Der Haken an den Standardvertragsklauseln

Was viele vergessen: Die Gründe, die für das Aus des PrivacyShield-Abkommens gesorgt haben, gelten nicht minder auch für die Standardvertragsklauseln. So wurden und werden die Befugnisse von US-Behörden weder durch das frühere PrivacyShield-Abkommen noch die aktuellen Standardvertragsklauseln in irgendeiner Weise eingeschränkt. Auch ist für betroffene Personen in der EU keinerlei Rechtschutzmöglichkeit gegen Überwachungsmaßnahmen von US-Behörden gegeben. Es liegt also auf der Hand, dass auch Standardvertragsklauseln in ihrer herkömmlichen Form keine geeignete Rechtsgrundlage für einen Datentransfer in die USA sein können. Vielmehr verlangt der Europäische Gerichtshof (EuGH) hierfür „zusätzliche Maßnahmen“, die Verantwortliche ergreifen sollen, um da erforderliche Datenschutzniveau her- und sicherzustellen. Ergreifen Verantwortliche keine zusätzlichen Maßnahmen, so wird der EuGH sehr deutlich und verlangt eine Aussetzung bzw. Beendigung des Datentransfers.

Die Empfehlung des EuGH: zusätzliche Maßnahmen

Doch wie genau sehen die vom EuGH empfohlenen zusätzlichen Maßnahmen aus? Wie so oft, wird es hier bei entscheidenden praktischen Empfehlungen des EuGH dünn. Datenschützer sind somit auf Stellungnahmen der Aufsichtsbehörden in Deutschland angewiesen. Wirklich griffig hat das Thema zum jetzigen Zeitpunkt allein der Landesbeauftragte für den Datenschutz Baden-Württemberg aufgearbeitet. Mit seiner 14-seitigen „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ arbeitet Dr. Stefan Brink die Problematik rund um „Schrems II“ auf und gibt den Lesern eine Anleitung an die Hand, wie die aktuellen Standardvertragsklauseln abgeändert werden müssten, um den verschärften Anforderungen zu genügen. Dem eigentlichen Problem, nämlich der fehlenden Bindungswirkung für US-Behörden und der fehlenden Rechtsschutzmöglichkeit für Betroffene in der EU, ist aber auch mit dieser Lösung nicht beizukommen.

Verschlüsselung als Schlupfloch?

Oftmals werde ich an dieser Stelle von Kunden gefragt, ob man der angesprochenen Problematik nicht einfach dadurch aus dem Weg gehen kann, dass man personenbezogene Daten vor dem Transfer in die USA (oder ein anderes Drittland) verschlüsselt. So clever diese Überlegung auf den ersten Blick erscheinen mag, so ernüchternd ist oftmals meine Antwort. Rein rechtliche gesehen sind verschlüsselte Daten nämlich wie pseudonymisierte Daten zu behandeln. Es besteht also irgendwo für irgendwen die Möglichkeit, die Pseudonymisierung aufzuheben und so wieder klare und unverschlüsselte personenbezogene Daten zu erhalten. Die DSGVO behandelt pseudonymisierte Daten genauso wie alle anderen personenbezogenen Daten – Ausnahmen oder Sonderregelungen gibt es keine.

Ausblick

Der europäische Datenschutzausschuss hat im September 2020 eine Taskforce zur Ausarbeitung von Empfehlungen für die vielerwähnten „zusätzlichen Maßnahmen“ gegründet. Auf die Arbeitsergebnisse der Taskforce dürfen wir schon heute gespannt sein.

Weitere Informationen und individuelle Beratung

Sie benötigen weitergehende Beratung oder Hilfestellung zum Thema? Gerne unterstützen wir Sie bei der datenschutzkonformen Abwicklung nationaler und internationaler Datentransfers in Ihrem Unternehmen.