Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA

Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA

– Reposting – Hier geht's zum Original: Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA

Das EU-US Privacy-Shield Abkommen wurde vom EuGH (C-311/18) gekippt und erste Aufsichtsbehörden machen Druck. Unternehmen sollten sich auf Einzelfallprüfungen von Übermittlungen in die USA einstellen, verkündete die Berliner Beauftragte für Datenschutz und Informationssicherheit. Wie kann der Datentransfer in die USA mit Standardvertragsklauseln gestaltet werden und worauf sollten Unternehmen beim Abschluss dieser Klauseln achten?

Die Probleme beim Drittlandtransfer

Die Diskussionen der vergangenen Wochen haben bereits zutage getragen, dass aus Sicht der Datenschützer ein Transfer von personenbezogenen Daten in die USA wohl nie als vollkommen sicher eingestuft werden kann. Die verbleibende Krux ist, dass US-Behörden zu weitreichende Befugnisse haben und hierzulande das Internet immer noch für viele Neuland ist. Jedenfalls für diejenigen, die vergessen, dass die Gründe für die Abhängigkeit von den US-Diensten in deren Qualität, Kapazität, Sicherheit und Preis liegen, mit denen vergleichbare europäische Dienste in der Regel nicht mithalten können. In diesem Spannungsfeld bewegen sich derzeit Unternehmen, die auf unverzichtbare US-Technologien angewiesen sind oder eigene Tochterunternehmen in den USA haben.

Was Standardvertragsklauseln sind und was sie regeln

Bei der Übermittlung von Daten in ein Drittland, d.h. ein Land außerhalb der EU bzw. des EWR, bedarf es zunächst auf der ersten Stufe der Übermittlung einer tauglichen Rechtsgrundlage, z.B. iSd. Art. 6 DSGVO. Auf der zweiten Stufe muss der Verantwortliche dafür Sorge tragen, dass bei einer solchen Übermittlung geeignete Garantien vorliegen, um die Sicherheit der Daten bzw. ein angemessenes Schutzniveau auch im Drittland zu gewährleisten. Neben dem Vorliegen einer Rechtsgrundlage ist für die Rechtmäßigkeit der Übermittlung also weiterhin maßgeblich, dass auch nach dem Transfer z.B. die Vertraulichkeit, Integrität und Zweckbindung der personenbezogenen Daten iSd. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO gewahrt werden. Standardvertragsklauseln (in der DSGVO nun „Standarddatenschutzklauseln“ genannt) sind solche, die durch die EU-Kommission selbst erlassen worden sind.

Die wichtigsten Datenschutzklauseln im Überblick

Im Folgenden sind die aus Sicht des Datenschutzes und der Datensicherheit relevantesten Klauseln der EU-Standardvertragsklauseln dargestellt.

Klausel 2: Einzelheiten der Übermittlung

Diese Klausel bedient sowohl das Zweckbindungsgebot des Datenschutzes als auch die Transparenz. Hiernach sind die Vertragsbeteiligten verpflichtet, in der Anlage 1 der Standardvertragsklauseln die konkreten Zwecke und Mittel der Verarbeitung im Drittland vor deren Übermittlung festzulegen und hiervon auch die Aufbewahrung der Daten abhängig zu machen.

Im Einzelnen muss in Anlage 1 aufgelistet werden,

  • wer ex- und importiert samt einer Erläuterung der Tätigkeiten, für die eine Übermittlung relevant ist,
  • Kategorien von Daten und betroffenen Personen,
  • der spezifische Zweck, für den die Übermittlung erforderlich ist,
  • ggf. Art und Kategorie sensibler Daten,
  • ggf. weitere Empfänger.

Klausel 4: Pflichten des Datenexporteurs

Der Datenexporteur hat zunächst als Verantwortlicher zu garantieren, dass er die betroffenen Daten bis zum Zeitpunkt der Übermittlung bereits rechtmäßig verarbeitet hat. Sofern sensible Daten verarbeitet werden, informiert er auch die betroffenen Personen über die Übermittlung und darüber, dass das Zielland der Übermittlung kein angemessenes Schutzniveau bietet. Der Datenexporteur muss außerdem sicherstellen, dass betroffene Personen auf Anfrage eine Kopie der Standardvertragsklauseln erhalten und dass sowohl Betroffenenanfragen als auch solche von Behörden im Rahmen der gesetzlichen Fristen beantwortet werden können. Hiermit sichert der Datenexporteur bereits eine Reihe von Schutzzielen der DSGVO zu: Zweckbindung, Verhältnismäßigkeit, Transparenz, Sicherheit und Vertraulichkeit.

