Nach „Schrems II“ – Bringen aktualisierte Standardvertragsklauseln Rechtssicherheit für die Übermittlung von Daten in die USA?

Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) stehen viele Unternehmen bei internationalen Datenübermittlungen, insbesondere in die USA, vor großen Herausforderungen. Kurz zusammengefasst hat der EuGH beschlossen, dass das in der Praxis häufig genutzte „EU-US-Privacy-Shield“ unwirksam ist und dass Unternehmen sich nicht mehr alleine auf die sog. Standardvertragsklauseln berufen können. Vielmehr ist nun eine Prüfung erforderlich, ob der Datenempfänger die Regeln aus den Standardvertragsklauseln auch tatsächlich einhalten kann, oder ob ihm dies durch die nationalen Gesetze gar nicht möglich ist. Im letzteren Fall, der in der Praxis bei Transfers in die USA die Regel ist, müssen dann wirksame und angemessene Schutzmaßnahmen getroffen werden.

Für viele Unternehmen stellt dies eine schier unlösbare Aufgabe dar. Zum einen dürfte eine Prüfung der gesetzlichen Regelungen im Empfängerland sich als schwierig erweisen, zum anderen ist bei vielen cloudbasierten Anwendungen unklar, wie wirksame und angemessene Schutzmaßnahmen umgesetzt werden können. Daher besteht derzeit bei internationalen Datentransfers eine erhebliche Rechtsunsicherheit.

Mitte November veröffentliche die EU-Kommission einen Entwurf für neue Standardvertragsklauseln, zu denen bis zum 10.12.2020 Feedback abgegeben werden konnte. Die „neuen“ Standardvertragsklauseln sehen nun zusätzlich zu den bisherigen Klauseln für Transfers zwischen zwei Verantwortlichen und zwischen einem Verantwortlichen und einem Auftragsverarbeiter nun auch Module für den Transfer von personenbezogenen Daten zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter sowie den „Rücktransfer“ von einem EU-Auftragsverarbeiter zu einem Verantwortlichem mit Sitz in einem Drittland vor. Die beiden neuen Module dürften in der Praxis auf tatsächlicher Ebene eine Erleichterung bringen, da nun auch ein Auftragsverarbeiter im eigenen Namen mit den Unterauftragsverarbeitern kontrahieren kann. Nach jetzigem Recht bedarf es eines Vertragsschlusses zwischen dem Verantwortlichen und jedem Unterauftragsverarbeiter.

Zudem ist zu begrüßen, dass die Pflichten für die jeweiligen Vertragspartner der „neuen“ Standardvertragsklauseln nun deutlich konkreter ausgestaltet werden sollen. Die Regelungen der bisherigen Standardvertragsklauseln sind in der Regel sehr abstrakt beschrieben, so dass es vielen Unternehmen schwer fiel, konkrete Pflichten aus dem Vertragswerk herzuleiten. Mit der neuen Fassung der Standardvertragsklauseln sollte sich dies nun ändern, da die vertraglichen Pflichten nun sehr genau beschrieben werden.

Eine zusätzliche Rechtssicherheit können die „neuen“ Standardvertragsklauseln leider nicht bieten. Zwar greifen die Klauseln viele Kritikpunkte des EuGH nun konkret auf, allerdings können die vertraglichen Klauseln die vom EuGH aufgezeigten Herausforderungen selbst nicht lösen. Dies bedeutet, dass Unternehmen auch künftig zunächst prüfen müssen, ob die Standardvertragsklauseln im Empfängerland überhaupt eingehalten werden können und falls dies nicht der Falls ist, sind auch weiterhin angemessene und wirksame Sicherheitsmaßnahmen zu treffen.

Aus unserer Sicht finden sich in den neunen Standardvertragsklauseln viele sinnvolle und begrüßenswerte Regelungen. Allerdings kann ein bilateraler Vertrag zwischen zwei Unternehmen die wesentlichen Vorgaben des EuGH nicht umsetzen. Rechtssicherheit kann wohl nur durch eine politische Lösung herbeigeführt werden.

 

Autor: Fabian Dechent