(Wie) können EU-Standardvertragsklauseln zur Datenübermittlung in USA und andere Staaten außerhalb des EWR noch verwendet werden? Das Urteil des EuGH (vom 6.10.2015 – C-362/14, hier im Volltext) tötete nicht nur Safe Harbor, sondern führt auch zu großen Problemen bei der Umsetzung der weiteren Varianten der internationalen Datenübermittlung. Der folgende Beitrag untersucht das Urteil im Hinblick auf die EU-Standardvertragsklauseln, nachdem ich zuvor das Urteil allgemein analysiert hatte.
Für die Praxis empfiehlt es sich vermutlich vorerst, die EU-Standardvertragsklauseln wie bislang weiter zu verwenden und nicht speziell zu modifizieren. Spätestens wenn der EuGH in der 2. Runde von „Schrems./.Facebook“ über die Zulässigkeit der Standardvertragsklauseln zu entscheiden hatte, kann man die Verträge neu modifizieren. Vermutlich schon früher, wenn die Datenschutz-Aufsichtsbehörden neue konkrete Anforderungen an die Instrumente stellen – was die Aufsichtsbehörde Hamburg mit Pressemitteilung von heute bereits angekündigt hat. Bis sich die Aufsichtsbehörden nicht geäußert haben, ist eine Modifizierung von Standardvertragsklauseln nicht sinnvoll. Nach Analyse des EuGH-Urteils in Sachen Schrems kann man meines Erachtens mit dem folgenden rechnen:
Standardvertragsklauseln zur Datenübermittlung in die USA – Anforderungen nach dem EuGH-Urteil
- Die 3 Sets der Standardvertragsklauseln sind alle aufgeteilt in 2 Teile: Ein Standardvertrag, der nicht verändert werden darf. Dieser sollte auch künftig nicht geändert werden. Ergänzend gibt es zwei verschiedene „Annexes“ in denen auf den Einzelfall eingegangen werden kann. Die Annexes müssen aufgrund des EuGH-Urteils angepasst und erweitert werden:
- Es muss sichergestellt werden, dass die Betroffenen (deren Daten verarbeitet werden) gegen die Verarbeitung ihrer Daten vorgehen können (Rn. 90). Die Betroffenen müssen Information über Ihre gespeicherten Daten erhalten können und jederzeit müssen Rechte zur Berichtigung und Löschung der Daten gewährleistet sein. Im Annex zu den Standardvertragsklauseln sollte also vereinbart werden, dass Betroffene Rechte ggf. direkt gegen die Dienstleister im Drittland geltend machen können oder Weisungen der EU-Unternehmen Folge zu leisten ist. Dabei zielte der EuGH wohl auch auf Facebook ab, die Daten nicht löschen, sondern nur unsichtbar machen, wenn ein Nutzer seine Daten löschen möchte. Die Einhaltung der Betroffenenrechte nach § 34 f. BGB (vor allem Berichtigung und Löschung) sollte für die Dienstleister im Annex der Standardvertragsklauseln deutlicher als bislang klargestellt werden.
- Die Standardvertragsklauseln müssen sicherstellen, dass die vertraglichen Verpflichtungen eingehalten werden (Rn. 74 und 95). Dies kann z.B. durchgeführt werden über Kontrollen bei den Auftragnehmern, private Schiedsmechanismen und Vereinbarungen über Vertragsstrafen. Solche Regelungen müssten laut Rn. 91 effektiv durchgesetzt werden.
- Für Daten die in Drittstaaten übermittelt wurden, sollte eine möglichst restriktive Speicherbefugnis vereinbart werden (je weniger Daten gespeichert und je schneller sie gelöscht werden, umso besser, Rn. 93). Anhand des verfolgten Ziels der Datenverarbeitung sollten Differenzierungen, Einschränkungen und Ausnahmen vorgesehen werden – wie auch immer diese ausgestalten werden könnten.
- Die Verwendungszwecke für Daten im Drittland sind im Annex der Standardvertragsklauseln strikt zu begrenzen auf das vertraglich zwingend notwendige (Rn. 93). Der EuGH stellt sich wohl vor, dass US-Unternehmen sich verpflichten, keine Daten an Sicherheitsbehörden herauszugeben – was freilich illusorisch ist, da US-Unternehmen dazu nach US-Recht verpflichtet sind.
- Technische Sicherheitsmaßnahmen gegen den unberechtigten Zugang von Daten sind sicherzustellen (Rn. 91). Ggf. sind die technisch-organisatorischen Maßnahmen des § 9 BDSG mit Anlage auch den internationalen Unternehmen vertraglich aufzuerlegen.
- Den nationalen Aufsichtsbehörden dürfen keine Kontrollrechte entzogen werden durch die Standardvertragsklauseln (Rn. 102). Es könnte klarstellend eine Klausel aufgenommen werden, dass die zuständigen Aufsichtsbehörden alle Datenverarbeitungen und ?übermittlungen, auch in den Drittstaaten, vollständig überprüfen dürfen.
- Der EuGH kritisierte weiterhin, dass Betroffene keine administrativen und gerichtlichen Rechtsbehelfe zustehen (Rn. 90). Das kann vertraglich kaum vereinbart werden, da auch private Schiedsgerichte gegen Ausspähung der Geheimdienste nicht helfen. Hier ist auf eine politische Lösung zu warten. Eine Möglichkeit könnte das am 15.9.2015 unterzeichnete Rahmenabkommen zwischen den US und der EU sein (Agreement between the United States of America and the European Union on the Protection of Personal Information relating to the prevention, investigation, and prosecution of criminal offences), das jedoch noch in nationales US-Recht umzusetzen ist (siehe dazu Moos/Schefzig im Cr-Online-Blog).
- Die Ergebnisse und Einhaltung der Verpflichtungen sollten regelmäßig überprüft werden (Rn. 75 f.).
Das alles ist aber schon eine wohlwollende Auslegung. Ganz streng genommen dürfen überhaupt keine Daten mehr in die USA (und andere spähende Länder wie Russland oder China) übermittelt werden, da in keinen dieser Länder die Anforderungen des EuGH in Rn. 83 ff. (Keine Ausspähung durch Sicherheitsbehörden und effektiver Rechtsschutz dagegen) eingehalten werden können. Die Konsequenz scheint der EuGH übersehen zu haben und braucht wohl nicht ernsthaft diskutiert zu werden, da ansonsten keinerlei Datenübermittlung außerhalb des EWR mehr möglich wäre.
Ich freue mich auf Ihre Kommentare oder Kritik zu meinen Wertungen, vielleicht kann eine Diskussion zu mehr Rechtssicherheit beitragen.
Autor: RA Matthias Lachenmann