Neue EU-Standardvertragsklauseln für Datenübermittlungen in die USA

Seit dem Schrems II-Urteil herrschte lange Zeit Rechtsunsicherheit bei Unternehmen, wie Datenübermittlungen in die USA in zulässiger Weise gestaltet werden können. Einen neuen Lösungsansatz bieten die neuen EU-Standardvertragsklauseln, welche die EU-Kommission am 4. Juni 2021 verabschiedet hat.

Hintergrund

Mit seinem Schrems II-Urteil hatte der EuGH das EU-US-Privacy Shield, auf welches viele Datentransfers in die USA bisher gestützt wurden, für unwirksam erklärt. Zusätzlich hatte der EuGH entschieden, dass EU-Standardvertragsklauseln zwar grundsätzlich als geeignete Rechtsgrundlage für Datenübermittlungen in die USA genutzt werden können, diese allein jedoch nicht ausreichend sind. Vielmehr müssten weitere Maßnahmen zum Schutz von personenbezogenen Daten ergriffen werden. Wie sich diese Schutzmaßnamen konkret gestalten, führte der EuGH jedoch nicht aus. Unternehmen sahen sich seitdem insbesondere beim Einsatz von US-IT-Dienstleistern dem Risiko einer unzulässigen Datenübermittlung in die USA ausgesetzt. Zuletzt realisierte sich dieses Risiko bei einem Unternehmen, welches beim Versand von Newslettern den Dienstleister „Mailchimp“ aus den USA einsetzte. Die bayrische Aufsichtsbehörde entschied in einem Verfahren, dass der Abschluss der EU-Standardvertragsklauseln mit dem Dienstleister allein nicht ausreichend ist. Es müssen entsprechend dem Schrems II-Urteil weitere Schutzmaßnahmen ergriffen werden, da der Dienstleister Mailchimp dem US-Überwachungsrecht (Section 702 FISA) unterfällt.

Mehr Rechtssicherheit durch neue EU-Standardvertragsklauseln?

Die EU-Kommission hat am 4. Juni 2021 neue EU-Standardvertragsklauseln verabschiedet, auf welche zukünftige Datenübermittlungen in Drittländer wie den USA gestützt werden könnten. Im Gegensatz zu den bisherigen EU-Standardvertragsklauseln ermöglicht der modulare Aufbau eine flexible Gestaltung der Vereinbarung.

Die aktuellen EU-Standardvertragsklauseln enthalten einige weitere Neuerungen, die von Unternehmen zu beachten sind. So muss beispielsweise ein sogenanntes „Transfer Impact Assessment“ durchgeführt werden. Dabei handelt es sich um eine Risikoanalyse zur geplanten Datenübermittlung, die u. a. die Besonderheiten der Rechtsordnung des Empfängerlandes berücksichtigt.

Nach Auffassung der EU-Kommission werden die Anforderungen des Schrems II-Urteils in den neuen EU-Standardvertragsklauseln berücksichtigt. Ob jedoch neben dem Abschluss der neuen EU-Standardvertragsklauseln auch weitere Schutzmaßnahmen bei Datenübermittlungen in die USA zu ergreifen sind und welche diese konkret sein können, bleibt weiterhin ungeklärt.

Die EU-Kommission stellt in ihrem Beschluss zu den EU-Standardvertragsklauseln (Rn. 19) ausdrücklich klar, dass eine Datenübermittlung unterbleiben soll, wenn die Rechtsvorschriften des Empfängerlandes den Datenimporteur an der Einhaltung der EU-Standardvertragsklauseln hindern. Die an der Datenübermittlung beteiligten Parteien sollten zusichern, dass sie zum Zeitpunkt des Abschlusses der EU-Standardvertragsklauseln keinen Grund zu der Annahme haben, dass die für den Datenimporteur geltenden Rechtsvorschriften diesen Anforderungen nicht entsprechen.

Fazit

Auch weiterhin ist Vorsicht bei der Übermittlung von personenbezogenen Daten in die USA und andere Drittländer geboten. Unternehmen sollten ihre Verarbeitungsvorgänge insbesondere vor dem Hintergrund prüfen, dass Rechtsvorschriften in den USA den Schutz von personenbezogenen Daten beeinträchtigen könnten und welche Schutzmaßnahmen hiergegen ergriffen werden können. In jedem Fall sollten bestehende EU-Standardvertragsklauseln durch die aktuellen EU-Standardvertragsklauseln ersetzt werden, um Rechtsrisiken zu minimieren.