Anlass zum Handeln sah die EU-Kommission aus zwei Gründen: Zum einen stammten die bisherigen Klauseln noch aus der Zeit vor der EU-Datenschutzgrundverordnung (DSGVO), die schon seit zwei Jahren gilt.
Hohe Hürden durch Schrems-II-Urteil
Vor allem aber stellt das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) vom 28.07.2020 Unternehmen vor schwer lösbare Probleme, wenn sie personenbezogene Informationen an Cloud- oder IT-Dienstleister mit Rechenzentren in sogenannten Drittländern übermitteln wollen, also Länder außerhalb der EU oder des Europäischen Wirtschaftsraumes (EWR). Denn die Luxemburger Richter erklärten das Privacy Shield für ungültig, das EU und USA ausgehandelt hatten, um einen Schutzschild für den den transatlantischen Transfer personenbezogener Daten aufzuspannen. Die US-Gesetze würden einen so weitreichenden Zugriff durch Nachrichtendienste und Sicherheitsbehörden zulassen, dass der Datenschutzstandard nicht dem der EU entspreche, so der EuGH. Damit entfiel für Unternehmen die wichtigste rechtliche Grundlage für den transatlantischen Fluss personenbezogener Kunden- und Mitarbeiterdaten.
Verlässliche und praxisnahe Vorgaben fehlten
Zugleich knüpften die Luxemburger Richter enge Bedingungen an die Nutzung der sogenannten Standardvertragsklauseln, auf denen der Datenfluss in Drittländer in der Praxis ebenfalls sehr häufg basiert. Damit verpflichten sich die Vertragspartner, das Europäische Datenschutzniveau einzuhalten, wenn beispielsweise ein Cloudanbieter Kundendaten auf Rechenzentren in den USA speichert. Oder wenn einem IT-Dienstleister mit Sitz in den vereinigten Staaten Zugriff auf Server in Europa gewährt wird. Laut EuGH muss der Datenexporteur aber zuvor im Einzelfall prüfen: Stellen die Umstände der Übertragung oder technische Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung ein angemessenes Schutzniveau sicher? Mangels verlässlicher und einheitlicher Leitlinien der Datenschutzbehörden herrschte nun oft Ratlosigkeit in den Unternehmen: Wann reichen welche Sicherheitsmaßnahmen aus? Auch die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) halfen nur bedingt weiter.
Aufwendige Risikoanalyse bleibt
Mit den neuen Standardvertragsklauseln will die EU Kommission Abhilfe schaffen. Tatsächlich besteht mehr Rechtssicherheit: Insbesondere die Klauseln 14 und 15 tragen der Schrems-II-Rechtsprechung und den Vorschlägen der Datenschutzbehörden Rechnung. Aber auch auf Basis der neuen Standardvertragsklauseln soll der Transfer personenbezogener Daten unterbleiben, wenn Recht und Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die Sicherheitsmaßnahmen einzuhalten. Unternehmen sind zu einer Daten-Transfer-Folgenabschätzung verpflichtet, einem sogenannten Transfer Impact Assessment. Sie müssen sich davon überzeugen, dass der Vertragspartner aus dem Drittland den Pflichten aus den Standardvertragsklauseln nachkommen kann. In der Praxis müssen Datenschutz-Verantwortliche also weiterhin im konkreten Einzelfall analysieren: Welche Gesetze des Drittlandes gelten für den Dantentransfer? Und kollidieren diese unter Umständen mit den Garantien, die in den Standardvertragsklauseln stehen?
Rasch reagieren
Unternehmen sollten schnell aktiv werden:
- Alle neu geschlossenen Verträge müssen ab dem 29.09.2021 die neue Version berücksichtigen.
- In Altverträgen gilt es, die bereits bestehenden Standardvertragsklauseln innerhalb von 18 Monaten bis zum 27.12.2022 durch die neuen zu ersetzen. Notwendig ist dafür eine Bestandsaufnahme im Unternehmen selbst, aber auch bei Subunternehmen.
- Zudem müssen Datenschutz-Verantwortliche die Rechtslage im Drittland prüfen und bei den Vertragspartnern aus Drittländern anfragen, mit welchen Sicherheitsmaßnahmen wie Verschlüsselung, Anonymisierung oder Pseudonymisierung sie die besonderen Risiken des Drittlandtransfers auffangen. Unter Umständen kann es auch sinnvoll sein, auf europäische Anbieter auszuweichen.
- Wichtig ist eine sorgfältige Dokumentation der Risikoeinschätzung. Viele Datenschutzbehörden verschicken seit dem 01.06.2021 bereits Fragebögen, wie die Unternehmen mit den Folgen des Schrems-II-Urteils für den internationalen Datentransfer umgehen.
Während sich die EU Kommission durchaus Zeit gelassen hat, die Standardvertragsklauseln an die seit Mai 2018 geltende DSGVO anzupassen, verlangt sie von den Unternehmen schnelleres Handeln. Viele Unternehmen stellt die Pflicht, die Risiken des konkreten Datentransfers zu analysieren, vor eine Herkulesaufgabe. Wirklich rechtssicher wäre stattdessen eine Nachfolgevereinbarung für das EU-US Privacy Shield.