Nachfolge zum Privacy Shield - Treffen in Brüssel - Deal oder kein Deal? Neue Standardvertragsklauseln SCCs

von Dr. Axel Spies, veröffentlicht am 03.06.2021

Nach verschiedenen Berichten von heute will Präsident Biden eine politische Vereinbarung mit der EU,  "um das Vertrauen in den Datenfluss über den Atlantik wiederherzustellen", wenn er sich am 15. Juni in Brüssel mit führenden Politikern trifft.

Biden möchte eine politische Vereinbarung auf hoher Ebene mit der Präsidentin der Europäischen Kommission, Ursula von der Leyen, während des bevorstehenden EU-U.S.-Gipfels (ihr erstes persönliches Treffen). Es würde den Grundstein für ein neues transatlantisches Datentransferabkommen legen. Das Minimalziel sein es, übergreifende Zusagen für beschleunigte Verhandlungen zu erreichen.

Unternehmen auf beiden Seiten des Atlantiks drängen seit fast einem Jahr auf ein solches Abkommen, obwohl es noch große Hürden gibt, wenn es darum geht, wie die nationalen Sicherheitsbehörden der USA auf die Daten der EU-Bürger zugreifen können.

Es wird erwartet, dass Gina Raimondo, die US-Handelsministerin, und Katherine Tai, die US-Handelsbeauftragte, Biden bei seinem Besuch in Brüssel begleiten, um zu unterstreichen, wie sehr Washington diesen diplomatischen Druck ausübt.

Ich finde: obwohl dies ermutigende Nachrichten sind, sollte man vorsichtig sein und nicht zu viel hineininterpretieren:

1.            Die Vorschläge des Weißen Hauses, die noch ausgearbeitet werden müssen, können sich vor dem Treffen noch ändern.

2.            Die Vorschläge fallen zusammen mit der anhaltenden Skepsis der EU gegenüber den amerikanischen Überwachungspraktiken. Am Sonntag veröffentlichte ein dänischer öffentlich-rechtlicher Sender Vorwürfe, dass die Geheimdienste des Landes der NSA geholfen hätten, EU-Politiker abzuhören. Der Bericht veranlasste den französischen Präsidenten Macron, Antworten sowohl von den USA als auch von Dänemark zu verlangen. "Wenn diese Enthüllungen richtig sind, möchte ich ganz klar sagen, dass dies unter Verbündeten nicht akzeptabel ist", sagte er am Montag auf einer gemeinsamen Pressekonferenz mit Bundeskanzlerin Merkel. Die Gegner einer Vereinbarung im Europäischen Parlament werden dieses Thema nutzen, um ihre Agenda durchzusetzen.

3.            Die Verhandlungsteams haben sich bisher schwergetan, die rechtlichen Fragen zu klären, wie Washington die Datenschutzrechte der EU-Bürger besser schützen kann. Sie haben mittlerweile viele Monate lang verhandelt.  Die Details werden noch knifflig sein, insbesondere wenn der Kongress das US-Gesetz ändern muss, um den EU-Bürgern mehr Rechte zu geben. Hochrangige europäische Beamte (wie die Vizepräsidentin der Europäischen Kommission Věra Jourová) drängen auf stärkere Verpflichtungen, einschließlich Änderungen der US-Gesetzgebung, von Washington, um die Rechte der EU zu schützen.

4.            Jedes Abkommen wird wahrscheinlich von Herrn Schrems und seiner Organisation NOYB (und anderen) angefochten werden und könnte seinen Weg zurück zum EuGH finden.

5.            US-Regierungsbeamte haben inoffiziell ihre Frustration darüber geäußert, dass Brüssel von amerikanischen nationalen Sicherheitsbehörden verlangte, ihre Praktiken zur Sammlung von Daten einzuschränken, während viele europäische nationale Geheimdienste ähnliche Praktiken anwendeten, die sich oft gegen US-Bürger richteten.

Aber die Hervorhebung des Themas - das in das offizielle Kommuniqué aufgenommen werden könnte, das von beiden Seiten am Ende des Gipfels erstellt wird - ist zumindest ein Zeichen für das wachsende Interesse Washingtons an diesem Thema.

Aber was meinen Sie, wird es eine Vereinbarung geben?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

16 Kommentare

Kommentare als Feed abonnieren

Stimmt, der Herr Magister Schreeems wir alles anfechten, egal wie es ausgeht. Ich schlage "Safe Privacy Harbor Shield" als Arbeitstitel vor. Und Gesetzesänderungen durch den US Kongress kann man getrost vergessen. Der schafft es nocht nicht mal einen bundesweiten Privacy Act zu verabschieden.

