Schutz biete gegenüber nachrichtendienstlichen Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet werden bzw. dorthin übermittelt werden.
Daraufhin konnte mit sofortiger Wirkung keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden und der Abschluss von Standardvertragsklauseln war in den meisten Fällen notwendig.
Nun hat die EU-Kommission am 10. Juli 2023 einen Angemesenheitsbeschluss für den Transfer personenbezogener Daten in die USA getroffen (sogenanntes Data Privacy Framework). Dieser Beschluss bestätigt den in einer Liste zertifizierten US-Unternehmen ein der EU vergleichbar angemessenes Datenschutzniveau. Auf dieser Grundlage können Verantwortliche und Auftragsverarbeiter fortan personenbezogene Daten an zertifizierte Unternehmen aufgrund des Data Privacy Frameworks übermitteln. Solange dieser Datenschutzrahmen zwischen der EU und den USA Geltung entfaltet, ist eine Einzelfallprüfung für Datenübermittlungen obsolet. Spezielle Schutzmaßnahmen nach der DSGVO, wie EU-Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands im Einzelfall, sind nicht zu treffen. Dies gilt allerdings nur bei Datentransfers mit gemäß des Data Privacy Framework zertifizierten US-Unternehmen.
Das US-Handelsministerium hat eine Liste von US-Unternehmen veröffentlicht, die sich gegenüber dem Ministerium selbst zertifiziert und sich zur Einhaltung der Grundsätze des neuen Datenschutzrahmens verpflichtet haben. Dabei ist zu überprüfen, ob die Zertifizierung auch alle Arten der zu übermittelnden personenbezogenen Daten abdeckt. Datenübermittlungen an US-Unternehmen, die nicht in dieser Liste aufgeführt sind oder, wenn die relevanten Datenarten vom zertifizierten Unternehmen nicht abgedeckt sind, werden weiterhin die zuvor genannten speziellen Schutzmaßnahmen benötigt. In der Praxis sind dies insbesondere die EU-Standardvertragsklauseln. Setzt der Datenempfänger in den USA Subunternehmer ein, müssen diese Subunternehmer auch selbst nach der Liste zertifiziert sein, oder entsprechende Garantien nach DSGVO für ein angemessenes Datenschutzniveau (wie Standardvertragsklauseln) bereitstellen.

Im Übrigen haben bereits abgeschlossene Standarddatenschutzklauseln weiterhin Bestand. Einige Aufsichtsbehörden, so zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht, empfehlen bestehende Standardvertragsklauseln vorerst nicht gegenüber US-Vertragspartnern zu widerrufen, sondern abzuwarten bis der US-Vertragspartner ein auf das EU-US Data Privacy Framework gestütztes Vertragsangebot vorgelegt hat (Vorausetzung hierfür ist die Zertifizierung des US-Unternehmes).
Gleichwohl wird die EU-Kommission die Funktionsweise des Data Privacy Framework zwischen der EU und den USA fortlaufend überprüfen, voraussichtlich erstmals nächstes Jahr. Darüber hinaus erwarten die Datenschutzaufsichtsbehörden, dass auch das Data Privacy Framework perspektivisch Gegenstand einer Überprüfung durch den EuGH sein wird.

Was ist sonst noch bei Datenübermittlungen zu beachten?


  • Wenn Daten an US-Unternehmen übermittelt werden (z.B. auch beim Besuch der Webseite), muss der Betreiber der Website darüber informieren, ob diese Datenübermittlung auf den Angemessenheitsbeschluss oder eine andere Schutzmaßnahme (z.B. Standardvertragsklauseln) gestützt werden. Daher ist die Datenschutzerklärung zu aktualisieren. Die bisher genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. durch den Angemessenheitsbeschluss ersetzt werden.
  • Ebenso anzupassen ist das Verzeichnis der Verarbeitungstätigkeiten. Auch hier ist bei Datenübermittlungen in die USA gegebenenfalls der Angemessenheitsbeschluss als zugrundeliegende Maßnahme zu dokumentieren.
  • Gegebenenfalls ist das Cookie-Banner zu aktualisieren, wenn darüber bisher die Einwilligung der Besucher für den Datentransfer in die USA eingeholt wurde. Bei der Übermittlung an zertifizierte US-Unternehmen entfällt diese Einwilligung in die Datenübermittlung. Die Einwilligung an sich in Tracking bzw. die Profilbildung zu Werbezwecken muss aber weiterhin unverändert eingeholt werden.

