Klauseln können das Leben einfacher machen

Die Standardvertragsklauseln könnten mit Auftragsverarbeitern in Drittländern abgeschlossen werden und damit den Unternehmen "das Leben einfacher machen", erklärt Regina Mühlich, Vorstandsmitglied des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. und Geschäftsführerin des Münchner Beratungsunternehmens Adorga Solutions. Die neuen Klauseln müssten faktisch fast alle Unternehmen beachten, da sie insbesondere den Einsatz von US-Dienstleistern wie Microsoft, Google, Facebook oder Amazon beträfen.

Die Datenschutzexpertin erwartet, dass die großen Vier zu den Standardvertragsklauseln konkrete technische und organisatorische Maßnahmen vorlegen und in den kommenden Monaten ihren Kunden neue Verträge anbieten werden. Sie würden damit möglicherweise einen Standard zur Umsetzung der Vorgaben der Standardvertragsklauseln setzen.

Aus diesem Grund rät Mühlich ihren Kunden dazu, hier erst mal abzuwarten und sich dann in etwa einem halben Jahr an den Vorgaben der großen Unternehmen zu orientieren. Das Zeitfenster für die Anpassung betrage jedoch 18 Monate, so dass exakte Aussagen zum zeitlichen Ablauf nicht möglich seien.

"Tropfen auf den heißen Stein"

Die Datenschutzexpertin Kirsten Bock, die die Aufsichtsbehörden der Länder in Arbeitsgruppen des europäischen Datenschutzausschusses im Bereich Internationales vertritt, vermisst "FAQs, die den Einsatz für Unternehmen und die Kontrolle durch die Aufsicht erleichtern, etwa zur Frage, welche Art von zusätzlichen Klauseln den Standardvertragsklauseln entgegenstehen und nicht eingebunden werden dürfen". Sie erwartet jedoch, dass der Ausschuss mit Anmerkungen auf die Umsetzung reagieren wird. Die Kommission verlange nämlich noch immer keine hinreichend konkrete Beschreibung der Verarbeitung.

Bock hält mit ihrer Kritik an der Kommission nicht zurück: "Nichtssagende, pauschalierte Bezeichnungen werden dem immer komplexeren Zusammenspiel bei der Verarbeitung in Mehrparteien-Verhältnissen nicht gerecht und tragen weiter zur Unübersichtlichkeit der globaler Verarbeitungspraktiken bei und verschleiern Vertragsverletzungen."

Für die Rechtswissenschaftlerin bleiben die Standardvertragsklauseln "ein Tropfen auf den heißen Stein": "Gerade in den kritischen Situationen bieten sie, über die Einarbeitung der EuGH-Anforderungen aus den Schrems-Urteilen hinaus, keine Hilfestellung." Es sei weiterhin eine individuelle Prüfung der Rechtslage im Drittland erforderlich.

Keine Lösung für US-Internetdienste

Der Hamburgische Datenschutzbeauftragte Johannes Caspar verweist darauf, dass in Irland die Frage der Weiterleitung von Nutzerdaten von Facebook in die USA vor einer Entscheidung stehe. Hier werde dann auch geprüft, ob die Standardvertragsklauseln bei Facebook ausreichten. Caspar sieht die irische Aufsichtsbehörde am Zug, die das Urteil des EuGH gegenüber Facebook durchsetzen müsse.

Thilo Weichert von Netzwerk Datenschutzexpertise weist darauf hin, dass Internetunternehmen wie Facebook ihre Datenverarbeitung für eine europäische Kontrolle vollständig offenlegen müssten. "Das wird uns aber seit Jahren verweigert. Die logische Folge ist, dass die klassischen Online-Anwendungen, etwa von Facebook oder Google, per Standarddatenschutzklauseln nicht legitimiert werden können", sagte Weichert.