0

Die neuen modernisierten Standardvertragsklauseln der KOM sind raus.

https://ec.europa.eu/info/sites/default/files/1_de_annexe_acte_autonome_...

Ich hatte eigentlich erwartet, dass die KOM ein Formular zur Risikoanalyse nach "Schrems 2" als separate Anlage zur Verfügung stellt. Dazu ist es nicht gekommen, soweit ich die 34 Seiten Text des Dokuments verstanden habe. Allerdings gibt es Handreichungen in Fussnote 12:

Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre
praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird. 

Das Risiko, dass sie mit der Analyse falsch liegen, liegt wohl weiter bei den Datenexporteuren.

Lieber Herr Spies,

vielen Dank für die Infos zu den Aktivitäten der Biden-Administration und zu dem Hinweis in Fußnote 12 der SCC-neu. Beides zeigt, wie schwierig es werden wird die SCC-neu rechtssicher in Bezug auf einzuhalten. Die Erwägungsgründe des Durchführungsbeschlusses sind bezüglich des "unionsrechtlich geforderten Schutzniveau" eher vage und bieten mE keinen neuen Prüfungsmaßstab. So heißt es in EG 20 des Durchführungsbeschlusses:

Die Partien sollten insbesondere den besonderen Umständen der Übermittlung (wie Inhalt und Dauer des Vertrags, Art der zu übermittelnden Daten, Art des Empfängers, Zweck der Verarbeitung), den Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes, die angesichts der Umstände der Übermittlung relevant sind, und etwaigen Garantien zur Ergänzung der Garantien gemäß den Standardvertragsklauseln (einschließlich der einschlägigen vertraglichen, technischen und organisatorischen Maßnahmen, die für die Übermittlung und die Verarbeitung der personenbezogenen Daten im Bestimmungsland gelten) Rechnung tragen. Was die Auswirkungen solcher Rechtsvorschriften und Rahmen einer Gesamtbeurteilung verschiedene Aspekte betrachtet werden, darunter zuverlässige Informationen über die Anwendung der Rechtsvorschriften in der Praxis (z.B. Rechtsprechung und Berichte unabhängiger Aufsichtsgremien), das Vorliegen oder Nichtvorliegen von Anträgen innerhalb desselben Sektors und, unter strengen Voraussetzungen, die dokumentierte praktische Erfahrung des Datenexporteurs und Datenimporteurs.

Aber wie ist eine „Gepflogenheit“ zu bewerten? In der englischen Version heißt es „practices“. Beides muss in dem Kontext wohl in Richtung Tradition (Tradition) oder Brauch (Custom) gelesen werden. Wann wären Änderungen von Gepflogenheiten ausreichend um im Sinne eines „unionsrechtliche geforderten Schutzniveaus“ zu gelten? Wie sind die Biden-Aktivitäten in diesem Lichte zu sehen? Wie die Datenschutzgesetze der einzelnen US-Bundestaaten?

Ein:e risikofreudige/r Datenschützer:in mag das anders bewerten, als ein eher vorsichtiger.

Let's discuss the specifics!

Auweia. 34 Seiten inkl. Formulare zum Ausfüllen... Ob Mutter Schrems mit ihrem Juweliergeschäft in Salzburg das mitmacht, wenn sie in New York wie immer Ware für Kunden bestellt?! Das gibt "oa Watschen" für Max, der ihr das alles eingebrockt hat.

Und es scheint, dass die Klauseln auch dann anzuwenden sind, wenn der Empfänger der DSGVO unterliegt. Das war ja ein heisses Thema im Vorfeld. Sonst wäre z.B. Klausel 13 (a) unverständlich: "Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt..."

Mal sehen, wie die Reaktion der Industrie ist. 

0

Hier in diesem Zusammenhang eine weiter interessante Beobachtung zu den neuen SCC, auf die mich Frau Schmitz hingewiesen hat – vielen Dank…

In Klausel 14 heißt es:

b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

Mit anderen Worten: Egal wer von wo auf die Daten zugreift, der Speicherort spielt bei der Analyse und den geforderten Zusicherungen eine Rolle.

Das zeigt ja gerade, wie weltfremd das Denken der europäischen ernannten und selbsternantnen "Datenschützer" ist.  Die NSA freut sich, wenn die Daten nicht in den USA gespeichert sind, weil dann viele Vorschriften nicht mehr gelten, die bei einer Sammlung im Inland (in den USA) anwendbar sind. Außerdem kann bei Datenzugriff aus den USA die Behörde das ansässige Unternehmen (oder die Person) zwingen, die Daten offen zu legen. Mal wieder ein Eigentor.

