Neue Standardvertragsklauseln ebnen Weg für US-Datentransfers

Wie Unternehmen Ihr Risiko beim Nutzen von US-Anbietern senken können

Die von der Europäischen Kommission am 4. Juni 2021 veröffentlichten neuen Standarvertragsklauseln (im Englischen standard contractual clauses, "SCCs") haben es in sich. Wer in den Anforderungen und einzuhaltenden Fristen nur Probleme sieht, verkennt aber die große Chance, die sich Unternehmen jetzt bietet. Das Verhalten der deutschen Datenschutzbehörden macht diese Chance gerade jetzt besonders attraktiv.

  • Mit den neuen Standardvertragsklauseln lassen sich US-Anbieter so risikoarm nutzen wie seit der Aufhebung des Privacy Shields nicht mehr.
  • Die Zeit drängt: Wie im Juni bekannt wurde, haben die Datenschutzbehörden länderübergreifend mit der koordinierten Prüfung von Übermittlungen in die USA begonnen.
  • Bei rechtswidriger Übermittlung von personenbezogenen Daten in die USA droht ein Bußgeld bis zu bis zu 20 Millionen € oder 4 % des Jahresumsatzes.

Drei Schritte, die die Geschäftsleitung jetzt umsetzen sollte

Es ist ein häufiges Missverständnis, dass die Verantwortung für den Datenschutz im Unternehmen an Mitarbeiter oder den Datenschutzbeauftragten delegiert werden kann. Die Verantwortung bleibt vielmehr bei der Geschäftsführung bzw. beim Vorstand. Die Geschäftsleitung sollte sich deshalb unverzüglich mit dem Thema der US-Transfers auseinandersetzen. Dazu bietet sich ein Prozess in drei Schritten an:

  1. Bestandsaufnahme: Welche US-Anbieter nutzen wir oder unsere Subunternehmer? Wo und wie übertragen wir personenbezogene Daten in die USA? Welche vertraglichen Regelungen mit den US-Anbietern oder andere geeignete Garantien nutzen wir derzeit?
  2. Anfrage bei US-Anbietern: Fordern Sie beim jeweiligen US-Anbieter neue Standardvertragsklauseln an bzw. fordern Sie Ihre Subunternehmer (z.B. Webagentur, IT-Dienstleister) auf, diese anzufordern. Alternativ können Sie auch selbst initiativ neue Standardvertragsklauseln vorschlagen. Fragen Sie außerdem nach Sicherheitsmaßnahmen bzw. fordern Sie die Subunternehmen auf, nach Sicherheitsmaßnahmen zu fragen, mit denen die besonderen Risiken der Übermittlung in die USA aufgefangen werden.
  3. Prüfung und Protokollierung: Sie müssen überprüfen, ob die Standardvertragsklauseln und deren Anhänge korrekt verwendet, ausgewählt und ausgefüllt sind und dass deren Text nicht verändert wurde. Anhand der mittgeteilten Schutzmaßnahmen müssen Sie überprüfen, ob bei der jeweiligen konkreten Verarbeitung beim US-Anbieter ein hinreichendes Datenschutzniveau sichergestellt ist. Die Ergebnisse der drei Schritte müssen Sie schließlich zu Nachweiszwecken dokumentieren.

Selbstverständlich können Teile dieses Prozesses delegiert werden. Die Geschäftsleitung muss aber immer den Überblick behalten und sicherstellen, dass die datenschutzrechtlichen Anforderungen umgesetzt werden und dies dokumentieren.

Es eilt: Im Juni ist das Risiko nochmals gestiegen

Obwohl die Entscheidung des Europäischen Gerichtshof zur Aufhebung des EU-US Privacy Shield schon am 16. Juli 2020 gefallen ist (mehr dazu unten), bekommen US-Transfers seit Juni 2021 besondere Brisanz. Denn wie bekannt wurde haben die Datenschutzaufsichtsbehörden in Deutschland eine koordinierte länderübergreifende Prüfung der internationalen Datentransfers gestartet. Das praktische Bußgeldrisiko ist damit für viele Unternehmen deutlich gestiegen – und zwar auch für solche, die in einem Bundesland ihren Sitz haben, in dem die Aufsichtsbehörde bisher zurückhaltender vorging.

Umsetzungfrist drei bzw. 18 Monate

Werden neue Verträge nach den Standardvertragsklauseln mit Anbietern in Drittstaaten (also auch den USA) abgeschlossen, müssen diese innerhalb von drei Monaten nach Veröffentlichung der neuen Standardvertragsklauseln auch verwendet werden (und nicht mehr die alten Standardvertragsklauseln). Altverträge, die noch die alten Standardvertragsklauseln verwenden, müssen innerhalb von 18 Monaten aktualisiert werden.

Hintergrund der neuen Standardvertragsklauseln

Hintergrund der anhaltenden Problematik im Zusammenhang mit der Übermittlung von personenbezogenen Daten in die USA ist die sogenannte Schrems II Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020. Darin hob der EuGH das bis dahin gültige EU-US Privacy Shield Beschluss auf. Somit Stand das Privacy Shield nicht mehr als geeignete Garantie für die Übermittlung von personenbezogenen Daten in Drittländer (also Länder außerhalb der EU/des EWR) zur Verfügung.

Jede Übermittlung in ein Drittland, also auch in die USA, muss nach der Datenschutz-Grundverordnung (DSGVO) von einer geeigneten Garantie oder einem Angemessenheitsbeschluss gedeckt sein. Die alten Standardvertragsklauseln galten zwar nach der Schrems II Entscheidung weiter, jedoch kritisierte der EuGH auch diese im Zusammenhang mit Übermittlungen in die USA. Die von der Europäischen Kommission erlassenen Standardvertragsklauseln können bei richtiger Umsetzung und Erfüllung der Anforderungen eine geeignete Garantie darstellen. Die neuen Standardvertragsklauseln adressieren direkt die Kritik des EuGH an den bisherigen Standardvertragsklauseln und sollen somit eine Übermittlung in Drittstaaten ermöglichen.

Obwohl es sich durchgesetzt hat, allgemein von Standardvertragsklauseln (standard contractual clauses) zu sprechen, wäre der korrekte Begriff eigentlich Standarddatenschutzklauseln (standard data protection clauses) gemäß Art. 46 Absatz 2 Buchstabe c) DSGVO. Davon abzugrenzen sind die Standardvertragsklauseln gemäß Art. 28 DSGVO. In diesem Artikel sind ausschließlich die Standarddatenschutzklauseln gemeint.