Neue EU-Standardvertragsklauseln: Datentransfer in die USA bleibt riskant
Die neuen EU-Standardsvertragsklauseln sollen den Datentransfer in die USA legitimieren. Doch das Grundproblem mit drei Buchstaben bleibt ungelöst.
Ist das nun die Rettung des transatlantischen Transfers oder einer weiterer Versuch, der am Ende zum Scheitern verurteilt ist? Unternehmen können seit Anfang Juni den Transfer personenbezogener Daten in- und außerhalb der Europäischen Union auf neue Standardvertragsklauseln stützen.
- Neue EU-Standardvertragsklauseln: Datentransfer in die USA bleibt riskant
- Klauseln können das Leben einfacher machen
- Datenschutzverstöße "massenhaft" angelegt
Erlassen wurden die Klauseln von der Europäischen Kommission. Doch das grundsätzliche Problem des Datentransfers bleibt bestehen: Nicht die EU, sondern die USA bestimmen über den Zugriff auf die Daten von EU-Bürgern.
Die neuen Klauseln berücksichtigen nicht nur erstmals die Anforderungen der Datenschutz-Grundverordnung (DSGVO), sondern auch die Vorgaben des Europäischen Gerichtshofs (EuGH) im Schrems-II-Urteil vom Juli 2020 (Rs. C 311/18).
Angemessenes Schutzniveau erforderlich
Darin hatte der EuGH das Datenschutzabkommen Privacy Shield für unwirksam erklärt, die Standardvertragsklauseln aber prinzipiell als Alternative akzeptiert. Diese Klauseln müssen jedoch ein angemessenes Schutzniveau europäischer Daten in einem Drittland garantieren. Ihren ersten Entwurf zu den neuen Klauseln hatte die Kommission im November 2020 veröffentlicht.
Während sich eine der beiden Regelungen auf die Übermittlung personenbezogener Daten in Drittländer bezieht, bestimmt eine zweite die Verwendung zwischen Verantwortlichen und Auftragsverarbeitern.
Datenschützer: Erst prüfen, dann übermitteln
Insbesondere kleine und mittlere Unternehmen sollen damit die rechtlichen Anforderungen an eine sichere Datenübermittlung einfacher erfüllen können. Die Klauseln dürfen nicht verändert werden. Sie können jedoch durch weitere Regelungen ergänzt werden, die dem Sinn der Klauseln allerdings nicht widersprechen dürfen.
Sowohl die Datenschutzkonferenz von Bund und Ländern (DSK) als auch der Europäische Datenschutzausschuss (EDSA) weisen darauf hin, dass Unternehmen die Rechtslage im Drittland und zusätzliche ergänzende Maßnahmen prüfen müssen, wenn sie die Standvertragsklauseln verwenden wollen. Dies betrifft insbesondere die Datentransfers in die USA, die seit dem Schrems-II-Urteil nicht mehr auf Basis des US-europäischen Privacy-Shield-Übereinkommens erfolgen können.
Wie lässt sich der Zugriff der NSA verhindern?
Die Datenschutzkonferenz hält ihrer Mitteilung (PDF) zufolge "nur für wenige Fälle denkbar", dass Maßnahmen einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern können. Das wäre beispielsweise bei einer vollständigen Verschlüsselung der Fall. Tun sie es nicht, "müssen die Übermittlungen unterbleiben," stellt sie unmissverständlich fest. Der Europäische Datenschutzausschuss hat für die Prüfung Empfehlungen (PDF) formuliert.
Demnach müssen die Unternehmen gegenüber den Datenschutz-Aufsichtsbehörden nachweisen können, dass sie diese Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind.
Ein Sprecher des Bundesdatenschutzbeauftragten Ulrich Kelber weist darauf hin, dass die Standardvertragsklauseln für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern "erstmals einen europaweit verwendbaren Standard" setzten. Die kommenden Monate würden zeigen, wie die Standardvertragsklauseln in der Praxis aufgenommen werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
| Klauseln können das Leben einfacher machen |










Weil sofern sie unter vergleichbaren Bedingungen Außerhalb der Grenzen der EU passiert...
... personenbezogene Daten müssen entweder (ausreichend gut) verschlüsselt in eine Cloud...
Man definiert einfach etwas so, wie man es haben möchte. Was kommt als nächstes? Grüner...