Was sind sogenannte Standardvertragsklauseln?

Eine mögliche Garantie für Datenübermittlungen in die USA ist der Abschluss sogenannter Standardvertragsklauseln. Dies sind vorgefertigte Vertragsmuster der EU-Kommission für die Übermittlung von Daten von Ländern der Europäischen Union in Drittländer (Nicht-EU-Länder). Wie eingangs erwähnt kommen Standardvertragsklauseln dann als Schutzmaßnahme in Betracht, wenn kein Angemessenheitsbeschluss vollumfänglich greift.
Die früheren Standardvertragsklauseln sind gemäß den Anforderungen des EuGH aus dem Schrems II-Urteil von der Europäischen Kommission an die Anforderungen der DSGVO angepasst und am 4. Juni 2021 veröffentlicht worden. Dabei gibt es zwei Sets von Standardvertragsklauseln, die abgeschlossen werden können. Ein Set betrifft Datenübermittlungen zwischen Unternehmer und dem Auftragsverarbeiter und ein Set ist für die Übermittlung personenbezogener Daten in Drittstaaten vorgesehen. Diese Vertragsmuster müssen unverändert übernommen werden. Werden Daten in Drittstaaten/die USA übermittelt, sind die neuen Standardvertragsklauseln abzuschließen. Bestehende Vertragsverhältnisse, bei denen bisher personenbezogene Daten in Drittstaaten/die USA übermittelt werden und bei denen die Datenübermittlung auf die bisherigen Standardvertragsklauseln gestützt wurden, sind auf die neuen Standardvertragsklauseln anzupassen. Für die Anpassung bestehender Vertragsverhältnisse an die neuen Standardvertragsklauseln war eine Übergangsfrist von 18 Monaten vorgesehen. Die Frist endete am 27. Dezember 2022. Wurden also für Datenübermittlungen bisher die „alten“ Standardvertragsklauseln verwendet, mussten diese bis zum 27. Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden. Falls noch nicht geschehen, sollten Unternehmen und Start-ups mit Datenübermittlungen in Drittländer die Datenempfänger um die Vorlage der neuen Standardvertragsklauseln bitten, oder diesen die neuen Standardvertragsklauseln zur Unterschrift vorlegen. Letztlich gilt dies auch für alle anderen Drittstaaten (z.B. Russland, Indien, China), die kein der EU angemessenes Datenschutzniveau gewährleisten können.
Im Dezember 2022 hat die EU-Kommission ein förmliches Verfahren zur Annahme eines Angemessenheitsbeschlusses für die Datenübermittlung in die USA eingeleitet. Mit einem Angemessenheitsbeschluss für ein angemessenes Schutzniveau beim Datenempfänger wäre es möglich, internationale Datenübermittlungen in die USA auch ohne Standardvertragsklauseln durchzuführen. Bis der Angemessenheitsbeschluss verabschiedet ist, sind allerdings die neuen Standardvertragsklauseln abzuschließen.

Wie können Sie konkret beim Abschluss der neuen Standardvertragsklauseln vorgehen?

