Neue EU-Standarddatenschutzklauseln für internationalen Datentransfer

Wofür sind Standarddatenschutzklauseln da? 

Jedwede Übermittlung personenbezogener Daten („Datentransfer“) in ein Drittland außerhalb der EU bedarf der Einhaltung besonderer, in der Datenschutzgrundverordnung („DSGVO“) niedergelegter Bedingungen. Das bedeutet, dass ein Datentransfer in ein Drittland nur stattfinden darf, wenn dies etwa auf Grundlage 

• eines Angemessenheitsbeschlusses (Art. 45 DSGVO), 
• von Binding Corporate Rules (Art. 47 DSGVO) oder
• von Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO)

geschieht. 

Warum wurden neue Standarddatenschutzklauseln verabschiedet? 

Auslöser für die Erstellung neuer Standarddatenschutzklauseln durch die EU-Kommission war die sogenannte Schrems II-Entscheidung des EuGH, die zur Folge hatte, dass Datentransfers aus der EU in die USA nicht mehr auf das Privacy Shield – einem Angemessenheitsbeschluss zwischen der EU und den USA (vgl. Art. 45 DSGVO) – gestützt werden können.

Das Urteil hatte aber nicht nur Auswirkungen für Datentransfers in die USA, sondern legte im Allgemeinen fest, dass Verantwortliche bei jedem Datentransfer in ein Drittland sicherstellen müssen, dass die übermittelten, personenbezogenen Daten in angemessener, auf einer mit der EU-Praxis vergleichbaren Art und Weise geschützt werden. Hierfür müssen Verantwortliche seit der Schrems II-Entscheidung eine Überprüfung der Gesetzeslage in dem Drittstaat vornehmen und beim Abschluss von Standardvertragsklauseln sicherstellen, dass ggf. zusätzliche vertragliche, technische und organisatorische Maßnahmen umgesetzt werden, die ein angemessenes Datenschutzniveau auch in dem Drittland garantieren. 

Die neuen EU-Standarddatenschutzklauseln sollen die Erfordernisse an die Rechtslage nach der Schrems II-Entscheidung besser abbilden können, werden eine Überprüfung der Rechtslage im Drittland und das Ergreifen zusätzlicher Maßnahmen aber nicht ersetzen können (hierzu später mehr). 

Wie sind die neuen Standarddatenschutzklauseln aufgebaut? 

Die neuen EU-Standarddatenschutzklauseln sollen einer Vielzahl an komplexen Verarbeitungsketten personenbezogener Daten gerecht werden.

Hierfür wird ein modularer Aufbau herangezogen: 

• MODUL EINS: Übermittlung von Verantwortlichen an Verantwortlichen 
• MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter 
• MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
• MODUL VIER: Übermittlung von Auftragsverarbeiter an Verantwortliche 

Insbesondere die letzten beiden Konstellationen, d. h. der Datentransfer von einem EU-Auftragsverarbeiter, sahen die bisherigen EU-Standarddatenschutzklauseln nicht standardmäßig vor.

Die neuen EU-Standarddatenschutzklauseln ermöglichen es zudem, dass nun mehr als zwei Parteien Standarddatenschutzklauseln abschließen können. Weiterhin können zusätzliche Parteien sich bereits abgeschlossenen Standarddatenschutzklauseln „anschließen“, wodurch der „lifecycle“ eines solchen Vertragsverhältnisses besser abgebildet können werden soll.  

Prüfung im Einzelfall bei Übermittlung in Drittland weiterhin erforderlich 

Obwohl die neuen Standardvertragsklauseln teilweise als Reaktion auf die Schrems II-Entscheidung des EuGH entstanden sind, entbinden sie die Vertragsparteien nicht davon, die Rechtslage im Drittland weiterhin im Einzelnen zu prüfen und zusätzliche Maßnahmen und Garantien zu ergreifen, um ein angemessenes Datenschutzniveau in dem Drittland sicherzustellen. Eine Art „Freifahrtschein“ für den internationalen Datentransfer gibt es also weiterhin nicht. Die neuen EU-Standarddatenschutzklauseln bilden diese Thematik jedoch besser ab. 

Pflichten gegenüber betroffenen Personen 

Die neuen EU-Standarddatenschutzklauseln enthalten zudem neue Pflichten gegenüber betroffenen Personen, deren personenbezogene Daten verarbeitet werden. 

Betroffenen Personen muss beispielsweise eine Kopie der Standarddatenschutzklauseln zur Verfügung gestellt werden. Dies bedeutet, dass zukünftig in der klassischen Online-Datenschutzerklärung ein Link zur Verfügung gestellt werden sollte, über den User die relevanten Standarddatenschutzklauseln herunterladen können. 

Der Datenimporteur wird zudem verpflichtet, zukünftig eine Kontaktperson anzugeben, die unverzüglich Beschwerden betroffener Personen aus der EU verarbeitet. 

Umsetzungsfrist

Die alten Standarddatenschutzklauseln von 2010 und 2001 werden innerhalb der nächsten drei Monate aufgehoben und können danach nur noch für weitere 15 Monate genutzt werden. Dies bedeutet, dass Verantwortliche oder Auftragsverarbeiter in der EU spätestens in 18 Monaten mit ihren Auftragsverarbeitern oder Verantwortlichen in Drittländern die neuen Standarddatenschutzklauseln verhandelt und abgeschlossen haben müssen. 

Handlungsempfehlung 

• Prüfen Sie, ob Sie personenbezogenen Daten in ein Drittland außerhalb der EU übermitteln. Hierfür kann bereits ein Remote-Zugriff aus den USA ausreichen. 
• Prüfen Sie, ob Sie bereits EU-Standarddatenschutzklauseln nutzen und ersetzen Sie diese mit den neuen EU-Standarddatenschutzklauseln. 
• Überprüfen Sie vorher, ob in dem Drittland ein angemessenes Datenschutzniveau besteht bzw. welche zusätzlichen Maßnahmen Sie ergreifen müssen, um ein angemessenes Datenschutzniveau sicherzustellen. 

Koordiniertes Vorgehen der Aufsichtsbehörden

Mehrere Datenschutz-Aufsichtsbehörden (Berlin, Brandenburg, Bayern, Niedersachsen, Baden-Württemberg, Bremen, Hamburg, Rheinland-Pfalz, Saarland) haben am 1. Juni 2021 angekündigt, durch Fragebögen koordiniert zu überprüfen, ob die Anforderungen der DSGVO und der Schrems II-Entscheidung an den internationalen Datentransfer eingehalten werden. Damit rückt die Einhaltung der Anforderungen an internationale Datentransfers in den Fokus der Aufsichtsbehörden. Unternehmen sollten sich daher auf den Erhalt der folgenden Fragebögen vorbereiten und datenschutzkonform aufstellen.