Standardvertragsklauseln: EU-Kommission will Datenaustausch mit USA retten

Auf der Basis neuer Standardvertragsklauseln soll der Datentransfer in die USA wieder funktionieren. Ob der Vorschlag der EU-Kommission ausreicht , ist unklar.

17. November 2020 um 07:27 Uhr / Ein Bericht von Friedhelm Greis

12 Kommentare News folgen (öffnet im neuen Fenster)

Die Daten zwischen Europa und den USA sollen ungestört fließen. (Bild: Heinz-Peter Bader/Reuters) — Die Daten zwischen Europa und den USA sollen ungestört fließen. Bild: Heinz-Peter Bader/Reuters

Die EU-Kommission will den Datenaustausch innerhalb der EU sowie mit Drittstaaten wie den USA und Großbritannien auf eine neue rechtliche Grundlage stellen. Dazu veröffentlichte die Kommission in der vergangenen Woche zwei Entwürfe für sogenannte Standardvertragsklauseln (SVK). Vor allem seit dem Urteil des Europäischen Gerichtshofes (EuGH) zum sogenannten Privacy Shield im Juli 2020 (Schrems II) herrscht große Unsicherheit , was die rechtliche Basis für den Transfer personenbezogener Daten von EU-Bürgern in die USA betrifft.

Zwar hat der EuGH den Privacy Shield für unwirksam erklärt, die Standardvertragsklauseln aber prinzipiell als Alternative zu Datenabkommen wie dem Privacy Shield oder dem vorangegangenen Safe-Harbor-Abkommen akzeptiert. Das bedeutete jedoch keinen Freibrief für aktuell gültige Standardvertragsklauseln. Denn im Grunde müssen diese ebenfalls ein angemessenes Schutzniveau europäischer Daten in einem Drittland garantieren. Solange der Privacy Shield nicht aktualisiert ist, was nach den Regierungswechsel in Washington dauern könnte, könnten bessere SVK den Unternehmen weiterhelfen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Web-Accessibility in der Praxis – Techniken und Automatisierung: Virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Troubleshooting (E-Learning)

zum Kurs

Vergleichbares Datenschutzniveau gewährleisten

Das will die EU-Kommission nun mit einem neuen "Werkzeugkasten" realisieren, der die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) zum Datentransfer umsetzen soll. Kommissionsvizepräsidentin Vera Jourová sagte zur Vorstellung der Entwürfe(öffnet im neuen Fenster) : "Internationale Datenflüsse sind das Lebenselixier einer modernen Wirtschaft. Mit diesem aktualisierten Werkzeug möchten wir ein hohes Maß an Schutz für unsere persönlichen Daten gewährleisten, unabhängig davon, wo sie sich befinden und wann sie reisen." EU-Justizkommissar Didier Reynders ergänzte: "Nach dem Urteil Schrems II haben wir nicht bei null angefangen. Wir haben bereits intensiv daran gearbeitet, die bestehenden Standardvertragsklauseln zu modernisieren, um sicherzustellen, dass sie den modernen Wirtschaftsrealitäten entsprechen."

Prinzipiell muss die EU dafür sorgen, dass beim Transfer personenbezogener Daten in Drittstaaten ein vergleichbares Datenschutzniveau wie in Europa eingehalten wird. Im Falle des Privacy Shield beanstandete der EuGH unter anderem, dass die Überwachungsprogramme der USA, die sich auf die dortigen Rechtsvorschriften stützten, "nicht auf das zwingend erforderliche Maß beschränkt" seien. Daher würden die Anforderungen an das EU-Recht "nach dem Grundsatz der Verhältnismäßigkeit" nicht erfüllt. Zudem eröffne der sogenannte Ombudsmechanismus den betroffenen Personen keinen Rechtsweg zu einem Organ, das Garantien böte, die den nach EU-Recht erforderlichen Garantien der Sache nach gleichwertig wären.

Datenimporteure sollen über Geheimdienstabfragen informieren

Dem nun veröffentlichten 29-seitigen Anhang(öffnet im neuen Fenster) zufolge muss ein Datenimporteur den Datenexporteur darüber informieren, wenn ein rechtlich bindendes Auskunftsbegehren für die Daten eines EU-Bürgers gestellt wurde. Auch die betroffene Person soll informiert werden, wenn nötig mit Hilfe des Datenexporteurs. "Diese Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für die Anfrage und die erteilte Antwort enthalten" , heißt es in dem Vorschlag.

