You are currently viewing NEUE STANDARDVERTRAGSKLAUSELN FÜR DEN INTERNATIONALEN DATENTRANSFER

NEUE STANDARDVERTRAGSKLAUSELN FÜR DEN INTERNATIONALEN DATENTRANSFER

Am 7. Juni 2021 hat die EU-Kommission neue Standardvertragsklauseln veröffentlicht. In diesen wird die Übermittlung von personenbezogenen Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums geregelt. Nach der Schrems-II-Entscheidung des Europäischen Gerichtshofs sorgen die neuen Standardvertragsklauseln für mehr Rechtssicherheit. Allerdings kommen auf Unternehmen, die Daten außerhalb der EU übertragen, einige Änderungen zu.

Überträgt ein Unternehmen personenbezogene Daten in ein sog, „Drittland“, bedarf es – ergänzend zur Rechtsgrundlage für die Datenverarbeitung – einer Datenschutzgarantie für den Datentransfer. Als Drittländer gelten Staaten, die sich außerhalb der EU bzw. des europäischen Wirtschaftsraums (EWR) befinden; insbes. die USA. Diese Garantie soll gewährleisten, dass das Datenschutzniveau beim Empfänger dem EU-Standard entspricht. Für einige Drittländer hat die EU-Kommission mittels einem sog. „Angemessenheitsbeschluss“ selbst eine solche Garantie geschaffen. Für die meisten Drittstaaten sind jedoch andere Datenschutzgarantien notwendig. In der Praxis werden häufig die von der EU-Kommission bereitgestellten Standardvertragsklauseln bzw. die sog. „Standard Contractual Clauses“ (SCC) eingesetzt, die eine praktikable Lösung für Datentransfers in ein Drittland bieten. Bei den SCC handelt es sich also um Musterverträge, die nach Art. 46 DSGVO eine geeignete Garantie für den Transfer von personenbezogenen Daten in Drittstaaten darstellen.

Die bisher geltenden Standardvertragsklauseln sind über zehn Jahre alt und berücksichtigen weder die Voraussetzungen zu Datentransfers in Drittländer gemäß der DSGVO, noch das bedeutsame Schrems-II-Urteil aus dem Jahr 2020.

Die neuen Standardvertragsklauseln tragen den Erwägungen des EuGH Rechnung, indem sie spezifische Garantien vorsehen, wenn Rechtsvorschriften im Empfängerland die Einhaltung der Klauseln durch den Datenimporteur beeinträchtigen. Insofern bestehen nun konkrete Pflichten des Datenimporteurs, sofern Behörden Zugang zu den Daten haben. Zudem ist explizit geregelt, dass keine Übermittlung im Rahmen von Standardvertragsklauseln erfolgen darf, sofern die Rechtsvorschriften und Gepflogenheiten im Drittland den Datenimporteur an der Einhaltung der Klauseln hindern.

Neu an den jetzt präsentierten SCC ist vor allem der Aufbau. Unterschiedliche Varianten der Datentransfers finden sich jetzt in einem Dokument wieder. Diese sind in vier Module untergliedert, was eine flexible Vertragsgestaltung ermöglichen soll. Gemäß dem Verhältnis der Parteien wird einfach das entsprechende Modul ausgewählt. Die neuen SCC beinhalten folgende Module:

  1. Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen.
  2. Übermittlung von personenbezogenen Daten vom Verantwortlichen an einen Auftragsverarbeiter
  3. Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
  4. Übermittlung von personenbezogenen Daten von einem Auftragsverarbeiter an den Verantwortlichen

Inhaltlich neu ist darüber hinaus eine verpflichtende Datentransfer-Folgenabschätzung. Es handelt sich dabei um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittland überhaupt in der Lage ist, seinen Pflichten gemäß den aktuellen SCC nachzukommen.

Ebenfalls neu ist die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen sowie die Information der zuständigen Aufsichtsbehörden hinsichtlich solcher Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Die veröffentlichten Dokumente treten mit der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Ab diesem Zeitpunkt und innerhalb einer Übergangsfrist von 18 Monaten müssen die bestehenden Verträge mit Partnern (insbes. mit Amazon, Microsoft, Google und anderen großen Cloud-Anbietern) um die neuen SCC ergänzt werden.

Doch auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln sind zumeist nicht ausreichend, um den Anforderungen des EuGH gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor insbes. der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden.

Es ist also nicht damit getan, die neuen SCC zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um eine datenschutzkonforme Verarbeitung in Drittländern zu ermöglichen.

28.06.2021

Photo by Bill Oxford on Unsplash