Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

 

 

 
 
 

 

 

 

Bereits im Juni des vergangenen Jahres veröffentlichte die EU-Kommission neue Standarddatenschutzklauseln (Standard Contractual Clauses, kurz: SCC) für internationale Datentransfers, die spätestens bis zum 27. Dezember 2022 auch bei Bestandsübermittlungen übernommen werden müssen. Daraus ergeben sich einige Konsequenzen für europäische Unternehmen, vor allem diejenigen, die auf US-Dienste zugreifen. Nicht nur, dass die Altverträge unwirksam werden. Vielmehr müssen Unternehmen in naher Zukunft mit behördlichen Prüfungen der internationalen Datentransfers rechnen. In diesem Zusammenhang weisen die deutschen Datenschutzbehörden kurz vor Ablauf der Altverträge darauf hin, dass Übermittlungen personenbezogener Daten an Unternehmen in Drittstaaten oder internationale Organisationen ohne geeignete Garantien durch behördliche Anordnungen unterbunden werden können und Sanktionen nicht ausgeschlossen sind.

 

Das Wichtigste in Kürze

  • Die Übermittlung personenbezogener Daten ins EU-Ausland, wie insbesondere der USA, wird in der Praxis häufig auf Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO gestützt.
  • Die EU-Kommission hat am 04. Juni 2021 neue Standarddatenschutzklauseln verabschiedet.
  • Die Verwendung alter Standardvertragsklauseln ist seit dem 27. September 2021 unzulässig.
  • Altverträge müssen bis zum 27. Dezember 2022 angepasst bzw. erneuert werden.

 

Datentransfer in Drittländer ohne Angemessenheitsbeschluss

Da sich Unternehmen im EU-Ausland außerhalb des Geltungsbereichs der DSGVO befinden, sind sie grundsätzlich nur an ihr nationales Recht gebunden. Da dieses in den meisten Fällen das europäische Datenschutzniveau unterschreitet, können für den Datentransfer europäischer Unternehmen in Drittstaaten, für die kein Angemessenheitsbeschluss vorliegt, sogenannte Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO verwendet werden. Bei den Standarddatenschutzklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese ermöglichen eine vertragliche Vereinbarung über die Einhaltung des europäischen Datenschutzstandards zwischen Datenexporteuren und -importeuren. Werden SCC verwendet, so bedarf die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen keiner weiteren aufsichtsbehördlichen Genehmigung.

 

Erfordernis neuer Standarddatenschutzklauseln

In seiner bahnbrechenden Schrems II-Entscheidung hat der EuGH (Rechtssache C‑311/18) nicht nur das EU-US-Privacy Shield für ungültig erklärt. Vielmehr hat er auch im Hinblick auf die Verwendung von Standarddatenschutzklauseln die Anforderungen an den Drittlandsdatentransfer unter Berücksichtigung der Art. 44 ff. DSGVO verschärft. Die neuen SCC der EU-Kommission werden den Vorgaben des Urteils insoweit gerecht als sie einen strengeren Maßstab angemessene und geeignete Garantien sowie erforderliche Rechtsbehelfe vorsehen, um sicherzustellen, dass Datenempfänger einen ausreichenden Schutz europäischer Daten im Drittland gewährleisten.

 

Ablauf der alten Standardvertragsklauseln am 27. Dezember 2022

Mit der Verabschiedung der neuen Standarddatenschutzklauseln durch die EU-Kommission am 04. Juni 2021 wurde die alte Fassung der Standardvertragsklauseln für Verantwortliche aus dem Jahr 2001 und der Standardvertragsklauseln für Auftragsverarbeiter aus dem Jahr 2010 ersetzt. Aufgrund des hohen Organisationsaufwandes, der mit der Umstellung der alten Verträge einhergeht, sah der Durchführungsbeschluss der Kommission eine stufenweise Ablösung der alten Klauseln vor. Zunächst wurde festgelegt, dass die Verwendung alter Standardvertragsklauseln spätestens ab dem 27. September 2021 unzulässig ist. Seit diesem Zeitpunkt dürfen Verträge nur noch auf Grundlage der neuen Muster der Standardvertragsklauseln abgeschlossen werden. Für Verträge, die noch vor dem 27. September 2022 auf Grundlage der alten Muster geschlossen wurden, hat die Kommission einen angemessenen Übergangszeitraum zur Umstellung auf die neuen SCC vorgesehen. Dieser endet am 27. Dezember 2022. Bis zu diesem Zeitpunkt müssen sämtliche Altverträge umgestellt werden.

 

Modularer Aufbau der neuen SCC

Die neuen SCC sind modular aufgebaut. Verantwortliche und Auftragsverarbeiter können zusätzlich zu den allgemeinen Klauseln das für ihre Situation passende Modul auswählen. Die Module können für folgende Datentransferkonstellationen verwendet werden:

  • Modul 1: Verantwortlicher an Verantwortlicher
  • Modul 2: Verantwortlicher an Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Modul 4: Rückübermittlung des in der EU-ansässigen Auftragsverarbeiters an einen Verantwortlichen im Drittland

Die SCC werden grundsätzlich zwischen dem jeweiligen Datenexporteur und dem Datenimporteur abgeschlossen. Zudem besteht die Möglichkeit, den Vertrag als Mehrparteienvertrag zu gestalten. In diesem Fall ist darauf zu achten, dass sämtliche Datenflüsse zwischen den Vertragsparteien genau und transparent beschrieben sind.