0

Ja, es gibt bekanntlich viele Leute, auch international bekannte Spitzenberater, die empfehlen uns Europaern, daß wir unsere Daten und unser Geld und unser Gold und unsere Depots und unsere Firmensitze und Wohnsitze, in die USA verlagern sollen, so wie es diese Leute bereits schon vor Jahren getan haben.

Die USA, Großbritannien, Australien, Suedafrika, Singapur, die Schweiz, und viele andere Standorte, werben aktiv fuer sich.

Deutschland ist wohl eher etwas schuechtern.

0

Mag sein. Dieses ganze Geschwafel von der Datenfestung Europa ist ein Witz. Wenn der NSA will, kommt der an fast alle Daten dran, ansonsten helfen die willfährigen Verbündeten, wie kürzlich noch die Dänen. 

https://www.dw.com/de/d%C3%A4nemark-half-us-geheimdienst-bei-bespitzelung/a-57721838 

"Ironie des Ganzen: Dänemark selbst geriet ins Visier der NSA."

0

Will sich jemand zur wichtigen Erwägung 7 im Durchführungsbeschluss äußern? Freiwillige vor.

Unbeschadet der Auslegung des Begriffs der internationalen Datenübermittlung gemäß der Verordnung (EU) 2016/679 können die im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln von einem Verantwortlichen oder einem Auftragsverarbeiter verwendet werden, um geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an einen in einem Drittland niedergelassenen Auftragsverarbeiter oder Verantwortlichen zu gewährleisten. Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt. Dies schließt auch die Übermittlung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter ein, soweit die Verarbeitung Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 unterliegt, da die Datenübermittlung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder das Verhalten betroffener Personen zu beobachten, soweit dieses in der Union erfolgt. 

Lieber Herr Spies,

die Kommission hat mE erfreulicherweise am Marktortprinzip festgehalten und damit den (räumlichen) Anwendungsbereich der DSGVO gestärkt.

EG 7 in Verbindung mit (dem aus dem Entwurf beibehaltenen) Artikel 1 (1) des Durchführungsbeschlusses sagt (eigentlich unmissverständlich), dass die neuen Standardvertragsklauseln dann Anwendung finden sollen, wenn

  • Personenbezogene Daten von einem Verantwortlichen/Auftragsverarbeiter
  • an einen Verantwortlichen/Auftragsverarbeiter, der nicht der DSGVO unterliegt

übermittelt werden.

Auch wenn man diese Eindeutigkeit nicht annehmen will, greift aber die juristische Methodenlehre. Nach der objektiven teleologischen Auslegung ist darauf abzustellen, was wohl Sinn und Zweck der Norm unter gegenwärtigen Gesichtspunkten ist. Durch die Aufnahme des Marktortprinzips in Art. 3 Abs. 2 DSGVO, ist Sinn und Zweck der DSGVO, dass diese für alle Verantwortlichen/Auftragsverarbeiter gilt, wenn die Datenverarbeitung unter die DSGVO fällt. In diesem Fall greifen die Schutzmechanismen der DSGVO, worunter auch Kapitel 5 fällt. Und dann bedarf es eben keiner zusätzlichen geeigneten Garantien für die Datenübermittlung.

Das heißt nicht, dass damit keine vertraglichen Vereinbarungen zur Einhaltung dieser Schutzmechanismen erforderlich sind. Die SCC können hierfür eine Vorlage bilden, jedoch nicht mit den strengen Vorgaben der SCC, die nötig sind, wenn die DSGVO nicht ohnehin schon anzuwenden ist.

#GDPRworks!

...und weiter geht´s mit den Überlegungen zu den SCC_neu:

Nach meinem Verständnis gibt es zwei Durchführungsbeschlüsse für die SCC:

  • (EU) 2021/915 Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern
  • (EU) 2021/914 Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer

Im EG 7 zu (EU) 2021/914 Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländern steht:

Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.

Und wird ergänzt um Artikel 1 (1)

Die im Anhang aufgeführten Standardvertragsklauseln gelten als geeignete Garantien im Sinne des Artikels 46 Absatz 1 und des Artikels 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 für die Übermittlung von gemäß dieser Verordnung verarbeiteten personenbezogenen Daten durch einen Verantwortlichen oder einen Auftragsverarbeiter (Datenexporteur) an einen Verantwortlichen oder einen (Unter-)Auftragsverarbeiter, dessen Verarbeitung der Daten nicht dieser Verordnung unterliegt (Datenimporteur).

Zwischenüberlegung (siehe mein Blog-Kommentar gestern): keine SCC, wenn Datenexporteur aufgrund Art. 3 (2) DSGVO sowieso den Anforderungen der DSGVO unterfällt.

In EG 10 zu (EU) 2021/915 Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeiter steht:

Zur Erfüllung der Anforderungen gemäß Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 hat die Kommission Standardvertragsklauseln gemäß Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 erlassen. Diese Klauseln erfüllen auch die Anforderungen gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 für Datenübermittlungen von Verantwortlichen, die der Verordnung (EU) 2016/679 unterliegen, an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von Auftragsverarbeitern, die der Verordnung (EU) 2016/679 unterliegen, an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung. Diese Standardvertragsklauseln können nicht als Standardvertragsklauseln im Sinne von Kapitel V der Verordnung (EU) 2016/679 verwendet werden.

Das heißt aber doch:

  • Wenn Auftragsverarbeiter oder Unterauftragsverarbeiter dem räumlichen Anwendungsbereich der DSGVO unterfallen (= Art. 3 Asb. 2 DSGVO), dann braucht es die SCC nicht (so auch im EG 7 zu (EU) 2021/914) und damit ein weiteres starken Argument für diese Ansicht)
  • Satz 1 und Satz 3 von EG 10 sind mir hingegen völlig rätselhaft. Nach meinem Verständnis verweist Satz 1 von EG 10 auf die SCC-Regelung als geeignete Garantien in Art. 46 (2) lit c DSGVO. Satz 3 hebt das aber wieder auf – oder?

Was meinen Sie?

 

Wenn Sie recht haben, wird sich ein ganzes Rudel von Unternehmen außerhalb der EU freuen, die hier Dienste anbieten. 

Aber dann passt u.a. Klausel 13 (a) nicht mehr richtig: "Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt..."

Daraus muss man doch wohl schließen: Die Anwendung der Standardvertragsklauseln hängt nicht davon ab, ob Artikel 3 (2) anwendbar ist.

0

Das ist ein berechtigter Einwand und Hinweis. Meine Überlegung dazu: Klause 13 regelt "nur" die Zuständigkeiten der Aufsichtsbehörden, unabhängig von der Erfoderlichkeit eines SCC - was natürlich die Frage aufwirft, warum es hier aufgenommen wurde. Dennoch überwiegt mE die Formulierung in den EG zur Anwendbarkeit und die Auslegungsmethodik zur Sinnhaftigkeit. Hmm!?
 

POLITICO (June 9, 2021) : "The European Union and the United States will announce a wide-ranging partnership around technology and trade next week in an attempt to push back against China and promote democratic values, according to two EU officials and draft conclusions for the upcoming EU-U.S. summit seen by POLITICO."

Ist das schon ein "Element"  zur Ermittlung der Auswirkungen lokaler Rechtsvorschriften und Gepflogenheiten  auf die Einhaltung dieser Klauseln wie in Klausel 14 Fußnote 12 SCC (EU) 2021/914 gefordert?

Ich bin gespannt, wie die Debatte zu den SCC weiter geht. Wir freuen uns über weitere Kommentare aus der Community.

Vielleicht nicht unerheblich in diesem Zusammenhang: Die neue Studie von Analysys (mit Unterstützung von Facebook) zum Thema internationaler Datenfluss:

https://about.fb.com/wp-content/uploads/2021/06/The-Importance-of-Cross-...

Das sind schon gewaltige Zahlen: " Ausgehend von der aktuellen Outsourcing-Nachfrage der EU-Unternehmen schätzen wir, dass das Backshoring aller derzeit ausgelagerten Arbeitsplätze die Arbeitskosten für EU-Unternehmen um 25,5 Mrd. € bis 91,7 Mrd. € pro Jahr erhöhen würde."

Was halten Sie davon?

Aus dem Communique des Weißen Hauses zum G7 Gipfel:

https://www.whitehouse.gov/briefing-room/statements-releases/2021/06/13/...

We will support cooperation on specific areas in relation to the evolution of future frontiers. Based on the work of our Digital and Technology Ministers, we agree the focus of our cooperation for this year will be a structured dialogue around specific areas:

  • Championing data free flow with trust, to better leverage the potential of valuable data-driven technologies while continuing to address challenges related to data protection. To that end we endorse our Digital Ministers’ Roadmap for Cooperation on Data Free Flow with Trust.

Diese Roadmap vom 29.04. findet man hier: http://www.g8.utoronto.ca/ict/2021-annex_2-roadmap.html 

Ist ja lobenswert, dass das Thema an so prominenter Stelle erwähnt wird, aber was heißt das praktisch?

Kommentar hinzufügen

/