Standardvertragsklauseln oder Data Privacy Framework – was ist zu tun? (Q&A Teil 1)
Wie berichtet hat die Europäische Kommission am 10. Juli auf Basis des „Data Privacy Frameworks“ („DPF“) einen Angemessenheitsbeschluss erlassen. Das sind wichtige Neuigkeiten, da sich damit ein neuer Weg ergibt, Datenexporte aus der EU in die USA zu legitimieren.
Zur Erinnerung: seit dem „Schrems II“ Urteil des EuGH war der zumeist gewählte (weil verhältnismäßig einfachste) Weg zur Legitimation von Datenexporten in die USA die Vereinbarung von Standardvertragsklauseln im Sinn von Art. 46 Abs. 2 (c) DSGVO („SCC“). Die meisten Unternehmen werden also aktuell zur Legitimation ihrer Datenexporte dieses Instrument vereinbart haben. Mit dem „DPF“ ergibt sich gemäß Art. 45 Abs. 1 DSGVO eine weitere Möglichkeit ergibt, Datenexporte zu legitimieren. Nur …
… welches Instrument soll man nutzen – SCC oder DPF?
Wir wollen diese Frage und die damit verbundenen Themen in einem Q&A besprechen – hier der erste Teil:
Datenexporte in die USA – geht mich das überhaupt etwas an?
Sehr wahrscheinlich: ja.
Ihr Unternehmen ist Datenexporteur, wenn es im Rahmen der Geschäftstätigkeit personenbezogene Daten aus Europa in die USA übermittelt. Das ist regelmäßig der Fall bei allen Unternehmen, die direkte Kontakte mit Unternehmen in den USA pflegen oder dort Tochter- (oder Mutter-)Unternehmen haben. Es trifft aber auch auf alle Unternehmen zu, die digitale Dienstleistungen von US-Unternehmen in Anspruch nehmen und im Rahmen dieser Nutzung Daten in die USA übermitteln. Das können zum Beispiel jede Art von Software-as-a-Service Dienstleistungen oder Verarbeitungen im Auftrag sein (zum Beispiel „Google Analytics“ als eine vielen bekannte und von vielen genutzte Dienstleistung).
Welches Instrument nutze ich aktuell?
Wenn Sie das nicht wissen, haben Sie ein großes Problem: jeder Datenexport in die USA ist nur rechtlich zulässig, wenn er auf Basis einer gültigen Legitimation im Sinn von Art. 44 ff. DSGVO erfolgt. Diese Legitimation muss zusätzlich zu der Rechtsgrundlage der eigentlichen Datenverarbeitung im Sinn von Art. 6 DSGVO vorliegen. Es liegt in der Verantwortung des Datenexporteurs, beides sicherzustellen. Trifft das nicht zu drohen im Grundsatz alle denkbaren Sanktionen der DSGVO, insbesondere Bußgelder und Schadensersatz.
Genug Grund, zu prüfen, ob in Ihrem Unternehmen Datenexporte in die USA stattfinden und wenn ja, mit welcher Rechtsgrundlage sie legitimiert werden!
Ich nutze aktuell SCC – muss ich jetzt zum DPF wechseln?
Nein. Die DSGVO bietet in Art. 44 ff. DSGVO einen Katalog von Möglichkeiten an, Datenexporte zu legitimieren. Diese Möglichkeiten bestehen als unabhängige Alternativen nebeneinander. Im Grundsatz kann frei zwischen den Möglichkeiten gewählt werden, wenn diese für das Zielland des Datenexports zur Verfügung stehen.
Die Verwendung von SCC für Datenexporte in die USA bleibt also vollständig legitim. Für alle Unternehmen, die wirksam SCC vereinbart haben, besteht also im Grundsatz kein Handlungsbedarf.
Was ist denn besser – SCC oder DPF?
Das hängt von den am Datenexport beteiligten Parteien und deren Interessenlage ab.
Datenexporteur und Datenimporteur haben insofern nicht zwingend die gleiche Blickrichtung. Für den Datenimporteur in den USA wird es insofern stets auch auf eine Beurteilung des in den USA anwendbaren Rechts ankommen.
Achtung: das DPF steht nur für Datenexporte in die USA zur Verfügung. SCC hingegen können im Grundsatz für Exporte in jedes Land außerhalb der EU angewendet werden (für die aber unter Umständen ein dem DPF identisches Instrument existiert).
Wer entscheidet eigentlich darüber, ob SCC oder DPF angewendet werden?
Die Verantwortung für Datenexporte liegt gemäß Art. 44 DSGVO allein beim Datenexporteur. Er – und nicht der Datenimporteur – muss sicherstellen, dass die Voraussetzungen eines legitimen Datenexports erfüllt sind. Dazu gehört insbesondere auch die Erfüllung der Transparenzpflichten gegenüber den Betroffenen, denn Datenexporte und deren Rechtsgrundlage müssen gemäß Art. 13 Abs 1 (f) DSGVO angezeigt werden. Als Spiegel dieser Verantwortung haftet der Datenexporteur sowohl den Aufsichtsbehörden als auch den Betroffenen gegenüber, wenn dies nicht der Fall ist.
In der Konsequenz liegt es grundsätzlich im freien Ermessen des Datenexporteurs, welche Rechtsgrundlage er für den Datenexport wählen möchte. Der Datenimporteur hat diese Entscheidung zu respektieren. In der Realität dürfte sich dieses Verhältnis jedoch häufig umdrehen. Denn: das Machtverhältnis zwischen Datenexporteur und Datenimporteur führt nicht selten dazu, dass der Datenimporteur die Rechtsgrundlage z.B. für die im Rahmen der Nutzung seiner digitalen Dienstleistung stattfindenden Datenexporte vorgibt.
Fortsetzung folgt!
Den zweiten Teil der Q&A finden Sie hier. Den dritten Teil dieser Q&A finden Sie hier.