Der Datentransfer in die USA soll wieder funktionieren, als Basis sollen hier Standardvertragsklauseln dienen. Ob dieser Vorschlag der EU-Kommission ausreicht, steht jedoch in den Sternen.
Die EU-Kommission will für den Datenaustausch innerhalb der EU und mit anderen Drittstaaten wie den USA und Großbritannien eine neue rechtliche Grundlage schaffen. Aus diesem Grund veröffentlichte die Kommission bereits in der vergangenen Woche zwei Entwürfe für Standardvertragsklauseln (SVK). Seit dem Urteil des Europäischen Gerichtshofes (EuGH) bezüglich des Privacy Shield’s herrscht eine riesige Unsicherheit, was die Rechtslage für den Transfer personenbezogener Daten von EU-Mitbürgern in die USA betrifft.
Zwar hat der EuGH den Privacy Shield für unwirksam erklärt, jedoch könnten die Standardvertragsklauseln prinzipiell als Alternative zu Datenabkommen (Privacy Shield) oder dem vorangegangenen Safe-Harbor-Abkommen dienen. Hierbei ist aber zu betonen, dass aktuell gültige Standardvertragsklauseln deshalb keinen Freifahrtsschein erhalten. Schließlich müssen sie ebenfalls ein angemessenes Schutzniveau europäischer Daten in einem Drittland sichern. Verbesserte SVK könnten den Unternehmen enorm weiterhelfen, bis der Privacy Shield ein Update erhält. Das könnte sich aber momentan aufgrund des Regierungswechsels in den USA verzögern.
Gewährleistung von vergleichbarem Datenschutz
Mithilfe von einem neuen „Werkzeugkasten“ will die EU-Kommission die Vorgaben, der EU-Datenschutzgrundverordnung (DSGVO) zum Datentransfer, umsetzen. Kommissionsvizepräsidentin Vera Jourová sagte zur Vorstellung der Entwürfe: „Internationale Datenflüsse sind das Lebenselixier einer modernen Wirtschaft. Mit diesem aktualisierten Werkzeug möchten wir ein hohes Maß an Schutz für unsere persönlichen Daten gewährleisten, unabhängig davon, wo sie sich befinden und wann sie reisen.“
EU-Justizkommissar Didier Reynders fügte hinzu: „Nach dem Urteil Schrems II haben wir nicht bei null angefangen. Wir haben bereits intensiv daran gearbeitet, die bestehenden Standardvertragsklauseln zu modernisieren, um sicherzustellen, dass sie den modernen Wirtschaftsrealitäten entsprechen.“
Im Prinzip geht es darum, dass die EU dafür sorgen muss, dass beim Transfer personenbezogener Daten in Drittstaaten ein ähnlich vergleichbares Datenschutzniveau wie in der EU eingehalten wird.
Bezogen auf den Privacy-Shield-Fall erwähnte der EuGH, dass die Überwachungsprogramme der USA, die sich auf die dortigen Rechtsvorschriften stützten, „nicht auf das zwingend erforderliche Maß beschränkt“ seien. Das wiederum bedeutet, dass die Anforderungen an das EU-Recht „nach dem Grundsatz der Verhältnismäßigkeit“ schlichtweg nicht erfüllt werden.
Datenimporteure sollen über Geheimdienstabfragen informieren
Laut dem veröffentlichten Dokument muss ein Datenimporteur den Datenexporteur darüber informieren, wenn ein rechtlich bindendes Auskunftsbegehren für die Daten eines EU-Bürgers vorliegt. Auch die betroffene Person soll informiert werden, unter Umständen auch mit Hilfe des Datenexporteurs.
„Diese Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für die Anfrage und die erteilte Antwort enthalten“, so der Vorschlag.
Falls der Datenimporteur rechtlich darin gehindert ist, den Exporteur über die Anfrage zu informieren, so muss er „bestmöglich“ versuchen, eine Ausnahmeerlaubnis von der Geheimhaltungspflicht zu erlangen. Dieser Vorgang muss dokumentiert und auf Anfrage des Exporteurs auch belegt werden können. Zudem verpflichtet sich der Importeur, die Rechtmäßigkeit des Auskunftsbegehrens zu prüfen und „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags auszuschöpfen“, insofern Gründe dafür vorliegen.
Der Importeur muss die Daten des betroffenen EU-Bürgers möglichst zurückhalten, bis eine gerichtliche Entscheidung vorliegt.
Darüber hinaus verpflichtet sich der Importeur, bei einem Auskunftsbegehren auf Basis einer „sinnvollen Auslegung der Anfrage“ möglichst wenig Daten herauszugeben.
Ob dieser Vorschlag den Anforderungen von Gerichten und Datenschützern genügt, ist weiterhin unklar.
Andere Meinungen gefragt
Die Öffentlichkeit hat noch bis zum 10. Dezember 2020 Zeit die Vorschläge zu kommentieren. Zudem möchte die EU-Kommission die Meinung des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten einholen.
Zum Schrems-Urteil hat der EDSA in der vergangenen Woche sehr ausführliche Richtlinien veröffentlicht. In dem 38-seitigen Dokument wird empfohlen, dass Datenverarbeiter in sechs Schritten vorgehen sollen.
Außerdem werden „zusätzliche Maßnahmen“ erwähnt, die ein angemessenes Datenschutzniveau beim Transfer in Drittstaaten sicherstellen. Darunter befinden sich technische sowie organisatorische Maßnahmen und zusätzliche vertragliche Vereinbarungen.
Der EDSA sieht eine Datenverschlüsselung vor dem Hochladen der Daten auf einen Server in einem Drittstaat oder die Übertragung pseudoanonymisierter Daten als mögliche technische Vorkehrungen. Eine sichere Transportverschlüsselung ist erforderlich, sobald Daten durch einen Drittstatt transportiert werden. Es soll auch möglich sein, dass der Datenimporteur von Auskunftsbegehren im Drittstaat rechtlich ausgenommen ist.
Daten sollen auf mehrere Länder verteilt werden
Ein anderes Verfahren beschreibt, die exportierten Daten aufzuteilen, so dass diese bei einer separaten Abfrage nicht verwendet werden können. Hierbei sollen die Datenverarbeiter auch in unterschiedlichen Jurisdiktionen stehen, um zu vermeiden, dass ein Land nicht auf die verschiedenen Quellen zugreifen kann.
Die zusätzlichen vertraglichen Vereinbarungen könnten Vorgaben enthalten, welche man auch in den neuen Standardvertragsklauseln erwartet. Für die EU-Kommission sind die Empfehlungen der EDSA eine Art „Ergänzung“ der eigenen Vorschläge.
Schrems Organisation weiterhin skeptisch
Der Österreichische Datenschutzaktivist Max Schrems hat bekannterweise mit seinen Klagen die Datenschutzabkommen zum Einsturz gebracht. Wie steht er also zu den neuen Vorschlägen?
Seine Organisation Noyb teilt mit, dass in den nächsten Tagen eine offizielle Stellungnahme zum Thema veröffentlicht wird.
Jedoch lässt er durchsickern, dass es „auf den ersten Blick“ so scheint, als würden die vorgeschlagenen Standardvertragsklauseln die Empfehlungen des EDSA und des EuGH-Urteils bezüglich des Privacy Shield’s nicht ausreichend berücksichtigen