Zur Übersicht

Thema Datenschutz

25.08.2021 - Lesezeit 10 Minuten

Die neuen EU-Standardvertragsklauseln - Fluch oder Segen?

 

Stand: August 2021

Nach wie vor herrscht erhebliche rechtliche Unsicherheit bei der Übermittlung personenbezogener Daten in Drittländer, wie die USA. Wo ursprünglich das Safe-Harbor-Abkommen (aufgehoben durch „Schrems I“) bzw. das hierauf folgende EU-US Privacy Shield (aufgehoben durch „Schrems II“) die Datenübermittlung absichern sollten, bilden die neuen EU-Standardvertragsklauseln (auch Standarddatenschutzklauseln genannt oder auf englisch: „Standard Contractual Clauses“, im Folgenden als „SCC“ bezeichnet) nun einen weiteren Entwicklungsschritt im Rahmen der möglichen datenschutzrechtlichen Legitimation von Drittlandübermittlungen.

Dieser Entwicklungsschritt wurde durch den Durchführungsbeschluss der Europäischen Kommission vom 04.06.2021 zu den SCC getätigt.

Im Folgenden möchten wir Ihnen zu diesem Thema einen kurzen Einblick geben.

 

Maßnahmen der Absicherung von Drittlandübermittlungen

Übermittlungen von personenbezogenen Daten in Drittländer, also Länder außerhalb der EU oder des EWR, müssen gem. Art. 44 ff. DSGVO besonders abgesichert werden. Hintergrund dieser Regelung ist, dass das Schutzniveau für natürliche Personen, welches die DSGVO statuiert, nicht durch etwaige Übermittlungen in Drittstaaten untergaben werden soll. Die Art. 44 ff. DSGVO sehen verschiedene Optionen vor, Drittlandübermittlungen von personenbezogenen Daten datenschutzrechtlich zu legitimieren.

Eine Option sind sogenannte Angemessenheitsbeschlüsse. Bei einem Angemessenheitsbeschluss, wie z.B. dem Angemessenheitsbeschluss vom 28.06.2021 für das Vereinigte Königreich, kann die Europäische Kommission nach entsprechender Prüfung beschließen, dass das jeweilige Drittland ein angemessenes Schutzniveau für die Verarbeitung von personenbezogenen Daten bietet. Da eine zentrale Prüfung des Schutzniveaus durch die Europäische Kommission vorgenommen wurde, bedarf es bei einer Datenübermittlung in diese Länder keiner eigenen Überprüfungen durch den Verantwortlichen. Derzeit existieren Angemessenheitsbeschlüsse für folgende Drittländer: Andorra, Argentinien, Kanada (eingeschränkt), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay, Vereinigtes Königreich.

Eine weitere Option für die Absicherung der Übermittlung personenbezogener Daten in Drittländer sind Binding Corporate Rules (BCRs). Binding Corporate Rules beziehen sich auf konkrete Übermittlungen z.B. innerhalb von Unternehmensgruppen und sind daher sehr spezifisch. Besonders bei BCRs ist, dass stets die Aufsichtsbehörde zu involvieren ist. Auf Grund dieses Aufwands, kommen Binding Corporate Rules zur Absicherung der Drittlandübermittlungen für Unternehmen häufig nicht in Frage.

Die meisten Unternehmen, die personenbezogene Daten in Drittländer übermitteln wollen, für die kein Angemessenheitsbeschluss vorliegt, greifen daher auf Standardvertragsklauseln zurück.

 

Was sind Standardvertragsklauseln?

Standardvertragsklauseln sind „Musterverträge“, die durch ihren standardisierten und unabdingbaren Inhalt spezifische Rahmenbedingungen für die Übermittlung der personenbezogenen Daten in Drittländer vorgeben. Eine individuelle Genehmigung durch die Aufsichtsbehörden für die Übermittlung ist daher nicht erforderlich.

