Suchen

Nach Safe Harbor und Privacy Shield Warum auch die EU-Standardvertragsklauseln kippen könnten

| Autor: Dr. Stefan Riedl

Nachdem erst das Safe-Harbor-, dann das Privacy-Shield-Abkommen juristisch gekippt wurde, hängen Vertragsbeziehungen mit Datenübertragung EU-USA an so genannten Standardvertragsklauseln. Doch auch diese könnten bald obsolet sein.

Firmen zum Thema

„Vor Gericht und auf hoher See ist man in Gottes Hand“, sagt der Volksmund.
„Vor Gericht und auf hoher See ist man in Gottes Hand“, sagt der Volksmund.
(Bild: Frank Wagner - stock.adobe.com)

Durch den Wegfall des Privacy-Shield-Abkommens (siehe Kasten) kam viel Dynamik in die juristische Bewertung bei der Zusammenarbeit mit Cloud-Anbietern aus dem Nicht-EU-Ausland, also hauptsächlich den USA. „Wir bei Gridscale merkten das an der Nachfrage nach unseren Lösungen, die inzwischen ISO-27001- und ISO-27018-zertifiziert sind aber auch an der Anzahl an Downloads eines 24-seitigen Papers zu dem Thema, das wir kostenlos zur Verfügung stellen“, berichtet Henrik Hasenkamp, CEO, Gridscale.

Besagtes Whitepaper „Rechtliche Risiken bei Nutzung internationaler Cloud-Anbieter“ wurde zusammen mit der Kanzlei „Heuking Kühn Lüer Wojtek“ erstellt und geht auf juristische Probleme mit personenbezogenen Daten ein, die sich hier beispielsweise mit dem Finanzamt, dem Betriebsrat, dem AGB-Recht und anderen Bereichen ergeben können. „Um die Problematik zu verstehen, muss man eigentlich beim 2015 weggefallenen Safe-Harbor-Abkommen anfangen“, holt Hasenkamp aus. „Die EuGH-Richter legten damals eine lange Mängelliste vor und beschlossen, dass das Abkommen vor diesem Hintergrund nicht gültig sein kann.“

Ein Kernkritikpunkt war, dass ein persönlich Betroffener keine praktische Möglichkeit hat, seine Rechte durchzusetzen, die ihm in Zusammenhang mit personenbezogenen Daten zustehen. Außerdem gilt die Weitergabe von Daten an Geheimdienste und Behörden als Problem. Die EU kam daraufhin in Zugzwang und zauberte das „Privacy Shield“ aus dem Hut.

„Es kam wie es kommen musste.“

Allerdings sei schon zur Einführung klar gewesen, dass damit die zentralen Kritikpunkte in Hinblick auf die Durchsetzbarkeit von Rechten nicht geklärt sind, schildert Hasenkamp seine Perspektive. „Nun kam es, wie es kommen musste: Nach einer erneuten Prüfung wurde festgestellt, dass persönlich Betroffene aus der EU im US-Justizsystem besagte Rechte praktisch nicht durchsetzen können und die Geheimdienste nach wie vor sehr freizügig Zugriffe auf Daten erhalten, so dass nun auch das Privacy Shield gekippt wurde“, so der Gridscale-CEO.

Ein irisches Gericht hatte im Vorfeld dem EuGH Zweifel an der Wirksamkeit des Privacy Shield geäußert. Der EuGH hat dieses Abkommen nun gekippt, weil er die Rechte der EU-Bürger durch Maßnahmen der US-Sicherheitsbehörden verletzt sieht. Diese haben weitreichende Befugnisse, auf Daten zuzugreifen – auch auf solche von EU-Bürgern.

Die EU-Standardvertragsklauseln

Stand jetzt kann die Zusammenarbeit mit Personendaten verarbeitenden Firmen im Ausland, also beispielsweise in den USA, auf die Grundlage der EU-Standardvertragsklauseln gesetzt werden. Hierbei sollen dann keine intergouvernementalen Abkommen wie Safe Harbor oder Privacy Shield die Rechte der Nutzer schützen, sondern Vereinbarungen zwischen Vertragspartnern. Hasenkamp weist auf einen wichtigen Aspekt daran hin: „Da es sich nicht um ein intergouvernementales Abkommen handelt, sondern um Vertragsverhältnisse zwischen einzelnen Unternehmen, können diese erheblich schwerer für ungültig erklärt werden.“

Knackpunkt Datenschutzbeauftragte

Allerdings stehen längerfristig aus Sicht von Hasenkamp auch die EU-Standardvertragsklauseln zur Disposition: „Ich gehe davon aus, dass früher oder später Beschwerden über den Umgang mit personenbezogenen Daten gemeldet werden und das Thema der fehlenden Durchsetzbarkeit von Rechten bezüglich personenbezogener Daten dann über die Institution der Datenschutzbeauftragten wieder auf den Tisch kommen wird. Entsprechende Stimmen einzelner Datenschutzbeauftragter sind bereits hörbar.“

Das Thema hat auch geopolitische Dimensionen. Mit Gaia-X soll eine „europäische Cloud“ gefördert werden, doch wird parallel an Folge-Abkommen mit den USA gearbeitet.

(ID:46847390)

Über den Autor

Dr. Stefan Riedl

Dr. Stefan Riedl

Leitender Redakteur