Die Übermittlung personenbezogener Daten in die USA bedarf einer besonderen Rechtfertigung. Nachdem der EuGH in seinem Schrems II-Urteil das Privacy Shield für unwirksam erklärt hat, setzen viele Unternehmen auf Standarddatenschutzklauseln. Die EU-Kommission hat ein neues Regelwerk veröffentlicht. Wer ab dem 27.9.2021 Daten auf Grundlage von Standardvertragsklauseln übermittelt, muss dieses Set verwenden.
Der folgende Beitrag soll einen Überblick geben, wie drei große US-Anbieter (Google, Microsoft und Amazon) das neue Regelwerk umgesetzt haben und was nun zu beachten ist.
Die neuen Standardvertragsklauseln sind aufgebaut wie ein Baukastensystem. Für bestimmte Konstellationen sind jeweils bestimmte Klauseln einschlägig. So möchte die EU-Kommission die Klauseln an die praktischen Bedürfnisse anpassen und Klarheit schaffen. Zudem ist die Terminologie endlich an die DSGVO angepasst worden. Näheres zu den allgemeinen Veränderungen finden Sie in unserem Website-Beitrag.
Google – Terms
Als einer der ersten großen Online-Marketing-Dienstleister hat Google auf den Beschluss der EU-Kommission reagiert und seine Datenschutzbestimmungen auf die neuen Standardvertragsklauseln angepasst. Einerseits bei Produkten (a), wo Google nach eigener Einschätzung selbst als Auftragsverarbeiter agiert, wie bei der Google Marketing Platform (Analytics und Google Tag Manager), Google Cloud Platform und Google Workspace. Andererseits auch bei Produkten (b), bei denen zwischen Google und den Kunden eine geteilte Verantwortlichkeit vorliegt. Beispielhaft dafür sind Google Ads, Google AdMob oder Google Maps APIs.
Die Integration der Standardvertragsklauseln erfolgte in Modulform. Somit soll sichergestellt werden, dass in jeder Konstellation zwischen Auftragsverarbeiter und Verantwortlicher eine legitime Drittstaatenübermittlung von personenbezogenen Nutzerdaten möglich ist. Folgende Module sind dabei von Bedeutung.
- Google Dienste, Google als Auftragsverarbeiter
1. Module 3: Processor to Processor
Google Ireland à eigene (Unter-)Auftragsverarbeiter außerhalb der EWR
(Der häufigste Anwendungsfall)
2. Module 2: Controller to Processor
Unternehmen außerhalb des EWR (z.B. direkt Google Inc.) à Vertragspartner ist auch Verantwortlicher
- Google Dienste, Google und Kunde, geteilte Verantwortlichkeit
3. Module 1: Controller to Controller
Google und der Vertragspartner haben jeweils die alleinige Verantwortung für die Daten
Akzeptiert werden die Änderung bei Annahme der Nutzungsbedingungen bzw. der Datenschutzbestimmungen des jeweiligen Google Dienstes. Bei einem bestehenden Account kann man den Änderungen aktiv in den Einstellungen zustimmen. Die neuen Bestimmungen für die Datenübermittlung auf Grundlage der Standardvertragsklauseln werden dann ab dem 27.10. wirksam. Unterlässt man die aktive Zustimmung, werden sie trotzdem ab diesem Tag für alle Nutzer*innen bindend. Bei allen neuen Verträgen, welche nach dem 27. September geschlossen wurden, gelten die neuen Bestimmungen ab sofort.
Microsoft
Microsoft verweist in einer Ankündigung vom 23. September 2021 auf die neuen EU-Standardvertragsklauseln und gibt selbst an, dass alle bestehenden und künftigen Vereinbarungen zwischen Microsoft Diensten wie Office 365, Azure oder Intune auf Grundlage dieser geschlossen werden, um weiterhin eine rechtlich zulässige Übertragung von persönlichen Daten zu gewährleisten.
Weiterhin ließ Microsoft in der Ankündigung verlauten, dass neue Vereinbarungen automatisch auf die neuen Standardvertragsklauseln gestützt werden, wobei es bei bestehenden Verträgen in der Hand des Kunden liegt, die existierende Vereinbarungen mit Microsoft im Onlinedienst auf den neusten Stand zu aktualisieren und die Standardvertragsklauseln aufzunehmen.
Im Gegensatz zu Google passiert die Umstellung (bisher) noch nicht automatisch.
Amazon Web Service
Auch einer der größten Cloud–Anbieter, Amazon Web Services hat kundgetan, dass sie ihre Servicebedingungen auf die neuen Standardvertragsklauseln aktualisiert haben. Laut AWS können sich alle Kunden darauf verlassen, das personenbezogene Kundendaten, die sie an Länder außerhalb des EWS übertragen, das gleiche hohe Schutzniveau genießen würden, wie bei der Datenübertragung innerhalb der europäischen Union.
Schließlich spricht AWS davon, dass die neuen Standardvertragsklauseln ein Teil der Servicebedingungen sind. Daraus lässt sich schließen, dass eine aktive Zustimmung bzw. Änderung durch den Kunden nicht von Nöten ist.
Fazit
Grundsätzlich stellen die neuen Standardvertragsklauseln einen geeigneten Mechanismus dar, um bei einem Transfer von personenbezogenen Daten in ein Drittland, ein angemessenes Datenschutzniveau zu gewährleisten. Unproblematisch ist die Umsetzung aber keinesfalls und bedarf bei jedem Fall einer sachgerechten Prüfung.
Beispielsweise, durch die neu-beschlossene Klausel 14, wurde eine Daten-Transfer-Folgeabschätzung eingeführt, bei dieser anhand einer Vielzahl von Umständen, relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (Zugriff der Behörden auf die Daten) und vertraglichen, technischen und organisatorischen Garantien, abgeschätzt werden muss, ob es nicht eine einfachere Art der Übermittlung gäbe. Oder ob ein alternativer Anbieter günstiger wäre.
Es wird sich zeigen, inwiefern Google, Microsoft, AWS und andere große Anbieter die Standardvertragsklauseln umgesetzt haben und ob diese Umsetzung den europäischen Anforderungen standhält.
SCC-Generator
Hier gelangen Sie zu dem neuen SCC-Generator, um Ihre individuellen SCC’s zu erstellen.