Neue Rechtsunsicherheit für internationalen Datenaustausch

Darüber hinaus lassen 6 Prozent der Unternehmen, die externe Dienstleister beauftragt haben, personenbezogene Daten in den USA verarbeiten. Unter den großen Unternehmen ist es sogar rund jedes Dritte (32 Prozent). Mit 8 von 10 Unternehmen (79 Prozent) setzt die große Mehrheit aller Unternehmen, die Daten direkt oder über einen Dienstleister mit den USA austauschen, auf Standardvertragsklauseln als Rechtsgrundlage, 13 nutzen den Privacy Shield.

„Standardvertragsklauseln sind bislang das meistgenutzte Instrument für einen rechtssicheren Datenaustausch mit den USA. Viele Unternehmen, die früher mit Safe Harbor gearbeitet haben, haben nach dem Urteil des EuGH in 2015 ihre Verträge darauf umgestellt“, so Dehmel. „Sollten die Standardvertragsklauseln als nicht ausreichend angesehen werden, wissen Unternehmen nicht, womit sie weiterarbeiten können.“

Dazu kommt: Die nun auf den Prüfstand gestellten Standardvertragsklauseln spielen eine bedeutende Rolle in der mühsam erarbeiteten europäischen Datenschutz-Grundverordnung (DS-GVO). Diese regelt ab 25. Mai 2018 noch detaillierter als die bislang geltende Datenschutz-Richtlinie, unter welchen Umständen personenbezogene Daten aus der EU in Drittstaaten übermittelt werden dürfen. Dies ist dann ohne Weiteres möglich, wenn die EU-Kommission festgestellt hat, dass das Drittland ein angemessenes Datenschutzniveau bietet.

Besteht kein solcher Beschluss für ein bestimmtes Drittland, so dürfen personenbezogene Daten nur dorthin übermittelt werden, wenn der Datenverarbeiter geeignete Garantien vorgesehen hat. Als geeignete Garantien nennt die DS-GVO ausdrücklich und prominent Standardvertragsklauseln. „Die durch den irischen Gerichtshof angestoßene EuGH-Entscheidung dürfte noch sehr viel bedeutender sein als das Urteil über Safe Harbor.

Die Gültigkeit von Standardvertragsklauseln betrifft fast alle Unternehmen, die international agieren“, sagt Dehmel „Falls sich die EuGH-Entscheidung nicht nur auf den Datentransfer zwischen der EU und den USA bezieht, sondern allgemein auf die Vertragsklauseln, könnte dies verheerende Folgen für die europäischen Volkswirtschaften haben.“

Unternehmen, die international agieren oder Dienstleistungen nutzen, bei denen Daten international ausgetauscht werden, sollten sich über die Entwicklung auf dem Laufenden halten. Um ihnen Orientierung zur rechtlichen Absicherung von Datentransfers zu geben, hat Bitkom einen neuen Leitfaden erarbeitet, der die Neuerungen und Vorgaben der Datenschutz-Grundverordnung für Drittstaaten-Transfers erläutert und einen Überblick über die verschiedenen Garantien gibt. Dieser ist online abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2017/Leitfaden/LF-Verarbeitung-personenbezogener-Daten-DE-online-final.pdf