Neue EU-Standardvertragsklauseln

Datenaustausch mit Unternehmen im Drittland durch neue Standardvertragsklauseln bis 27. Dezember 2022 absichern

Die EU-Standardvertragsklauseln (SCC) geben datenschutzrechtliche Bedingungen für die Übermittlung von personenbezogenen Daten in Drittländer außerhalb der Europäischen Union wieder. Seit dem 16. Juli 2020 sind die SCC durch den Europäischen Gerichtshof als gültiges Instrument für die Bestätigung eines angemessenen Schutzniveaus bei Datenverarbeitungen im Drittland bestätigt.

Am 4. Juni 2021 beantwortete die Europäische Kommission die zuletzt im Zuge der Ungültigkeitserklärung des EU-US Privacy Shield Abkommens geführte Diskussion zur Absicherung von internationalen Datenströmen mit zwei Durchführungsbeschlüssen zu neuen Standardvertragsklauseln. Diese neuen SCC sollen die bisher erkannten datenschutzrechtliche Lücken schließen. Insbesondere soll den nach der Datenschutzgrundverordnung nicht zulässigen weitreichenden Befugnissen nationaler Sicherheitsbehörden, beispielsweise in den USA oder in Großbritannien, mit vertraglich vereinbarten Sicherheitsmaßnahmen begegnet werden.

Die Europäische Kommission veröffentlichte zwei Vorlagen für Standardvertragsklauseln. Zum einen Standardvertragsklauseln für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern. Diese können als Vertragsmuster zur Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO genutzt werden. Zum anderen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, welche die bisherigen SCC für Drittlandsübermittlungen ersetzen. Die neuen SCC dürfen und sollen für die Zwecke der Datenübermittlung in Drittländer ab dem 27. Juni 2021 eingesetzt werden.

Maßgeblich bei der Umsetzung der neuen SCC sind der modulare Aufbau und die Konkretisierung der zusätzlichen organisatorischen und technischen Maßnahmen im Anhang des Vertragswerkes. Vor Beginn der Datenverarbeitung muss eruiert werden, welche Module einschlägig sind (es gehen auch mehrere) und mit welchen Maßnahmen dem Risiko der Datenverarbeitung Rechnung getragen wird. Wichtig dabei ist, den Entscheidungsprozess zu dokumentieren, um einen Nachweis für die Risikoabschätzung vorhalten zu können.

Mit dem modularen Aufbau können jetzt alle möglichen Transferkonstellationen abgebildet werden:

• Controller-to-Controller (Verantwortlicher an Verantwortlichen),

• Controller-to-Processor (Verantwortlicher an Auftragsverarbeiter),

• Neu: Processor-to-Processor (Auftragsverarbeiter an Auftragsverarbeiter),

• Neu: Processor-to-Controller (Auftragsverarbeiter an Verantwortlichen).

Vertragliche wichtige Ergänzungen in den SCC sind:

• Unbeschränkte verschuldensabhängige Haftung für Datenschutzverstöße

• Zusätzliche Bestimmungen zum Schutz der Daten vor ausländischen Behördenzugriffen

• Durchführung eines Transfer Impact Assessment (TIA) zur Abschätzung des Risikos bei Datentransfer in unsichere Drittländer

• Die Parteien müssen über Zugriffsversuche von ausländischen Behörden informieren

• Erweiterte Anlage zu technischen und organisatorischen Maßnahmen

Hinsichtlich der erweiterten Sicherheitsmaßnahmen sind zusätzliche Maßnahmen zur Gewährleistung der Betroffenenrechte unter den Parteien zu vereinbaren. So müssen Maßnahmen zur Datenminimierung, zur Datenqualität, zur Speicherbegrenzung und zur Rechenschaft konkret benannt werden. In Annex II der SCC sind derartige Maßnahmen abstrakt beschrieben und erfordern der Konkretisierung der Parteien.

Unter der DSGVO müssen die neuen SCC in neuen Verträgen ab dem 28. September 2021 eingesetzt werden. Bis zum 27. September 2021 unterzeichnete (alte) SCC müssen bis zum 27. Dezember 2022 abgelöst sein. Wer also noch alte SCC einsetzen will, muss dies bis zum 27. September 2021 getan haben. Für Verantwortliche und Auftragsverarbeiter, die bereits bestehende Standardvertragsklauseln verwenden, ist ein Übergangszeitraum von 18 Monaten vorgesehen. Wer im Begriff ist, neue Datenschutzverträge mit Dienstleistungsunternehmen und Verantwortlichen im Drittland abzuschließen, sollte sich nicht mehr mit den alten SCC aufhalten.

Ein Freifahrtschein für Drittlandübermittlung wird durch die neuen SCC leider nicht erteilt. Der Europäische Datenschutzausschuss macht mit seinen finalen Empfehlungen vom 18.06.2021 für die datenschutzrechtlich konforme Gestaltung von Drittlandübermittlungen deutlich, dass eine Übermittlung in die USA ohne weitere technische Sicherheitsvorkehrungen nicht zulässig darstellbar ist.

Freitag, 02.07.2021