Die „alten“ Standardvertragsklauseln von 2001 und 2010 entstammen noch den Regelungen der Datenschutzrichtlinie (DSRL) und sind damit „älter“ als die DSGVO. Sie werden jedoch zum 27. September 2021 aufgehoben. Nach dem Ablauf einer Übergangsfrist, die am 27. Dezember 2022 endet, dürfen für die Übermittlung personenbezogener Daten in Drittländer ausschließlich die „neuen“ Standardvertragsklauseln verwendet werden. Bei dem Abschluss von Neuverträgen oder Vertragsänderungen ist darauf zu achten, dass bereits ab dem 27. September 2021 die neuen Standardvertragsklauseln zu verwenden sind.

Die neuen Standardvertragsklauseln sind nur ein einziges Dokument, welches jedoch durch seinen modularen Aufbau für viele verschiedene, typische Verarbeitungskonstellationen verwendbar ist. Folgende Szenarien sind durch die Module abgedeckt:

  • MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

  • MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

  • MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

  • MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

 

Ferner ist bei den neuen SCCs besonders, dass in ihnen mehr als zwei Parteien involviert sein können und sie zum Teil die Regelungen des Art. 28 DSGVO bereits beinhalten. Daher ist es bei einzelnen Modulen nicht mehr erforderlich einen zusätzlichen Auftragsverarbeitungsvertrag zu schließen.

Wie auch schon unter den alten Standardvertragsklauseln wird der Verantwortliche durch die Klauseln nicht von seiner Pflicht frei, betroffene Personen entsprechend der Art. 13 ff. DSGVO zu informieren und die Rechtslage im entsprechenden Drittland zu prüfen und die Drittlandübermittlung ggf. durch zusätzliche, ergänzende Maßnahmen abzusichern.

Was konkret sind die vorzunehmenden Schritte?

  • 1. Schritt: Überblick über die eigenen Verarbeitungstätigkeiten verschaffen
    Im ersten Schritt sollten sich Unternehmen einen Überblick verschaffen, bei welchen Verarbeitungstätigkeiten personenbezogene Daten in Drittländer übermittelt werden (Know your transfers). Für die Gewinnung einer solchen Übersicht kann es sinnvoll sein, das Verarbeitungsverzeichnis gem. Art. 30 DSGVO heranzuziehen.

  • 2.Schritt: Klärung der Rechtsgrundlagen für die Übermittlung von personenbezogenen Daten in Drittländer
    Im zweiten Schritt ist zu klären, auf welcher rechtlichen Basis die Übermittlung personenbezogener Daten in das Drittland erfolgt. Dies ergibt sich aus den Art. 44. ff. DSGVO. Basiert die Übermittlung nicht auf einem Angemessenheitsbeschluss und ist auch nicht eine Ausnahme gem. Art. 49 DSGVO einschlägig, könnten die Standardvertragsklauseln zum Einsatz kommen (verify the transfer tool your transfer relies on).

  • 3. Schritt: Bewertung der Rechtsvorschriften der Drittländer und ggf. Prüfung von Alternativen innerhalb der Europäischen Union
    Im dritten Schritt ist die Bewertung der Rechtsvorschriften und Gepflogenheiten im entsprechenden Drittland vorzunehmen, um herauszufinden, ob im Einzelfall eine Übermittlung personenbezogener Daten erfolgen darf. Zunächst ist zu klären, welche nationalen Rechtsvorschriften für die entsprechende Übermittlung einschlägig sind. Hierbei sind insbesondere die Art der Daten, die exportiert werden, die Art des Transfers und weitere konkrete Umstände zu berücksichtigen. Ferner fließt in die Gesamtbewertung mit ein, ob z.B. eine unabhängige Datenschutzbehörde im entsprechenden Drittland besteht und effektive Rechtsschutzmöglichkeiten für Betroffene gegeben sind. Für die Gesamtbewertung ebenfalls entscheidend ist, ob nationale Rechtsvorschriften z.B. zwar dem Grundsatz nach den europäischen Vorgaben entsprechen, faktische jedoch nicht angewendet bzw. eingehalten werden, bzw. die Rechtsvorschriften und Gepflogenheiten bereits dem Grundsatz nach gegen die Vorgaben aus den Standardvertragsklauseln verstoßen. Auf etwaige Zugriffsmöglichkeiten von nationalen Behörden oder anderen Ländern, die mit oder ohne Kenntnis des Importeurs erfolgen, ist besonders zu achten (assess).

