Lausen Logo
Standardvertragsklauseln oder Data Privacy Framework – was ist zu tun? (Q&A Teil 1)

Standardvertragsklauseln oder Data Privacy Framework – was ist zu tun? (Q&A Teil 1)

Autor
Dr. Tim Kraft
Dr. Tim Kraft Rechtsanwalt, Partner Profil ansehen

Wie berichtet hat die Europäische Kommission am 10. Juli auf Basis des „Data Privacy Frameworks“ („DPF“) einen Angemessenheitsbeschluss erlassen. Das sind wichtige Neuigkeiten, da sich damit ein neuer Weg ergibt, Datenexporte aus der EU in die USA zu legitimieren.

Zur Erinnerung: seit dem „Schrems II“ Urteil des EuGH war der zumeist gewählte (weil verhältnismäßig einfachste) Weg zur Legitimation von Datenexporten in die USA die Vereinbarung von Standardvertragsklauseln im Sinn von Art. 46 Abs. 2 (c) DSGVO („SCC“). Die meisten Unternehmen werden also aktuell zur Legitimation ihrer Datenexporte dieses Instrument vereinbart haben. Mit dem „DPF“ ergibt sich gemäß Art. 45 Abs. 1 DSGVO eine weitere Möglichkeit ergibt, Datenexporte zu legitimieren. Nur …

… welches Instrument soll man nutzen – SCC oder DPF?

Wir wollen diese Frage und die damit verbundenen Themen in einem Q&A besprechen – hier der erste Teil:

Datenexporte in die USA – geht mich das überhaupt etwas an?

Sehr wahrscheinlich: ja.

Ihr Unternehmen ist Datenexporteur, wenn es im Rahmen der Geschäftstätigkeit personenbezogene Daten aus Europa in die USA übermittelt. Das ist regelmäßig der Fall bei allen Unternehmen, die direkte Kontakte mit Unternehmen in den USA pflegen oder dort Tochter- (oder Mutter-)Unternehmen haben. Es trifft aber auch auf alle Unternehmen zu, die digitale Dienstleistungen von US-Unternehmen in Anspruch nehmen und im Rahmen dieser Nutzung Daten in die USA übermitteln. Das können zum Beispiel jede Art von Software-as-a-Service Dienstleistungen oder Verarbeitungen im Auftrag sein (zum Beispiel „Google Analytics“ als eine vielen bekannte und von vielen genutzte Dienstleistung).

Welches Instrument nutze ich aktuell?

Wenn Sie das nicht wissen, haben Sie ein großes Problem: jeder Datenexport in die USA ist nur rechtlich zulässig, wenn er auf Basis einer gültigen Legitimation im Sinn von Art. 44 ff. DSGVO erfolgt. Diese Legitimation muss zusätzlich zu der Rechtsgrundlage der eigentlichen Datenverarbeitung im Sinn von Art. 6 DSGVO vorliegen. Es liegt in der Verantwortung des Datenexporteurs, beides sicherzustellen. Trifft das nicht zu drohen im Grundsatz alle denkbaren Sanktionen der DSGVO, insbesondere Bußgelder und Schadensersatz.

Genug Grund, zu prüfen, ob in Ihrem Unternehmen Datenexporte in die USA stattfinden und wenn ja, mit welcher Rechtsgrundlage sie legitimiert werden!

Ich nutze aktuell SCC – muss ich jetzt zum DPF wechseln?

Nein. Die DSGVO bietet in Art. 44 ff. DSGVO einen Katalog von Möglichkeiten an, Datenexporte zu legitimieren. Diese Möglichkeiten bestehen als unabhängige Alternativen nebeneinander. Im Grundsatz kann frei zwischen den Möglichkeiten gewählt werden, wenn diese für das Zielland des Datenexports zur Verfügung stehen.

Die Verwendung von SCC für Datenexporte in die USA bleibt also vollständig legitim. Für alle Unternehmen, die wirksam SCC vereinbart haben, besteht also im Grundsatz kein Handlungsbedarf.

Was ist denn besser – SCC oder DPF?

Das hängt von den am Datenexport beteiligten Parteien und deren Interessenlage ab.

