01.09.2021 | Datenschutz & IT | ID: 1099289

Neue Standardvertragsklauseln (SCC) für den internationalen Datenverkehr

Wolfgang Mader

Die EU-Kommission hat neue Standardvertragsklauseln (kurz SCC) für die Übermittlung personenbezogener Daten an Drittländer veröffentlicht. Ab 27.09.2021 können nur noch diese verwendet werden.

Verträge mit den alten Standarddatenschutzklauseln (SCC) gelten noch bis 28.12.2022 weiter, verlieren ab diesem Zeitpunkt jedoch ihre Gültigkeit. Inhaltlich wurden sie an die DSGVO angepasst.

Neuerungen im Überblick

Die Änderungen beinhalten hauptsächlich:

1. Dritte werden nun großteils in den Schutzbereich miteinbezogen
2. Die neuen SCC genießen Anwendungsvorrang gegenüber widersprechenden Vertrags- oder AGB-Klauseln
3. Es wurden modulare Haftungsklauseln eingeführt, die nicht eingeschränkt werden können (etwa durch AGB)
4. Freie Rechtswahl sowie Rechtwahl des Gerichtsstandes
5. Andere Einrichtungen können den auf Grundlage der SCC geschlossenen Verträge als Im- oder Exporteure beitreten
6. Die SCC entsprechen nun den Anforderungen des Art 28 DSGVO – erfüllen also zugleich die Erfordernisse eines Auftragsverarbeitungsvertrags, ein zusätzlicher AVV ist also in den meisten Fällen nicht mehr erforderlich

Handlungsempfehlungen für Unternehmen

Die bestehenden Verträge mit den alten SCC als Grundlage müssen nun erfasst werden und innerhalb von 18 Monaten an die neuen Bestimmungen angepasst werden. Aber auch diese SCC allein bieten keinen ausreichenden Schutz für Datenübermittlungen, es müssen daher weiterhin ergänzende Maßnahmen getroffen werden.

Wenn möglich sollten Verträge mit europäischen Unternehmen geschlossen werden. Anstelle direkt mit amerikanischen Unternehmen Verträge abzuschließen wird empfohlen, deren europäische Töchter-Unternehmen als Vertragspartner heranzuziehen. Das sind Unternehmen, die zwar im Einfluss der amerikanischen Mutterkonzerne stehen, sich aber an europäische Gesetze halten müssen.

Der europäische Verantwortliche kann davon ausgehen, dass sich die österreichische Tochter eines amerikanischen Konzerns an europäische Gesetze hält. Es ist auch angemessen, vom Tochterunternehmen eine Bestätigung zu verlangen, dass keine Daten nach Amerika übergeleitet werden.

Weitere Optionen

Wo die Möglichkeit einer Einwilligung durch die Betroffenen vorliegt, ist es wichtig, dass auf die Risiken der Datenübermittlung hingewiesen wird, zB mittels Cookie-Management auf der Homepage mit detaillierter Beschreibung der Datenübertragung nach Amerika.

Ist das unmöglich, sollten zumindest die Standardvertragsklauseln unterschrieben werden – auch wenn keine Datensicherheit für europäische Daten in Amerika garantiert werden kann. Das eröffnet zumindest automatisch ein Dritthaftungsrecht für jede betroffene Person. Die SCC stellen in dieser Form noch kein ausreichendes Datenschutz-Niveau dar, weil die Rechte europäischer Betroffener gemäß dem amerikanischen Gesetz nicht ausreichend verteidigt werden können.

Zusätzliche Schutzmaßnahmen können die Sicherheit der Daten auf einen möglichen Zugriff in den USA sicherstellen. Dazu gehört unter anderem die Verschlüsselung der Daten mit einem Schlüssel, den nur der europäische Verantwortliche hat. Der Europäische Datenschutzausschuss arbeitet an einer detaillierten Liste solcher Schutzmaßnahmen.

Große Unternehmen haben sich mittlerweile verpflichtet, Zugriffe der amerikanischen Behörden auf Daten ihrer Kunden vor Gericht zu bekämpfen, was ebenfalls als Schutzmaßnahme gilt (zB Microsoft, AWS, …).

Fazit

Die EU-Kommission muss nun eine neue Datenschutzvereinbarung mit den USA abschließen. Bis dahin stellt der Datenverkehr mit den USA für Unternehmen wesentlichen Mehraufwand dar und ist mit massiver Rechtsunsicherheit verbunden.

Aktuell laufen weitere Verfahren: Die NGO von Max Schrems hat Beschwerden über 101 Unternehmen wegen der Einbindung von Google Analytics und Facebook Connect in ihren Homepages bei diversen Behörden in Europa eingereicht.

Unklar ist außerdem derzeit noch der Umgang der Behörden mit dem Thema.