    Wir empfehlen darüber hinaus, in diesem Schritt zusätzlich zu prüfen, ob Vertragspartner in Betracht kommen, die bei der Durchführung der gewünschten Dienstleistungen personenbezogene ausschließlich innerhalb der Europäischen Union verarbeiten, d.h. in kein Drittland übermitteln. Denn wenn auf einen Dienstleister zurückgegriffen wird, der keine Übermittlung personenbezogener Daten in Drittländer auf Basis der Standardvertragsklauseln übermittelt, entfällt der folgende 4. Schritt („Prüfung von zusätzlichen Maßnahmen“). Da die Einhaltung der Anforderungen an eine Drittstaatsübermittlung anspruchsvoll und teils nur kaum möglich ist, kann das Zurückgreifen auf einen Dienstleister, der keine personenbezogene Daten in Drittländer übermittelt, wertvolle Ressourcen und Zeit sparen.

  • 4. Schritt: Prüfung von zusätzlichen Maßnahmen
    Abhängig von der Bewertung sind im vierten Schritt ggf. ergänzende Maßnahmen für die Absicherung des Transfers zu treffen („Adopt supplementary measures“). Diese sind zu dokumentieren und auf Anfrage auch der zuständigen Behörde vorzulegen. Solche ergänzenden Maßnahmen können technischer, organisatorischer oder auch vertraglicher Natur sein. Grundsätzlich aber dürften zumindest technische Maßnahmen erforderlich sein. Derartige technische Maßnahmen können z.B. entsprechend sichere Verschlüsselungen sein, bei denen der Key beim Exporteur in der EU aufbewahrt wird oder die Pseudonymisierung von Daten innerhalb der EU. Vertragliche Maßnahmen könnten z.B. die Zusicherung des Importeurs beinhalten, keine „back doors“ für Behörden in die Software einzubauen. Hier lassen sich jedoch keine generellen Empfehlungen geben, sondern es ist eine Einzelfallentscheidung erforderlich.

  • 5. Schritt: Regelmäßige Überprüfung, ob das angemessene Schutzniveau noch sichergestellt ist
    Im fünften Schritt überprüft das datenexportierende Unternehmen regelmäßig die aktuelle Entwicklung des Drittlandes und überwacht, ob das angemessene Schutzniveau noch gewährleistet ist („Re-evaluate at appropriate intervals)“. Sollte das Unternehmen zu dem Ergebnis kommen, dass das angemessene Schutzniveau nicht mehr gewährleistet ist (z.B. weil sich die Rechtordnung des Drittlandes hinsichtlich des Umgangs mit personenbezogenen Daten zu Ungunsten der betroffenen Personen entwickelt hat), muss es die Übermittlung umgehend aussetzen bzw. beenden.

  • 6. Schritt: Dokumentation des gesamten Prozesses
    Es empfiehlt sich als letzten Schritt, den gesamten hier geschilderten Prüfungs- und Überwachungsprozess, zu dokumentieren, um im Falle der Überprüfung durch eine Aufsichtsbehörde den entsprechenden Nachweis erbringen zu können.

 

Fazit

Ob die neuen Standardvertragsklauseln tatsächlich einen Fluch oder eher einen Segen für Unternehmen darstellen, bleibt abzuwarten. Der faktische Aufwand in Bezug auf die ergänzenden Maßnahmen ist weitestgehend identisch. In Bezug auf den Transfer in die USA existieren bereits erste Vermutungen zu einem „Privacy Shield II – Abkommen“, weswegen es weiterhin spannend bleibt.

Schreiben Sie uns an

Kostenloses Erstgespräch vereinbaren