Nachdem der Europäische Gerichtshof durch das sog. Schrems II-Urteil1 die Übermittlung in ein, nach der DSGVO als unsicher eingestuftes, Drittland auf Grundlage des Privacy-Shields für ungültig erklärte und die Anwendbarkeit der nun bereits etwas in die Jahre gekommenen EU-Standardvertragsklauseln zwar nicht gänzlich verneinte, jedoch an zusätzliche Bedingungen knüpfte, war die Rechtsunsicherheit insbesondere bei europäischen Organisationen denkbar groß.
Warum so überraschend schnell?
Gleichwohl bereits seit einiger Zeit angekündigt, ergingen nun – für Verhältnisse des Europäischen Gesetzgebers – geradezu in Lichtgeschwindigkeit die überarbeiteten EU-Standardvertragsklauseln2 [Red.: Die Veröffentlichung im Amtsblatt der Europäischen Union erfolgt in den nächsten Tagen]. Es darf gemutmaßt werden, dass der Einsatz von Dienstleistern in Drittländern (insbesondere US-Amerikanischer), der im Lichte der Übermittlung personenbezogener Daten faktisch im rechtsfreien Raum stand, gleichzeitig aber vom KMU über den Konzern, hin zu Behörden eben nicht von heute auf morgen „abzustellen“ war, ein Grund für die zügige Bereitstellung der Neuauflage des Rahmenwerkes war.
Übermittlung personenbezogener Daten in die USA wieder problemlos möglich?
Ganz so bequem wie beim völlig zurecht für ungültig erklärten Privacy-Shield3, der – salopp gesagt – eine freiwillige Selbstzertifizierung der Unternehmen in Übersee vorsah, wird es wohl nicht werden. Die Grundproblematik der aus Datenschutzsicht uferlosen Einsichtnahme amerikanischer Strafverfolgungsbehörden4 (CLOUD Act; FISA) in Datenbestände von US-Unternehmen bleibt freilich bestehen. Eine Neuauflage der EU-Standardvertragsklauseln hätte man sich jedoch mitunter erspart, wenn keine Änderungen Einzug gehalten hätten.
Die Risikoabschätzung als „Goldene Brücke“ des Datenschutzes?
Nach heutigem Stand müssten Daten regelmäßig nach dem Stand der Technik verschlüsselt werden5, bevor ein Upload auf einen Server besagter Unternehmen stattfindet, da letztlich technisch ausgeschlossen werden muss, dass eine Behörde im Drittland Zugriff auf die (personenbezogenen) Daten erhält. An diesem Grundprinzip wird sich nur unwesentlich etwas ändern. Beim Nutzen eines Cloud-Anbieters als „externer Speicher“ mag die Ver- und Entschlüsselung mit verhältnismäßigem Aufwand gelingen, bei spezialisierten Anwendungen, in deren Natur es liegt, die Daten zu verknüpfen und hierfür ein Zugriff „im Klartext“ erforderlich wird, scheitert dieser Ansatz regelmäßig. Das Dilemma der Unmöglichkeit, US-Amerikanisches Gesetz mittels Vertragsklauseln (welcher Natur auch immer) auszuhöhlen, begleitet uns also weiterhin. Abschnitt III der neuen Standardvertragsklauseln regelt nun explizit prophylaktische und reaktive Maßnahmen im Falle des Zugangs von Behörden zu personenbezogenen Daten. Zusammengefasst darf es dem Unternehmen im Drittland nicht unmöglich sein, die in den Klauseln festgelegten Bedingungen einzuhalten. Ferner sollen die beteiligten Parteien eine Gesamtschau in Form einer Art Risikoanalyse anfertigen, in der unterschiedliche Rahmenbedingungen (z.B. um welchen Wirtschaftszweig handelt es sich), sowie Erfahrungswerte aus, in der Vergangenheit stattgefundenen, Zugriffen besagter Behörden einfließen sollen. Banal ausgedrückt ermöglicht an dieser Stelle gekonntes Argumentieren die Drittlandübermittlung.
Und nun?
Innerhalb einer 18-monatigen Übergangsfrist (Ende: 27.12.2022)6 gilt es nun – je nach Konstellation – die richtigen Module des neuen Vertragswerkes zu wählen, inhaltlich anzupassen und wiederum zu entscheiden, ob eine rechtmäßige Übermittlung (nunmehr) möglich ist, oder nicht. Wie aufgezeigt ist die oben aufgezeigte Argumentation im Zweifelsfall der Dreh- und Angelpunkt. Größere US-Unternehmen dürften dies bereits vorbereiten. Inwieweit die neuen EU-Standardvertragsklauseln den europäischen Datenschutzgrundsätzen tatsächlich gerecht werden, bleibt abzuwarten. Die Privacy-Organisation noyb um Max Schrems hat jedenfalls bereits angekündigt die Klauseln kritisch zu prüfen und ggf. wiederum vor dem Europäischen Gerichtshof anzufechten7.
Sollten Sie datenschutzrechtliche Fragen haben, oder Hilfe benötigen, nehmen Sie gerne Kontakt zu uns auf.
KB
Quellen
1 https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18
3 https://ec.europa.eu/commission/presscorner/detail/de/IP_16_433
4 https://www.justice.gov/dag/cloudact; https://www.justice.gov/nsd/fisa
6 https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914