Standardvertragsklauseln für Anfänger: Alles, was Sie wissen müssen

Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) hat in der Welt des Datenschutzes einiges durcheinandergeworfen. 

Bis zum Urteil galt das sogenannte Privacy-Shield-Abkommen. Es ermöglichte den freien Austausch von Daten zwischen der EU und den USA. Der EuGH setzte es ersatzlos außer Kraft. 

Mit einem Mal wurde es weit schwieriger, rechtskonform personenbezogene Daten in die USA zu transferieren – und das ist fast immer notwendig, wenn man US-basierte Marketing- und Analyse-Tools verwendet, wie etwa Google Analytics. 

In Wahrheit befinden sich seit dem Urteil die meisten europäischen und amerikanischen Unternehmen auf rechtlich sehr dünnem Eis. 

Was also tun? Glücklicherweise hat die Datenschutz-Grundverordnung für solche Fälle eine Lösung parat. Sie heißt Standardvertragsklauseln (SVK).

OK, was sind Standardvertragsklauseln?

Standardvertragsklauseln (Englisch: Standard Contractual Clauses) werden notwendig, wenn es kein Datenschutzabkommen mit einem Land gibt, wie es mit den USA aktuell der Fall ist. 

Alternativ zu einem Abkommen kann die EU-Kommission auch entscheiden, dass das Datenschutzniveau im betreffenden Land angemessen ist. Sollte es keine sogenannte Angemessenheitsentscheidung für ein Land geben, werden ebenfalls Standardvertragsklauseln notwendig. Hier finden Sie die Liste der Staaten mit Angemessenheitsentscheidung.

Es handelt sich dabei um Vertragsvorlagen, die von der EU-Kommission explizit genehmigt wurden, die sicherstellen sollen, dass die personenbezogenen Daten im Drittland ausreichend geschützt sind. Diese Verträge werden zwischen dem Datenexporteur (z.B. Unternehmen in der EU) – und dem Datenimporteur (z.B. Anbieter von Tools mit Sitz in den USA) abgeschlossen. 

Sie fungieren als eine Art Gütesiegel: Der Datenexporteur muss Sorge tragen, dass ein Standardvertrag abgeschlossen wird. Der Datenimporteur im Drittland (z.B. Google, Facebook, etc.) verpflichtet sich wiederum, Datenschutz auf EU-Niveau zu gewährleisten. 

Statt eines großen Datenschutzabkommens zwischen zwei Ländern, schließen Unternehmen also einfach kleine Abkommen untereinander ab. So können personenbezogene Daten rechtskonform in ein Drittland übermittelt werden. 

Alles gut also? Mitnichten. Leider kommt im Fall der USA ein nicht unwesentliches Problem hinzu. 

Warum sind Transfers in die USA trotz Standardverträgen ein Problem?

Um zu verstehen, warum Standardvertragsklauseln für Transfers in die USA wahrscheinlich nicht ausreichen, müssen wir einen kleinen Exkurs in die Politik machen. 

Der EuGH hob Privacy Shield hauptsächlich deswegen auf, weil US-Geheimdienste mit den drastischen Überwachungsmaßnahmen nach 9/11  breiten Zugang zu personenbezogenen Daten von EU-Bürgern haben. Das bestätigten unter anderem die Snowden-Enthüllungen. 

Gleichzeitig erschien dem EuGH die Kontrolle der Geheimdienste in Sachen Datenschutz sowie die Rechte der EU-Bürger in Datenschutzbelangen schwer mangelhaft. Grund genug für das Gericht, das gesamte Abkommen auszuhebeln. 

Und hier liegt die Tücke. 

Im Fall der USA hat sich das grundsätzliche Problem der Geheimdienstüberwachung seit dem EUGh-Urteil nämlich nicht geändert. Ein Geheimdienst kann nach wie vor auch gegen den Willen eines US-Unternehmens auf EU-Daten zugreifen. Und EU-Bürger haben kaum Einspruchs- und Informationsrechte. 

Transfers von personenbezogenen Daten in die USA bleiben also trotz Standardvertragsklauseln problematisch. 

Warum dann überhaupt Standardvertragsklauseln mit US-Unternehmen abschließen?

Aus dem einfachen Grund, dass es die DSGVO so verlangt. Sie sind ein notwendiger Schritt auf dem Weg zu rechtskonformen Datentransfers. 

Die Standardvertragsklauseln erhöhen einerseits die Sicherheit der übermittelten persönlichen Daten, andererseits entstehen aber bestimmte Pflichten für die Parteien. 

Eine dieser Pflichten ist die Durchführung des sogenannten Transfer Impact Assessments (TIA). In diesem verpflichtenden Schritt müssen die Parteien beurteilen, ob der Datenimporteur aufgrund der Rechtslage im Zielland ein ausreichendes Datenschutzniveau gewährleistet kann – nach der “Schrems II”-Entscheidung des EuGH ist das im Fall von US-Anbietern wohl zu verneinen.

Nach dem TIA müssen die Vertragsparteien je nach Ergebnis “zusätzliche Maßnahmen” ergreifen. Das bringt uns zum nächsten Punkt. 

Gibt es überhaupt eine Möglichkeit, personenbezogene Daten legal in die USA zu senden?

Die Verschlüsselung von Daten kann eine zusätzliche Maßnahme sein, um den Zugriff von Geheimdiensten zu verhindern. Doch die meisten Services im Marketing- und Analytics-Bereich werden mit verschlüsselten Daten wenig anfangen können. 

Eine weitere Maßnahme, die vom Europäischen Datenschutzausschuss sowie mehrerer Datenschutzbehörden empfohlen wird, ist die Pseudonymisierung von Daten. 

Die französische Datenschutzbehörde CNIL hat die Vorteile der Pseudonymisierung anhand des Beispiels Google Analytics ausgearbeitet. Ihren Empfehlungen ist auch die dänische Datenschutzbehörde Datasylnet gefolgt. 

Wir haben das Prinzip der Pseudonymisierung hier bereits genauer erklärt.

Besser auf Nummer sicher gehen

Jedenfalls gilt für Transfers zu US-Unternehmen: Standardvertragsklauseln müssen abgeschlossen und up-to-date sein, ob zusätzliche Maßnahmen getroffen wurden oder nicht. 

Darauf achten auch die EU-Datenschutzbehörden. 

Und die nächste Frist endet schon am 27. Dezember 2022: Dann müssen Sie alle Standardverträge auf die von der EU-Kommission 2021 vorgestellten neuen Vorlagen umstellen. 

Höchste Zeit also, bei allen Ihren Vertragspartnern in Drittländern zu überprüfen, ob diese neuesten Standardvertragsklauseln inkraft sind. Wir haben hier eine Anleitung für Sie erstellt, die den Prozess Schritt für Schritt erklärt. 

Moment, kommt nicht bald ein neues Datenschutzabkommen zwischen der EU und den USA?

Ja, US-Präsident Joe Biden hat im Oktober 2022 eine Vorlage für ein neues Abkommen vorgelegt. Allerdings gibt es aufseiten von Aktivisten harsche Kritik an dem Entwurf. Er erfülle die Anforderungen des EuGH im Schrems-II-Urteil nicht. 

Das Abkommen könnte im ersten Quartal 2023 inkraft treten. Ob es hält, ist mehr als fraglich. Der österreichische Datenschutz-Aktivist Max Schrems, der bereits zweimal vor den EuGH gezogen ist, hat bereits angekündigt, das neue Abkommen vor den EuGH zu bringen.