Transatlantic data transfers - solutions in sight!

Nach der Schrems II Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 bietet der Privacy Shield keine gültige Rechtsgrundlage mehr zur Legitimation des transatlantischen Datenaustausches mit den USA. Dies stellt vor allem Unternehmen mit einer US-Muttergesellschaft vor gewaltige Probleme. Ebenso waren Unternehmen betroffen, die zur Datenaufbereitung oder Datenspeicherung mit den großen US-Unternehmen zusammenarbeiten.

Ausweichen auf EU-Standardvertragsklauseln
Die überwiegende Mehrzahl der Unternehmen sind daher zur Überbrückung auf die EU-Standardvertragsklauseln ausgewichen - nach einer IAPP-Umfrage waren dies mehr als 88 Prozent. Der EuGH hatte diese Standardvertragsklauseln in der Schrems II Entscheidung an sich nicht beanstandet. Er hatte aber deutlich darauf hingewiesen, dass Aufsichtsbehörden eine Datenübermittlung auf dieser Grundlage auszusetzen oder zu verbieten haben, sofern im jeweiligen Drittland keine ausreichende Gewähr für deren Einhaltung gegeben ist. Gerade mit Blick auf die USA war dies wegen der dort möglichen Geheimdienstabfragen zu personenbezogenen Daten kaum zu begründen.

Neue Vorschläge für den Datentransfer
Am 11.11.2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA) einen Entwurf neuer Standarddatenschutzklauseln, die bis zum 10.12.2020 der öffentlichen Konsultation zugänglich waren. Die eigentliche Überraschung hierbei war, dass ergänzend zu den Entwürfen ein 29-seitiger Anhang mit ergänzenden Maßnahmen für den internationalen Datentransfer (Transferwerkzeuge) veröffentlicht wurde. Kernstück ist ein 6-Punkte-Plan mit technischen, organisatorischen und vertraglichen Werkzeugen, die der Datenexporteur zusätzlich zu den Standardvertragsklauseln nutzen sollte:
• Analyse der Datentransfers in Drittländer („Know Your Transfers“)
• Identifikation der verwendeten Transferwerkzeuge
• Beurteilung der Wirksamkeit der Transferwerkzeuge
• Identifizierung angemessener ergänzender Maßnahmen
• Implementierung ergänzender Maßnahmen
• Regelmäßige Evaluierung
Mit diesen Transferwerkzeugen ist zumindest ein Teil der Rechtsunsicherheit für den Transfer personenbezogener Daten von EU-Bürgern in die USA behoben.

Ein Plus an Rechtssicherheit
Aus der am 16.01.2021 verabschiedeten gemeinsamen Stellungnahme des EDSA und des Europäischen Datenschutzbeauftragten (EDSB) ist erkennbar, dass es aufgrund der Stellungnahmen noch klarstellende Anpassungen der Standarddatenschutzklauseln geben wird, z.B. beim Anwendungsbereich, bei den Pflichten bei Weitergabe von Daten, bei der Bewertung von Drittlandgesetzten bei behördlichen Datenzugriffen und bei den Meldungen an die Aufsichtsbehörden. Dennoch bieten die neuen Vorlagen sowie der 6-Punkte-Plan bereits vor der endgültigen Verabschiedung durch die EU-Kommission ein Plus an Rechtssicherheit.

Durch den Ausgang der US-Präsidentschaftswahlen dürfte auch ein bilaterales Abkommen zwischen den USA und Europa erneut in den Fokus rücken. Die designierte US-Vizepräsidentin Kamala Harris initiierte als ehemalige Generalanwältin von Kalifornien spezifische Maßnahmen für Unternehmen und Organisationen zu bundesstaatlichen Vorgaben für ein angemessenes Datenschutzniveau. Auch der designierte Staatsminister für „Health and Human Services“, Xavier Becerra, gilt als erwiesener Datenschutzexperte und hat die jüngsten Datenschutzgesetze in Kalifornien maßgeblich geprägt. Es darf daher durchaus mit Fortschritten in den Verhandlungen mit der neuen Biden/ Harris Regierung gerechnet werden.

Schließlich gibt es starke Bestrebungen einzelner amerikanischer Bundesstaaten, ein angemessenes Datenschutzniveau sicherzustellen und sich den Regelungen der DSGVO anzunähern. Kalifornien hat am 01.01.2020 mit dem California Consumer Privacy Act (CCPA) das erste umfassende Datenschutzgesetz in den Vereinigten Staaten in Kraft gesetzt. Die Anforderungen für Unternehmen zur Wahrung der Verbraucherrechte wurden deutlich angehoben und ähneln den Betroffenenrechten der DSGVO. Zudem wurde Ende 2020 mit dem Consumer Privacy Rights Act(CPRA) ein weiteres Datenschutzgesetz für Kalifornien auf den Weg gebracht, mit dem insbesondere die werbliche Weitergabe personenbezogener Daten stark beschränkt wurde. Damit ist nicht ausgeschlossen, dass in naher Zukunft zumindest in einzelnen Bundesstaaten der USA ein angemessenes Datenschutzniveau hergestellt wird und einen transatlantischen Datentransfer legitimiert.

Wir beraten Unternehmen dabei, ihre Auftritte datenschutzkonform zu gestalten und berücksichtigen dabei insbesondere die aktuellen Entwicklungen beim Datentransfer in die USA. Dank starker fachlicher Verzahnung zwischen den IT-, Datenschutzrecht und Gewerblichem Rechtsschutz können wir in allen Teilbereichen versierte Lösungen bieten. Gerne stehe Ihnen bei Fragen zur Verfügung.

Danielle Hertneck, Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz
hertneck@web-partner.de