Neue Standarddatenschutzklauseln für internationalen Datentransfer und Standardvertragsklauseln für Auftragsverarbeitung

Die Europäische Kommission hat in diesem Monat die finale Fassung der neuen „Stan-darddatenschutzklauseln“ für Übermittlun-gen personenbezogener Daten in Drittländer und zugleich die finale Fassung der „Stan-dardvertragsklauseln“ (SCCs) für Auf-tragsverarbeitungsverträge für Verarbeitun-gen in der EU veröffentlicht.
Mit den neuen „Standardvertragsklauseln“ für Auftragsverarbeitungsverträge schafft die Kommission nun erstmalig eine EU-weit einheitliche Vertragsvorlage für Auftragsverarbeitungskonstellationen in der EU und macht zum ersten Mal von ihrem in Artikel 28 Abs. 5 DS-GVO eingeräumten Ge-staltungsspielraum Gebrauch.

Diese „Standarddatenschutzklauseln“ lösen die bislang noch geltenden Standardvertragsklauseln für Verantwortliche aus 2001 und Standardvertragsklauseln für Auftragsverarbeiter aus 2010 für Übermittlung personenbezogener Daten in Drittländer ab (vgl. Artikel 46 Abs. 2 lit. c DS-GVO.
Sie sehen eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertrags-klauseln vor. Insbesondere sollen die neuen „Standarddatenschutzklauseln“ im Sinne eines modularen Ansatzes sowohl auf Übermittlungen zwischen Verantwortlichen (Modul 1) als auch auf Transfers an Auf-tragsverarbeiter (Modul 2) Anwendung finden. Zudem sollen die neuen Klauseln auch für einen (Weiter-)Transfer von einem Auf-tragsverarbeiter an weitere (Unter-)Auftragsverarbeiter (Modul 3) Verwendung finden können sowie für einen Transfer von ei-nem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).

Nach Auffassung der EU-Kommission berück-sichtigen die neuen „Standarddatenschutz-klauseln“ auch die Anforderungen des Euro-päischen Gerichtshofes (EuGH) aus seiner Schrems-II-Entscheidung (Schrems vs. Fa-cebook). Hierzu hatten wir Ihnen in unserem letzten Datenschutz-Newsletter berichtet, dass sich Unternehmen bei der Übermittlung personenbezogener Daten in die USA nicht mehr auf den Angemessenheitsschluss der EU-Kommission zum EU-US-Privacy-Shield stützen können. Die USA wurde damit als da-tenschutzrechtlich „unsicheres“ Drittland eingestuft.
Hintergrund ist, dass datenschutzrechtlich jede Übermittlung personenbezogener Daten in ein Drittland (Länder außerhalb der EU/EWR) nur zulässig ist, wenn die in Art. 44 ff. DS-GVO festgelegten Bedingungen einhal-ten werden. Danach ist eine Datenübermittlung in unsichere Drittländer u.a. möglich durch Einbeziehung der EU-Standardvertragsklauseln der EU-Kommission. Mit diesen „Instrumenten“ soll die Einhaltung der europäischen Datenschutzgrundsätze und Sicherheitsanforderungen für den Schutz personenbezogenen Daten auch außerhalb der EU/EWR gewährleistet werden.

Die alten SCCs wurden nun abgelöst durch die neuen „Standarddatenschutzklauseln“; diese sind ab dem 27. Juni 2021 wirksam und können ab diesem Datum von Datenexporteuren und -importeuren genutzt werden. Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden SCCs für Übermittlungen in Drittländer verwenden,
Neue Standarddatenschutzklauseln für internationalen Datentransfer und Standardvertragsklauseln für Auftragsverarbeitung
tungsverträge. Zu beachten ist, dass die EU-Kommission in ihrem Beschluss zu den „Standardda-tenschutzklauseln“ (dort Rn. 19) ausdrücklich darauf hinweist, dass der Transfer per-sonenbezogener Daten auf Basis der Stan-darddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspra-xis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten.

Datenexportierende Unternehmen werden also bei Verwendung der neuen „Standardda-tenschutzklauseln“ separat sämtliche auf „Standarddatenschutzklauseln“ gestützte Übermittlungen personenbezogener Daten in Drittländer im Einzelnen prüfen müssen. Geprüft werden muss u.E.,
-welchen Gesetze der jeweilige Daten-importeur im Drittland und etwaigeweitere Empfänger, an den die Datenübermitteln werden sollen, unterliegen und
-ob diese Gesetze die von ihnen mit Unterzeichnung der„Standarddatenschutzklauseln“ gegebenen Garantien beeinträchtigen.

Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren und festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden.

Wir empfehlen daher, zeitnah bestehe Verträge zu prüfen und die für die Aktualisierung erforderlichen Schritte in die Wege zu leiten.


Bei Fragen kommen Sie gerne auf uns zu!

zurück