Globe

  • Barbara Scheben, Partner |

Keyfacts

  • Laut EU-Datenschutz-Grundverordnung ist die Übermittlung personenbezogener Daten in Länder außerhalb der EU / des EWR nur gestattet, wenn ein angemessenes Datenschutzniveau garantiert werden kann.

  • Durch das „Schrems II“-Urteil ist die Rechtsgrundlage für Datenübermittlungen in die USA weggefallen. Großbritannien wird nur noch bis zum 30. Juni 2021 datenschutzrechtlich wie ein EU-Mitglied behandelt.

  • Mit einem Angemessenheitsbeschluss für Großbritannien und neuen Standarddatenschutzklauseln will die EU-Kommission die Grundlage für rechtssichere Datentransfers schaffen.

Der Brexit, das EuGH-Urteil „Schrems II“ und veraltete Standarddatenschutzklauseln haben beim Datenaustausch mit Nicht-EU-Staaten für viel Verunsicherung gesorgt. Nun stehen entscheidende Beschlüsse der EU-Kommission an, die den Schutz globaler Datenströme erhöhen und für rechtssichere Datentransfers sorgen sollen. Auf Unternehmen kommen hierdurch zahlreiche Änderungen zu.

Anhaltende Verunsicherung bei der Datenübermittlung in Drittstaaten

Die EU-Datenschutz-Grundverordnung (DSGVO) gestattet die Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) grundsätzlich nur dann, wenn dort ein angemessenes Datenschutzniveau garantiert werden kann. Die sicherste Garantie ist ein sog. Angemessenheitsbeschluss, mit dem die EU-Kommission das Datenschutzniveau eines Staates offiziell für angemessen erklärt. EU-Unternehmen können personenbezogene Daten dann ohne zusätzliche Einschränkungen übermitteln  - jedenfalls solange der Angemessenheitsbeschluss wirksam ist. Auch für die USA bestand ein solcher Beschluss, der sog. EU-US-Privacy Shield. Dieser wurde Mitte 2020 aber bekanntlich durch das „Schrems II“-Urteil des EuGH für nichtig erklärt. Die Rechtsgrundlage für Datenübermittlungen in die USA fiel dadurch mit einem Schlag weg.

Liegt kein gültiger Angemessenheitsbeschluss vor, sieht die DSGVO verschiedene andere Instrumente vor, um das geforderte Datenschutzniveau in einem Drittland zu garantieren. Größte Praxisrelevanz haben hierbei die Standarddatenschutz- bzw. Standardvertragsklauseln (SCC). Durch deren Abschluss verpflichten sich datenübermittelnde und datenempfangende Unternehmen gegenseitig zur Einhaltung angemessener Datenschutzregeln. Die aktuellen SCC stammen noch aus der Vor-DSGVO-Zeit. Sie sind daher bereits seit Längerem überarbeitungsbedürftig und für Unternehmen teilweise schwer zu handhaben. In seiner „Schrems II“-Entscheidung formulierte der EuGH zudem strenge Anforderungen an eine datenschutzkonforme Übermittlung auf SCC-Basis. 

Auch der Brexit sorgte für zusätzliche Verunsicherung beim grenzüberschreitenden Datentransfer. Denn seit diesem Jahr ist das Vereinigte Königreich formal gesehen ein Drittstaat. 

Datenaustausch mit Großbritannien soll weiterhin ohne zusätzliche Voraussetzungen möglich sein

Das mit dem Brexit aufgekommene Datentransfer-Problem wurde zunächst bis zum 30. Juni 2021 aufgeschoben. Denn bis dahin wird das Vereinigte Königreich aufgrund des EU-UK-Handelsabkommens trotz EU-Austritt datenschutzrechtlich weiter wie ein EU-Mitglied behandelt. Damit Datentransfers auch danach ohne zusätzliche Voraussetzungen möglich bleiben, hat die EU-Kommission am 19. Februar 2021 einen Angemessenheitsbeschluss für UK auf den Weg gebracht, mit dessen Annahme noch innerhalb der Übergangsfrist zu rechnen sein dürfte.

