Rechtskonforme Datentransfers in die USA
Mit dem Urteil des Europäischen Gerichtshofs Schrems II wurde das sogenannte Privacy Shield zwischen der Europäischen Union und den Vereinigten Staaten von Amerika für unwirksam erklärt.
Beim Privacy Shield handelte es sich um eine Art der Selbstzertifizierung für US-Unternehmen. Wenn die Unternehmen diese Zertifizierung durchlaufen haben, waren Transfers von personenbezogenen Daten durch europäische Unternehmen an US-Unternehmen unter den gleichen Voraussetzungen zulässig wie innereuropäische Transfers.
Datentransfers in Drittländer, praktisch insbesondere in die USA, sind nach der DSGVO nur zulässig, wenn geeignete Garantien für die Einhaltung der Rechte der betroffenen Personen vorliegen. Geeignete Garantien können unter anderem vorliegen, wenn mit Auftragsverarbeitern in den USA sogenannte Standardvertragsklauseln (Standard Contractual Clauses; „SCC“) in Form eines Vertrags abgeschlossen werden.
Die Europäische Kommission hat am 04.06.2021 neue Standardvertragsklauseln veröffentlicht, die die Entscheidung Schrems II berücksichtigen und die vorherigen Standardvertragsklauseln ersetzen.
Standardvertragsklauseln
Bei Standardvertragsklauseln handelt es sich um eine Art Mustervertrag mit vorformulierten und unabänderbaren Rechten und Pflichten der Parteien. Im Durchführungsbeschluss der Europäischen Kommission wurde festgehalten, dass der Abschluss von Standardvertragsklauseln als geeignete Garantie nach Art 46 Abs 1 und Abs 2 lit c DSGVO gilt. Der Transfer von personenbezogenen Daten („Export“) in Drittländer ist somit grundsätzlich zulässig, wenn die Standardvertragsklauseln mit dem Importeur vereinbart wurden.
Die neuen Standardvertragsklauseln sind nun – sehr übersichtlich – in einzelne Module gegliedert, die bei Bedarf zwischen den Parteien vereinbart werden können:
- Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
- Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
- Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche
Je nach Rollenverteilung in der spezifischen Datenverarbeitung können so die passenden Passagen aus den Standardvertragsklauseln vereinbart werden.
Rechte der betroffenen Person
Wurden die Standardvertragsklauseln zwischen den Parteien vereinbart, so haben die betroffenen Personen aus dieser Vereinbarung heraus auch das Recht, Pflichten der Parteien durchzusetzen. Immer dann, wenn Datentransfers auf diese Standardvertragsklauseln gestützt werden, können die betroffenen Personen also eigene Rechte als Drittbegünstigte aus dieser Vereinbarung geltend machen.
Fazit
Mit den neuen Standardvertragsklauseln haben Unternehmen in der EU nun die Möglichkeit, Datentransfers in Drittländer, insbesondere die USA, auf Basis einer modulartigen Vereinbarung auf rechtssichere Beine zu stellen.
Jedes Unternehmen mit Vertragsbeziehungen in die USA sollte daher die bestehenden Datentransfers prüfen und gegebenenfalls die neuen Standardvertragsklauseln mit dem Vertragspartner vereinbaren. Auf diese Weise kann das Risiko einer Geldbuße durch die Aufsichtsbehörde stark reduziert werden.
Disclaimer
Die vorstehenden Ausführungen geben einen allgemeinen Überblick. Der Beitrag kann die Beratung im Einzelfall allerdings nicht ersetzen. Gerne stehen wir Ihnen für datenschutzrechtliche Fragen zur Verfügung.
Mag. Clemens Handl ist Partner bei CHG Czernich Rechtsanwälte.
Hier steht Ihnen der Text zum Download als PDF zur Verfügung: