Zum Inhalt springen Zur Navigation springen
EuGH prüft EU-Standardverträge – Welche Unternehmen sind betroffen?

EuGH prüft EU-Standardverträge – Welche Unternehmen sind betroffen?

Der oberste irische Gerichtshof hat dem Europäischen Gerichtshof (EuGH) kürzlich die Frage vorgelegt, ob die EU-Standardverträge noch eine ausreichende Garantie hinsichtlich des Schutzes der Privatsphäre für eine Übermittlung personenbezogener Daten in Drittländer darstellen. Eine Umfrage im Auftrag von Bitkom deckt auf, wie viele Unternehmen nun um die Rechtmäßigkeit der EU-Standardvertragsklauseln bangen müssen.

Stets Rechtsunsicherheiten beim internationalen Datenaustausch

Der internationale Datentransfer boomt. Durch die fortschreitende Digitalisierung und Globalisierung breiten sich Datenflüsse von Unternehmen wie ein immer größer werdendes Netz über die Weltkarte aus.

Susanne Dehmel, die Geschäftsleiterin Recht & Sicherheit beim Digitalverband Bitkom äußerte sich dazu folgendermaßen:

„Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt. Ohne Daten zu übermitteln, können sie nicht mit Niederlassungen und Kunden zusammenarbeiten. Die Unternehmen brauchen verlässliche und handhabbare Regeln, um ihre internationale Zusammenarbeit auf legale Datentransfers zu stützen.“

„Wenn Europa die grenzüberschreitenden Datenströme kappt, hat dies unmittelbar negative Auswirkungen auf das internationale Geschäft unserer Unternehmen. Europa darf keine Dateninsel werden.“

Der irische Gerichtshof hat nun angekündigt, eine Klage gegen die Rechtmäßigkeit von Standardvertragsklauseln dem Europäischen Gerichtshof (EuGH) weiterzuleiten. Werden die EU-Standardverträge für Unrechtmäßig erklärt, ist eine hohe Anzahl von Unternehmen betroffen. Dieses Szenario scheint jedoch gar nicht so unwahrscheinlich, da nach vielen Meinungen die Argumente, die für die Unrechtmäßigkeit der sogenannten Safe-Harbor-Regelung gesprochen haben, auf die Frage der Rechtmäßigkeit der EU-Standardverträge übertragen werden können.

Gerade in Bezug auf die Datenübermittlung in die USA würde ein negatives Urteil die deutsche Wirtschaft hart treffen. In der Vergangenheit wurde das Safe Harbor-Abkommen für ungültig erklärt und jüngst auch heftige Kritik am Privacy Shield geäußert. Auch aufgrund dieser Entwicklung wurde bei Datentransfers in die USA zur Herstellung eines ausreichenden Datenschutzniveaus auf EU-Standardverträge als einzig praktisch nutzbare Alternative gesetzt.

Wer wäre von der Unwirksamkeit der EU-Standardverträge betroffen?

Die Entscheidung betrifft alle Unternehmen, die Daten mit Unternehmen oder Standorten außerhalb der EU austauschen.

Im Auftrag von Bitkom wurde durch Bitkom Research eine Umfrage durchgeführt, bei der 507 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland befragt wurden. Bitkom Research ist auf die Konzipierung und Durchführung von Marktforschungsprojekten spezialisiert.

Die Umfrage befasste sich mit folgenden Fragestellungen:

„Lässt Ihr Unternehmen personenbezogene Daten von externen Dienstleistern verarbeiten?“, „In welchen Ländern werden die personenbezogenen Daten Ihres Unternehmens von externen Dienstleistern verarbeitet?“, „Übermittelt Ihr Unternehmen selbst personenbezogene Daten in die USA?“ und „Auf welcher Rechtsgrundlage übermitteln Sie bzw. Ihr Dienstleister personenbezogene Daten in die USA?“

Das Ergebnis der Umfrage

4 von 10 Unternehmen mit 20 oder mehr Mitarbeitern (44 Prozent) lassen personenbezogene Daten von externen Dienstleistern verarbeiten. Bei größeren Unternehmen ab 500 Beschäftigen sind es sogar zwei Drittel. Besonders beliebt sind Dienste die im Rahmen von Cloud-Lösungen angeboten werden. Des Weiteren wurde durch die Umfrage ermittelt, dass fast jedes Dritte Unternehmen (31 Prozent) selbst Daten im Auftrag anderer verarbeitet, unter den großen Unternehmen sind es sogar 6 von 10 (59 Prozent).

Der Umfrage zu Folge übermittelt jedes zehnte Unternehmen selbst personenbezogene Daten in die USA, bei den großen Unternehmen ab 500 Mitarbeitern ist es sogar jedes zweite (54 Prozent). 6 Prozent der Unternehmen, die externe Dienstleister beauftragt haben, lassen personenbezogene Daten in den USA verarbeiten. Unter den großen Unternehmen ist es sogar rund jedes Dritte (32 Prozent). Mit 8 von 10 Unternehmen (79 Prozent) setzt die große Mehrheit aller Unternehmen, die Daten direkt oder über einen Dienstleister mit den USA austauschen, auf Standardvertragsklauseln als Rechtsgrundlage, 13 nutzen den Privacy Shield.

Dazu Dehmel:

„Standardvertragsklauseln sind bislang das meistgenutzte Instrument für einen rechtssicheren Datenaustausch mit den USA. Viele Unternehmen, die früher mit Safe Harbor gearbeitet haben, haben nach dem Urteil des EuGH in 2015 ihre Verträge darauf umgestellt.“

„Sollten die Standardvertragsklauseln als nicht ausreichend angesehen werden, wissen Unternehmen nicht, womit sie weiterarbeiten können.“

Standardvertragsklauseln und die DSGVO

Besonders verheerend wäre die Unwirksamkeit der EU-Standardverträge auch in Bezug auf die ab Mai 2018 europaweit geltende Datenschutz-Grundverordnung (DSGVO). In der neuen Verordnung wird explizit aufgeführt, dass Standardvertragsklauseln ein geeignetes Mittel darstellen, um bei einem Datentransfer in ein unsicheres Drittland ein angemessenes Datenschutzniveau zu garantieren.

Unternehmen bei denen ein internationaler Datentransfer stattfinden, sollten sich in jedem Fall über die aktuelle Entwicklung informieren, um rechtzeitig geeignete Maßnahmen zu ergreifen. Bitkom stellt einen Leitfaden zur Übermittlung von personenbezogenen Daten in Drittländer nach der DSGVO für Unternehmen zur Verfügung. In jedem Fall sollte aber das Verfahren zur Prüfung der Rechtmäßigkeit der Standardvertragsklauseln durch den EuGH beobachtet werden.

Auch Frau Dehmel von der Bitkom unterstreicht die Wichtigkeit des Ausgangs des Verfahrens:

 „Die durch den irischen Gerichtshof angestoßene EuGH-Entscheidung dürfte noch sehr viel bedeutender sein als das Urteil über Safe Harbor. Die Gültigkeit von Standardvertragsklauseln betrifft fast alle Unternehmen, die international agieren.“

„Falls sich die EuGH-Entscheidung nicht nur auf den Datentransfer zwischen der EU und den USA bezieht, sondern allgemein auf die Vertragsklauseln, könnte dies verheerende Folgen für die europäischen Volkswirtschaften haben.“

(K)ein Grund zur Panik?

Die aufkommenden Zweifel an den EU-Standardvertragsklauseln und die Klage bezüglich deren Rechtmäßigkeit lassen im internationalen Datentransfer nicht wirklich ein sicheres Gefühl aufkommen. Auf der anderen Seite ist es bis zur Entscheidung des EuGH noch etwas hin, da die durchschnittliche Gesamtverfahrensdauer beim EuGH im Jahre 2016 bei 14,7 Monaten lag. Zudem ist es unwahrscheinlich, dass bei einem negativen Urteil keine Alternativen für die Unternehmen angeboten werden. Schließlich ist auch der Kommission bewusst, welches wirtschaftliche Chaos entstehen würde, ließe man die Unternehmen mit der Ungültigkeit der Standartvertragsklauseln alleine. Auch wird mit dem Urteil die Frage aufkommen, welchen Sinn haben die strengeren Datenschutzvorschriften der DSGVO für Marktteilnehmer, wenn diese im europäischen Ausland nur auf dem Papier eingehalten werden. In jedem Fall ist der Ausgang des Verfahrens mit Spannung zu erwarten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Das hat ja SEHR lange gedauert! Bereits am 3.Oktober wurde die Sache an den EuGH verwiesen! Es ist nicht verwunderlich, dass die Frage an den EuGH geht, aber dass Sie so lange gebraucht haben darüber zu berichten!

    • Das ist jetzt schon der dritte Kommentar von Ihnen mit der gleichen Message.

      Natürlich versuchen wir aktuell zu berichten. Aber Sie dürfen nicht vergessen, dass wir eine Unternehmensberatung sind und kein Verlag, der nichts anderes macht.

      Erst beschweren Sie sich, dass wir nicht berichten. Und wenn wir berichten, dann beschweren Sie sich, dass es zu spät ist. Warum sind Sie uns gegenüber so negativ?

  • Ihre Analysen und Berichte gehören für mich im DS zur Pflichtlektüre:
    – die Relevanz ist regelmäßig hoch
    – die Verständlichkeit der Artikel ist m.E. überdurchschnittlich hoch
    – die Themen sind didaktisch gut aufbereitet
    – die vorgenannten Punkte sind für eine Unternehmensberatung m. E (leider) keine Selbstverständlichkeit

    Daher mein persönliches Fazit:
    Sie machen hier ein überzeugendes Angebot, klasse und nur weiter so!

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.