Datenexporteur und Datenimporteur haben insofern nicht zwingend die gleiche Blickrichtung. Für den Datenimporteur in den USA wird es insofern stets auch auf eine Beurteilung des in den USA anwendbaren Rechts ankommen.

Achtung: das DPF steht nur für Datenexporte in die USA zur Verfügung. SCC hingegen können im Grundsatz für Exporte in jedes Land außerhalb der EU angewendet werden (für die aber unter Umständen ein dem DPF identisches Instrument existiert).

Wer entscheidet eigentlich darüber, ob SCC oder DPF angewendet werden?

Die Verantwortung für Datenexporte liegt gemäß Art. 44 DSGVO allein beim Datenexporteur. Er – und nicht der Datenimporteur – muss sicherstellen, dass die Voraussetzungen eines legitimen Datenexports erfüllt sind. Dazu gehört insbesondere auch die Erfüllung der Transparenzpflichten gegenüber den Betroffenen, denn Datenexporte und deren Rechtsgrundlage müssen gemäß Art. 13 Abs 1 (f) DSGVO angezeigt werden. Als Spiegel dieser Verantwortung haftet der Datenexporteur sowohl den Aufsichtsbehörden als auch den Betroffenen gegenüber, wenn dies nicht der Fall ist.

In der Konsequenz liegt es grundsätzlich im freien Ermessen des Datenexporteurs, welche Rechtsgrundlage er für den Datenexport wählen möchte. Der Datenimporteur hat diese Entscheidung zu respektieren. In der Realität dürfte sich dieses Verhältnis jedoch häufig umdrehen. Denn: das Machtverhältnis zwischen Datenexporteur und Datenimporteur führt nicht selten dazu, dass der Datenimporteur die Rechtsgrundlage z.B. für die im Rahmen der Nutzung seiner digitalen Dienstleistung stattfindenden Datenexporte vorgibt.

Fortsetzung folgt!

Den zweiten Teil der Q&A finden Sie hier. Den dritten Teil dieser Q&A finden Sie hier.

Weitere Blogeinträge

Reeperbahnfestival – Panel „The State of the AI Dilemma – Protection vs. Music Licensing“

Reeperbahnfestival – Panel „The State of the AI Dilemma – Protection vs. Music Licensing“

Marco Erler, Fachanwalt für Urheber- und Medienrecht bei LAUSEN, diskutiert auf diesem Panel im Rahmen des Reeperbahn Festivals eines der drängendsten Themen der Musikindustrie: Wie gehen wir mit der Nutzung von Musik im Rahmen von KI um? Freitag, 19. September 2025 13:30 – 14:30 Uhr East Hotel / Amber / HH Im Panel „The State …

Mehr erfahren
Reeperbahn Festival: Das Legal Update 2025 – Was die Musikwirtschaft jetzt wissen muss

Reeperbahn Festival: Das Legal Update 2025 – Was die Musikwirtschaft jetzt wissen muss

Beim Legal Update 2025 gibt Dr. Kerstin Bäcker, Fachanwältin für Urheber- und Medienrecht bei LAUSEN, einen Überblick über die neuesten, relevanten rechtlichen Entwicklungen mit Schwerpunkt auf KI und deren Auswirkungen. Donnerstag, 18. September 2025, 10:30 – 11:30 Uhr East Hotel / Ginger / HH Im Fokus stehen: ▶️ Update zum Stand der wichtigsten Gerichtsverfahren gegen …

Mehr erfahren
Neuer Tarifvertrag zur betrieblichen Altersversorgung für Film- und Fernsehschaffende

Neuer Tarifvertrag zur betrieblichen Altersversorgung für Film- und Fernsehschaffende

Bereits bei der Einigung über den TV FFS wurde bekannt gegeben, dass es zusätzlich einen neuen Tarifvertrag für eine betriebliche Altersversorgung für Film- und Fernsehschaffende geben soll (siehe unseren Blogbeitrag hierzu). Dieser tritt nun zum 1. Juli 2025 in Kraft. Darauf haben sich die Produktionsallianz, ver.di und BFFS geeinigt. Die neuen Regelungen sollen eine branchenweit …

Mehr erfahren