Sollte der Datenimporteur rechtlich darin gehindert sein, den Exporteur über die Anfrage zu informieren, muss er "bestmöglich" versuchen, eine Ausnahmeerlaubnis von der Geheimhaltungspflicht zu erlangen. Zudem solle er diese "bestmöglichen Anstrengungen" dokumentieren und auf Anfrage des Exporteurs belegen können. Darüber hinaus muss sich der Importeur verpflichten, die Rechtmäßigkeit des Auskunftsbegehrens zu prüfen und " alle verfügbaren Rechtsmittel zur Anfechtung des Antrags auszuschöpfen" , wenn es dafür Gründe geben sollte. Bis zu einer Gerichtsentscheidung soll der Importeur die Daten des betroffenen EU-Bürgers möglichst zurückhalten. Ebenfalls muss sich der Importeur verpflichten, bei einem Auskunftsbegehren auf Basis einer "sinnvollen Auslegung der Anfrage" so wenig Daten wie möglich herauszugeben.

Doch reicht der Vorschlag aus, um die Anforderungen von Datenschützern und Gerichten zu erfüllen?

Empfehlungen der EU-Datenschützer veröffentlicht

Die Vorschläge können noch bis zum 10. Dezember 2020 von der Öffentlichkeit kommentiert werden. Darüber hinaus will die Kommission die Meinung des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten einholen. Der EDSA hat zu dem Schrems-Urteil ebenfalls in der vergangenen Woche ausführliche Richtlinien veröffentlicht(öffnet im neuen Fenster) . Das 46-seitige Dokument (PDF)(öffnet im neuen Fenster) empfiehlt ein Vorgehen für den Datenverarbeiter in sechs Schritten. Zudem nennt es "zusätzliche Maßnahmen" , um ein angemessenes Datenschutzniveau beim Transfer in Drittstaaten sicherzustellen. Dazu zählen technische und organisatorische Maßnahmen sowie zusätzliche vertragliche Vereinbarungen.

Als mögliche technische Vorkehrungen nennt der EDSA eine Datenverschlüsselung vor dem Hochladen der Daten auf einen Server in einem Drittstaat oder die Übertragung pseudonymisierter Daten. Bei einem reinen Transport der Daten durch einen Drittstaat sei eine sichere Transportverschlüsselung erforderlich. Ebenfalls sei es möglich, dass der Datenimporteur von Auskunftsbegehren im Drittstaat rechtlich ausgenommen sei.

Daten auf mehrere Länder verteilen

Ein weiteres Verfahren könne darin bestehen, die exportierten Daten aufzusplitten, so dass sie bei einer separaten Abfrage nicht verwendet werden können. Dabei sollen die Datenverarbeiter in unterschiedlichen Jurisdiktionen stehen, damit ein Land nicht auf die verschiedenen Quellen zugreifen kann.

Die zusätzlichen vertraglichen Vereinbarungen könnten Vorgaben enthalten, wie sie auch in den neuen Standardvertragsklauseln vorgesehen sind. Darüber hinaus könnten sie die erwähnten technischen Vorkehrungen betreffen. Die EU-Kommission sieht dabei die Empfehlungen des EDSA als "Ergänzung" ihres eigenen Vorschlags an.

Schrems-Verein ist skeptisch

Und wie beurteilt der österreichische Datenschutzaktivist Max Schrems, der mit seinen Klagen die Datenschutzabkommen zu Fall gebracht hat, die neuen Vorschläge der Kommission? Auf Anfrage von Golem.de teilte seine Organisation Noyb mit, erst in den kommenden Tagen eine offizielle Stellungnahme zu veröffentlichen. Aber "auf den ersten Blick" sehe es danach aus, dass die vorgeschlagenen Standardvertragsklauseln weder die Empfehlungen des EDSA noch die des EuGH-Urteils zum Privacy Shield ausreichend berücksichtigten.

Zur Startseite 12 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.