Sobald der Angemessenheitsbeschluss greift, müssen Unternehmen ihre interne Dokumentation zum Datenaustausch mit UK sowie ggf. ihre Datenschutzhinweise entsprechend überarbeiten. Zudem sollten sie beachten, dass der aktuelle Entwurf des Beschlusses nur eine vierjährige Gültigkeit vorsieht  - mit Verlängerungsoption nach vorheriger Überprüfung. Allerdings kann nicht ausgeschlossen werden, dass der Beschluss schon vorher seine Gültigkeit verliert. Sollte sich die Datenschutzsituation in UK zukünftig erheblich verschlechtern, kann und muss die EU-Kommission den Beschluss vorzeitig widerrufen, ändern oder aussetzen. Ebenso besteht die Möglichkeit, dass der Beschluss  - wie im Fall „Schrems II“  - durch den EuGH für nichtig erklärt wird. Das heißt für Unternehmen: Die durch den Brexit ausgelösten datenschutzrechtlichen Herausforderungen scheinen zwar bis auf Weiteres abgewendet, die anstehenden Änderungen sollten aber berücksichtigt und die Entwicklungen weiter im Blick behalten werden.

Standarddatenschutzklauseln 2.0

Für Datentransfers in Drittstaaten ohne Angemessenheitsbeschluss sollten sich Unternehmen auf noch weitreichendere Änderungen einstellen. Für die Standardvertragsklauseln, auf die solche Übermittlungen vielfach gestützt werden, veröffentlichte die EU-Kommission Ende 2020 den Entwurf einer Neufassung. Die neuen SCC sind nicht nur deutlich umfangreicher, sondern auch weitaus konkreter als die bisherigen. Mit ihnen werden die maßgeblichen DSGVO-Vorschriften in Vertragsform abgebildet und die jüngsten EuGH-Vorgaben berücksichtigt. Die neuen Klausel-Sets sind modular aufgebaut, wobei die Wahl der einzelnen Module von den Rollen (Verantwortlicher/Auftragsverarbeiter) der Datenexporteure und -importeure abhängt. Unter anderem regeln die neuen Klauseln, dass und wie die Rechtslage des jeweiligen Drittlands geprüft werden muss und dass diese Bewertung dokumentiert, fortlaufend überprüft sowie ggf. den Aufsichtsbehörden zur Verfügung gestellt wird.

Der Europäische Datenschutzausschuss (EDSA) und der EU-Datenschutzbeauftragte (EDSB) haben den SCC-Entwurf grundsätzlich begrüßt. In einer gemeinsamen Stellungnahme vom Januar 2021 (Joint Opinion 2/2021) forderten sie aber zahlreiche Klarstellungen sowie vereinzelt zusätzliche Verschärfungen, etwa bei den Dokumentationsanforderungen oder beim Thema Haftung. Die EU-Datenschutzbehörden wollten hierdurch ersichtlich dazu beitragen, die Klauseln mit einem Maximum an vertraglichem Schutz auszustatten. Inwieweit die EU-Kommission den Empfehlungen folgt, bleibt abzuwarten. 

Ab Gültigkeit der neuen Standardvertragsklauseln können Datentransfers nicht mehr auf die bisherigen SCC gestützt werden. Unternehmen sollten sich daher auf entsprechende Vertragsanpassungen mit ihren Geschäftspartnern und Konzerngesellschaften in Drittstaaten einstellen. Die neuen SCC dürften dabei für viele Drittstaaten-Unternehmen ungewohnt detailreich daherkommen, dadurch aber auch die Ableitung konkreter Handlungsvorgaben erleichtern. Ebenso wie die bisherigen SCC stellen aber auch die neuen Klauseln im Zweifel keine Alleinlösung für datenschutzkonforme Übermittlungen dar. Denn sofern einzelne SCC-Verpflichtungen aufgrund der lokalen Gesetze des jeweiligen Drittlands nicht eingehalten werden können, müssen solche Defizite durch einzelfallspezifische technische und/oder organisatorische Zusatzmaßnahmen ausgeglichen werden.

Ausblick

Angesichts möglicher Bußgelder von bis zu 4% des weltweiten (Konzern-) Jahresumsatzes werden Unternehmen durch die Unsicherheiten beim Datentransfer in Drittstaaten vor erhebliche Herausforderungen gestellt. Die von der EU-Kommission auf den Weg gebrachten Beschlüsse greifen die derzeit größten Probleme in diesem Bereich auf. Für Unternehmen bringen die geplanten Änderungen ein großes Stück Rechtssicherheit, gehen aber auch mit einem gewissen Umsetzungsaufwand einher.

Für eine Analyse, inwieweit Ihr Unternehmen von den sich abzeichnenden Neurungen betroffen ist und welche Anpassungen für den Datentransfer vorzunehmen sind, stehen Ihnen die Expertinnen und Experten von KPMG gern zur Verfügung.