Klausel 5: Pflichten des Datenimporteurs

Die Pflichten des Datenimporteurs, der Verantwortlicher oder Auftragsverarbeiter sein kann, gehen noch etwas weiter. Hierin liegt bei der Übermittlung in die USA regelmäßig auch der „Knackpunkt“ des sicheren Drittlandstransfers, da von dem Importeur zuzusichern ist, dass er

„seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtung unmöglich machen – und dass er, wenn es doch einmal so kommen sollte, den Importeur hierüber informiert.“

Aufgrund der weitreichenden gesetzlichen Ermächtigungsgrundlagen der US-Behörden nach dem Foreign Intelligence Surveillance Act können diese jederzeit auf Daten von electronic communication service providers zugreifen, ohne dabei besondere Verhältnismäßigkeitshürden beachten zu müssen. Übersetzt geht es um Anbieter elektronischer Kommunikationsdienste. Hierunter lassen sich eine Vielzahl der in der EU genutzten und populären Dienste, wie Cloud-Diensteanbieter und Software-Dienstleister, fassen.
Die Unterzeichnung einer solchen vertraglichen Garantie ins Blaue hinein ist natürlich haftungsrechtlich zunächst für den Importeur problematisch. Für den Verantwortlichen (Exporteur) der Daten dürfte das jedoch nachrangig sein, wenn sich die Sanktionen gegen ihn als Verantwortlichen richten. Die Aussicht auf einen möglichen Regress gegen den Importeur verhindert jedenfalls nicht den Image-Schaden des Exporteurs und auch keine langwierigen Verfahren mit Behörden.

Daneben muss der Importeur auch eine Garantie für die Verarbeitung der Daten im Einklang mit den datenschutzrechtlichen Gewährleistungzielen iSd. Anlage 2 der Standardvertragsklauseln abgeben und sich verpflichten, die weitreichenden Grundsätze des Datenschutzes zu gewährleisten:

  • Zweckbindung,
  • Richtigkeit der Daten und Datensparsamkeit,
  • Transparenz und Gewährleistung der Betroffenenrechte,
  • Sicherheit und Vertraulichkeit,
  • Beschränkung der weiteren Übermittlung,
  • Besondere Behandlung von sensiblen Datenkategorien,
  • Gewährleistung der Konformität des Direktmarketings.

Schließlich muss der Importeur auch die Ausübung von Prüfrechten dulden und auf Anfrage von Betroffenen ebenfalls eine Kopie der Standardvertragsklauseln herausgeben.

Bei dem Abschluss von Standardvertragsklauseln müssen Verantwortliche immer bedenken, dass die Unterzeichnung schriftlicher Garantien das eine ist. Die Rechtmäßigkeit der Übermittlung hängt jedoch maßgeblich von den tatsächlichen Begebenheiten des Einzelfalls ab. Schließlich wird es also immer darauf ankommen, ob die US-Behörden nun zugreifen können bzw. welche technischen Maßnahmen der Importeur ergriffen hat, um solche Zugriffe effektiv zu verhindern.

Klausel 6: Haftung

Entsprechend dem Art. 82 DSGVO haften Exporteur und Importeur nach außen gegenüber den Betroffenen gesamtschuldnerisch. Das heißt, dass Betroffene sich mit ihren Forderungen sowohl an den Exporteur als auch den Importeur wenden können. Damit soll die Wahrnehmung von individuellen Schadensersatzrechten gestärkt und die Durchsetzung von Betroffenenrechten gewahrt werden. Im Innenverhältnis gilt allerdings, dass die Haftung nach den überwiegenden Verursachungsbeiträgen verteilt wird.

Schwerpunkt der Prüfung von Standardvertragsklauseln

Schwerpunkt der vertraglichen Garantien ist die Zusicherung von Vertraulichkeit und Sicherheit der Daten, also insbesondere der Schutz vor willkürlichen Zugriffen der US-Behörden. Das zentrale Problem des Datentransfers in die USA liegt oftmals nicht in der Hand der hiesigen Verantwortlichen, da diese selbst kaum weitere geeignete Garantien ergreifen können, um das Datenschutzniveau nach der Übermittlung in die USA zu gewährleisten. Was Unternehmen heute schon tun sollten: bei US-Dienstleistern, mit denen sie bereits Standardvertragsklauseln geschlossen haben, nachhaken, wie sie ihre vertraglichen Garantien einhalten und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden – oder in Zukunft unterbinden wollen.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA.

Wir haben auch den sehr interessanten SFC-Newsletter...

SFC hilft Ihnen wenn Sie mögen!

DSGVO & Datenschutz sind super! Wenn man weiß, was zu tun ist… Wir melden uns gerne bei Ihnen!

Sie registrieren sich für unseren Newsletter. Natürlich wird Ihre Registrierung durch einen Double-Opt-In abgesichert.