Daneben enthalten die neuen SCC zusätzliche Verpflichtungen für Unternehmen im Hinblick auf den Umgang mit behördlichen Anfragen (Klausel 15 der neuen SCC), umfassende Haftungsregelungen und Dokumentationspflichten (Klauseln 14.d, 15.1.d und 15.2.b) sowie die Pflicht zur Durchführung einer Risikobewertung für den Datentransfer.

Die in den neuen SCC verankerte Prüfung der Rechtsvorschriften und -praktiken im Drittland muss beachtet werden, sodass der Datenexporteur im Vorfeld die Rechtslage und -praxis des Drittlands prüfen muss.

Gegebenenfalls ist er zur Ergreifung zusätzlicher Schutzmaßnahmen verpflichtet. Mit den Empfehlungen 01/2020 veröffentlichte der Europäische Datenschutzausschuss eine Hilfestellung mit praktischen Beispielen für zusätzliche Schutzmaßnahmen.

Im ungünstigsten Fall könnte er verpflichtet sein, von der Übermittlung ganz Abstand zu nehmen.

 

Überprüfung und Erneuerung der Verträge ist erforderlich

Auch wenn grundsätzlich die Möglichkeit der Anpassung alter Verträge besteht, ist es ratsam, neue Verträge mit den neuen Standarddatenschutzklauseln abzuschließen. Die Prüfung und Anpassung der Altverträge ist in den meisten Fällen mit größerem Aufwand verbunden und die alten und neuen Verträge unterscheiden sich auch in ihrem Aufbau.

Um bösen Überraschungen im Falle einer aufsichtsbehördlichen Kontrolle vorzubeugen, sollten spätestens jetzt einige Maßnahmen ergriffen werden:

  • Neue SCC, die bereits abgeschlossen wurden, sollten in das Verarbeitungsverzeichnis aufgenommen werden.
  • Altverträge sollten daraufhin untersucht werden, ob bzw. welche Datenübermittlungen in Drittländer ohne gültigen Angemessenheitsbeschluss stattfinden.
  • Anhand bestehender Verträge ist zu ermitteln, welche Konstellationen von Datenübermittlungen gegeben sind und welche Module der neuen Standardvertragsklauseln anzuwenden sind.
  • Ansonsten sollten Vertragspartner schnellstmöglich zwecks Abschluss neuer Verträge kontaktiert werden.
  • Schließlich muss überprüft werden, ob der Datenempfänger im Drittland durch nationales Recht gezwungen sein könnte, gegen die Standardvertragsklauseln zu verstoßen (sog. Transfer Impact Assessment, kurz: TIA).

 

Europäischen Unternehmen stehen aufsichtsbehördliche Prüfungen bevor

Es ist zu erwarten, dass die deutschen Behörden in den nächsten Monaten länderübergreifend koordinierte Prüfungen internationaler Datentransfers starten werden, wie sie es auch schon in der Vergangenheit im Nachgang der Schrems-II-Entscheidung des EuGH taten. Dabei wurden zahlreiche Unternehmen mithilfe eines Fragenkatalogs zur Auskunftserteilung aufgefordert.

In diesem Zusammenhang haben bereits einige deutsche Datenschutzbehörden angedeutet, dass die Aufsichtsbehörden die Aussetzung solcher Datentransfers anordnen werden, die eine Übermittlung personenbezogener Daten in Drittländer zum Gegenstand haben, ohne dass dafür geeignete Datenschutzgarantien vorliegen. In einem solchen Fall ist auch die Verhängung eines Bußgeldes nicht ausgeschlossen.

Darüber hinaus sind weiterhin die vom EuGH im Schrems II-Urteil entwickelten zusätzlichen Anforderungen an die Verwendung von Standardvertragsklauseln zu beachten. Insofern hat der Datenexporteur auch bei der Verwendung der neuen Klauseln die Rechtslage des Drittlands zu prüfen und zu entscheiden, ob nicht zusätzliche Maßnahmen des Datenschutzes ergriffen werden müssen oder die Übermittlung nicht sogar eingestellt werden muss.

 

 

Fazit

Die neuen SCC haben das Ziel europäischen Unternehmen eine rechtskonforme und ungehinderte Übermittlung personenbezogener Daten in Drittländer ermöglichen. Völlige Rechtssicherheit kann jedoch auch mit ihnen regelmäßig nicht erlangt werden. Mit Blick auf das bevorstehende Fristende ist Verantwortlichen und Auftragsverarbeitern, die personenbezogene Daten in das außereuropäische Ausland übermitteln, dringend zu raten, bestehende Verträge zu überprüfen, ggf. anzupassen oder durch neue zu ersetzen, soweit dies noch nicht erfolgt ist.

 

„>

Call Now ButtonKontakt aufnehmen