Die EU-Kommission hat auf das EuGH-Urteil „Schrems-II“ reagiert und neue Standardverträge im Sinne des Artikel 46 (2c) erarbeitet. Leider ist die Sachlage hinsichtlich der Dokumente noch nicht ganz klar.
Am 04.06.2021 teilt die EU-Kommission hier mit, dass ein neue Vertragswerke zum Datentransfer in Drittländer beschlossen wurden. Es findet sich dort ein EU-Standardvertrag für „international transfers“ und einer für „Verantwortliche und Auftragsverarbeiter“ (in Deutsch, Englisch und Französisch).
Neu an den jetzt präsentierten Standardvertragsklauseln sind die Vereinheitlichung der Varianten des Datentransfer in einem Dokument. Die Gliederung erfolgt in vier verschiedenen Modulen (1) Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen (2) Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter (3) Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern (4) Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Eine Pflicht zur Datentransfer-Folgenabschätzung ist ebenfalls neu. Das bedeutet, der Verantwortliche muss sich überzeugen, dass ein Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen Standardvertragsklauseln nachzukommen.
Ebenfalls neu enthalten ist die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen, und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Das bedeutet bei der Umsetzung, dass ab dem Zeitpunkt der offiziellen Veröffentlichung im Amtsblatt der Europäischen Union, innerhalb einer Frist von 18 Monaten die bestehenden Verträge mit Partnern aus Drittstaaten, z.B. Microsoft, Amazon, Google etc. um die neuen EU-Standardverträge ergänzt werden müssen. Es stellen sich dabei Fragen wie:
(a) Bezieht sich dies auch auf jeden innereuropäischen Empfänger, die über eine US-Niederlassung verfügen und somit durch den „USCloud-Act“ zu einer Aushändigung der Daten an die NSA verpflichtet werden können?
(b) Lässt sich überhaupt garantieren, dass beim Drittland-Empfänger das europäische Datenschutzniveau mit all seinen ca. 50 bußgeldbewehrten Pflichten gewährleistet wird?
(c) Inwieweit kann eine Verschlüsselung der personenbezogenen Daten die Problematik lösen? Entscheidend ist hier die Frage, ob der Drittland-Empfänger WIRKLICH nicht auf die Daten zugreifen kann.
(d) Was ist mit den Betriebssystemen Windows, iOS und Android, die wir alle nutzen? Müssen wir jetzt auf Linux umsteigen?
Aber auch bei aller ordentlichen Verwendung der neuen Standardverträge, wird trotzdem klar: Diese Verträge können nicht die Tatsache aus der Welt schaffen, dass die USA (nach Aussage des EuGHs) ein Überwachungsstaat sind. Der EuGH beschäftigte sich mit den US-Überwachungsprogramme PRISM und UPSTREAM und hat offen ausgesprochen, was schon zuvor allen Experten klar war: In den USA haben die Geheimdienste mehr Gewicht als der Datenschutz. Nicht zuletzt die Trump-Administration hat dazu beigetragen, dass die USA datenschutzrechtlich eher zu den „Bösen“ gehören.
Es ist demnach nicht damit getan, die neuen EU-Standardvertrag einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu ermöglichen.
------------------------------------------------------------------------------
„Copyright: Bitte beachten Sie das Urheberrecht dieses Blog-Beitrags. Sie sind nicht befugt den Wortlaut für eigene Publikationen zu nutzen. Das Urheberrecht der Original- Inhalte liegt bei DSB-MIT-SYSTEM®, im Rahmen des Datenschutz-Praxisleitfadens PrivazyPlan®.“