Fast jedes Unternehmen nutzt die Onlinedienste US-amerikanischer Unternehmen wie Google, Facebook, etc. und tauscht hierzu zwangsläufig in Europa erhobene Daten mit einem Server in den USA aus. Datenschutzrechtlich war dies auch unter den besonderen und neuen Regelungen der DSGVO nach 2018 möglich, da ein sog. Privacy-Shield zwischen USA und der EU ausverhandelt war, das eine ausreichende datenschutzrechtliche Sicherheit auch in den USA gewährleistete. Ein Bezug auf diese Grundsätze war somit ausreichend, um datenschutzkonform US-amerikanische Dienste zu nutzen.
Der Europäische Gerichtshof (EuGH) hebelte dieses Privacy-Shield allerdings aus
Mit Urteil vom 16. Juli 2020 erklärte der EuGH das im Jahr 2016 verabschiedete Privacy-Shield für unwirksam.
Das Gericht stellte sich auf den Standpunkt, das Privacy-Shield biete entgegen der Auffassung der europäischen Kommission kein angemessenes Schutzniveau im Sinne der DSGVO. Insofern sei die Entscheidung der EU-Kommission hinsichtlich der Feststellung, das Schutzniveau in den USA entspreche im Wesentlichen demjenigen in Europa, insgesamt nichtig.
Zur Begründung führte der EuGH aus, dass die von den amerikanischen Sicherheitsbehörden verwendeten informationstechnischen Programme eine umfassende und anlasslose staatliche Massenüberwachung ermöglichten. Außerdem wurde angeführt, dass eine gerichtliche Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen in den USA nicht oder nur eingeschränkt möglich sei.
Mögliche Alternative: Standardvertragsklauseln - Was sind Standardvertragsklauseln?
Der Datenaustausch mit europäischen Drittländern (also Ländern außerhalb der EU) bedarf einer rechtlichen Grundlage, die gewährleistet, dass im Drittland ein der DSGVO vergleichbares datenschutzrechtliches Niveau gewährleistet werden kann. Um eine einzelvertragliche und damit komplizierte Ausarbeitung zu vermeiden, hat die EU Standardklauseln entwickelt, bei deren wortgleicher Verwendung eine praktikable Lösung zur Gewährleistung des Datenschutzniveaus angenommen wird.
In Bezug auf die noch letztes Jahr geltenden Standardvertragsklauseln befanden die Richter des EuGH zwar diese für weiterhin gültig. Allerdings setzten sie hohe Hürden für deren Einsatz in der Praxis: so bestünde nach Ansicht des Gerichts auf Seiten eines jeden verantwortlichen Datenexporteurs oder -importeurs eine Prüfpflicht zu der Frage, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der übermittelten personenbezogenen Daten gewährleistet oder ob erforderlichenfalls zusätzliche Garantien vereinbart werden müssten.
Die unmittelbare Folge für die Unternehmenspraxis war, dass jeder, der sich auf die Standardvertragsklauseln berufen wollte, zukünftig eine eigene Rechtsprüfung bzgl. des Schutzniveaus im jeweiligen Drittland durchzuführen hat. Der Vorteil der Verwendung der Standardvertragsklauseln wurde durch das EuGH konterkariert.
Aus diesem Grund hat die EU-Kommission nun jüngst im Juni neue Standardvertragsklauseln zur Anwendung im internationalen Datentransfer veröffentlicht. Dabei wurden die Vorgaben beachtet, welche durch die neuen Anforderungen des EuGHs aufgestellt wurden.
Folgen der neuen Standardvertragsklauseln
Die neu veröffentlichten Standardvertragsklauseln spiegeln die neuen Anforderungen der DSGVO wider und tragen laut EU-Kommission den im Rahmen eines modernen Unternehmens anfallenden Problemen hinsichtlich des grenzüberschreitenden Datenschutzes Rechnung.
Als standardisierte und nunmehr genehmigte Standardvertragsklauseln bieten Sie den Unternehmen eine leicht umzusetzende Vertragsvorlage. Diese bieten laut der EU-Behörde die Rechtssicherheit, bei Verwendung der Vorlage den Datenschutzanforderungen hinreichend gerecht zu werden.
Hinweis
Die neuen Standardvertragsklauseln bieten eine gute Grundlage, um personenbezogene Daten auch zukünftig in rechtmäßiger Weise grenzüberschreitend exportieren oder importieren zu können. Hierfür ist jedoch erforderlich, die in den neuen Vertragsklauseln vorgesehenen Prüfschritte einzuhalten – eine diesbezügliche praktische Hilfestellung bietet insbesondere die zusammen mit den Klauseln veröffentlichte Übersicht der erforderlichen Maßnahmen. Hinsichtlich der Umstellung auf die neuen Standardvertragsklauseln ist Verantwortlichen, die die bereits bestehenden Standardvertragsklauseln verwenden, ein Übergangszeitraum von 18 Monaten eingeräumt worden.
Bei offenen Fragen zu den neuen Standardvertragsklauseln können Sie jederzeit gerne auf uns zukommen.