Recht aktuell

Neue Standardvertragsklauseln für internationalen Datentransfer

Die EU-Kommission hat am 04. Juni 2021 neue Standardvertragsklauseln verabschiedet, die ab 27.09.2021 für Neuverträge verwendet werden müssen, wenn ein Datentransfer in Drittstaaten stattfindet.

Schrems-II-Urteil

Der Europäische Gerichtshof (EuGH) erklärte in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) die Grundlage des Angemessenheitsbeschlusses der EU-Kommission – der EU-US Privacy Shield – für ungültig. Der Privacy Shield war die wichtigste rechtliche Grundlage für den Transfer von personenbezogenen Kunden- und Mitarbeiterdaten in die USA. Damit hat der EuGH die Anforderungen an die Verwendung von Standardvertragsklauseln in der Praxis erheblich verschärft.
Danach liegt es in der Verantwortung eines Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob in dem Drittland ein Schutzniveau besteht, das dem in der EU gleichwertig ist. Sofern das nicht der Fall ist, müssen gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen oder von der Übermittlung abgesehen werden.

Grundsätze für eine Datenübermittlung in Drittstaaten

Für eine Datenübermittlung in Drittstaaten müssen einige Voraussetzungen erfüllt sein:
Zunächst muss eine Rechtsgrundlage für die Datenübermittlung vorliegen, z. B. die Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO oder der zugrundeliegende Vertrag nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO.
Auf der zweiten Stufe wird geprüft, ob beim Empfänger im Drittland ein angemessenes Schutzniveau besteht. Ein solches Schutzniveau kann für ein Land mit einem Angemessenheitsbeschluss durch die EU-Kommission festgestellt werden. Ein solcher Angemessenheitsbeschluss liegt derzeit für eine Datenübermittlung nach Großbritannien vor. Darüber hinaus kann nach Art. 46 DSGVO auch durch geeignete Garantien ein angemessenes Schutzniveau hergestellt werden. Eine dieser Garantien sind von der EU-Kommission verabschiedete Standardvertragsklauseln – oder Standarddatenschutzklauseln, wie sie in Art. 46 Abs. 2c DSGVO bezeichnet werden. Dabei handelt es sich um Musterverträge, die beide Parteien dazu verpflichten, ein mit der EU vergleichbares Datenschutzniveau einzuhalten.

Neue Standardvertragsklauseln

Die Europäische Kommission hat nun im Juni 2021 neue Standardvertragsklauseln erlassen ( Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 04.06.2021).
Sie sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden:
  • Verantwortlicher an Verantwortlichen
  • Verantwortlicher an Auftragsverarbeiter
  • Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Die neuen Standarddatenschutzklauseln schreiben erstmals Garantien vor, „um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem, vorab zu klären, „wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist“.
Der Datenimporteur soll mit einem Zusatz zu den Standardvertragsklauseln versichern, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Daten erhält. Mitzuteilen sind dabei Details zu den angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn dem Datenimporteur dieser Schritt untersagt wird, muss er sich „nach besten Kräften um eine Aufhebung des Verbots“ bemühen. Zudem soll der Datenimporteur gegebenenfalls „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen.
Die neuen Standardvertragsklauseln sehen eine obligatorische Risikoeinschätzung vor, die von den Beteiligten durchgeführt werden muss. Beide Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Die Risikoeinschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen.
Die Genehmigungsfreiheit bei der Verwendung der Standardvertragsklauseln gilt nur, sofern diese unverändert verwendet werden. Vertragsparteien können die Standardvertragsklauseln auch in einen umfangreicheren Vertrag mit aufnehmen. Sofern jedoch weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, dürfen diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Was Unternehmen prüfen sollten: Checkliste

Datenexportierende Unternehmen werden auch auf Grundlage der neuen Standarddatenschutzklauseln nicht umhinkommen, sämtliche auf diese Grundlage gestützte Datenübermittlungen in Drittländer im Einzelnen zu prüfen. Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren. Eine zu dokumentierende Risikoeinschätzung sollte mindestens folgende Punkte umfassen:
  • Bestandsaufnahme zu in Anspruch genommenen Dienstleistern und Sub-Dienstleistern 
  • Vereinbarung der Standardvertragsklauseln
  • Prüfung möglicher technischer Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Anonymisierung, Serverstandort in der EU usw.)
  • Prüfung des Datenschutzniveaus im Drittstaat („Welchen Gesetzen unterliegt der jeweilige Datenimporteur im Drittland?“)
  • Prüfung von europäischen Alternativen
  • Dokumentation

Umsetzungsfrist

Die neuen Standardvertragsklauseln sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.