  1. Bestandsaufnahme betriebsintern
  • Werden Daten von Kunden, Mitgliedern, Usern, etc. in Drittstaaten (insbesondere USA) verarbeitet?
  • Werden Daten von Kunden, Mitgliedern, Usern, etc. von Unternehmen verarbeitet, deren Sitz sich in den USA befindet?
2. Bestandsaufnahme der in Anspruch genommenen Sub-Dienstleister
  • Setzen Dienstleister und Auftragsverarbeiter Anbieter aus Drittsaaten/USA ein? (Z. B. Webhoster, Buchhaltungsdienst)
3. Vereinbarung der SCC
  • Unternehmen aus Drittstaaten müssen um die Vorlage neuer Standardvertragsklauseln gebeten werden
  • Austragsverarbeiter müssen gefragt werden, ob Standardvertragsklauseln mit deren Subunternehmern in Drittstaaten geschlossen wurden
4. Überprüfung der technischen Schutzmaßnahmen
  • Anbieter aus Drittstaaten müssen um Nennung von Sicherheitsmaßnahmen gebeten werden (z. B. Verschlüsselung)
  • Auftragsverarbeiter müssen gefragt werden, ob deren Subunternehmer Schutzmaßnahmen nachgewiesen haben
Obige Vorgänge sind zu dokumentieren und protokollieren.
Der Abschluss der Standardvertragsklauseln reicht im Einzelfall allein nicht aus.
Erforderlich ist außerdem
  • die Prüfung des Vertragstextes der Standardvertragsklauseln. Es muss das richtige Set gewählt worden sein und die Klauseln dürfen inhaltlich nicht verändert worden sein. Die Anhänge zu den Standardvertragsklauseln müssen ordnungsgemäß ausgefüllt sein.
  • das durch die Standardvertragsklauseln zugesagte Datenschutzniveau muss auch tatsächlich eingehalten werden. Insbesondere in Bezug auf Datenübermittlungen in die USA ist zu prüfen, ob das Risiko des Zugriffs auf die Daten durch US-Behörden und nachrichtendienstliche Anordnungen verhindert wird.
Zur Ergänzung der Standardvertragsklauseln wird auch auf die Orientierungshilfe des Landesdatenschutzbeauftragten Baden-Württembergs hingewiesen.
Achtung bei Subunternehmern: Setzt der Dienstleister und Datenempfänger im Drittstaat seinerseits Subunternehmer ein, sehen die Standardvertragsklauseln nun auch die Konstellation vor, dass der Dienstleister die Klauseln direkt mit dem Subunternehmer abschließt.
  • Daten innerhalb der EU speichern
Viele größere US-Anbieter, bieten inzwischen aber die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden. Daher sollten Unternehmen Ihre US-Dienstleister nach EU-Servern fragen und möglichst in europäischen Rechenzentren ihre Datenhaltung betreiben. Ob dies ein „sicherer“ Weg ist, lässt sich abschließend nicht sagen. Das Risiko bei Datenübermittlungen in die USA liegt grundsätzlich potenziell im relativ leichten Zugriff auf Daten durch US-Behörden. Dennoch dürfte es gegenüber den Aufsichtsbehörden ein positives Zeichen sein, sich um eine Datenverarbeitung außerhalb der USA zu bemühen.
  • Ausnahmen vom Abschluss der Standardvertragsklauseln
Art. 49 DSGVO enthält verschiedene Ausnahmen, wonach personenbezogene Daten transferiert werden können, ohne dass es dem Abschluss formaler Standardvertragsklauseln oder Angemessenheitsbeschlüssen bedarf. Unternehmen sollten daher prüfen, ob ihre Datenübermittlung unter diese Ausnahmen fallen könnten. Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene
Datenschutzniveau informiert wurde. Eine Übermittlung von Kundendaten ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle, in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen selbst veranlasst hat. Beispielsweise die Übermittlung von Name, Anschrift und Kontaktdaten für die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.
Ist die Übermittlung in die USA unzulässig, können die üblichen Sanktionen durch Aufsichtsbehörden drohen. Es könnte die Unterlassung des Einsatzes von Diensten und Dienstleistern verlangt oder Bußgelder (bis 4 Prozent des Umsatzes eines Unternehmens) verhängt werden.