Mit dem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) neue Regeln für Datenübermittlungen in Drittländer aufgestellt. Mit dem EuGH-Urteil wurden sämtliche Datenübermittlungen in die USA auf Grundlage des EU-US-Privacy Shield für ungültig erklärt (siehe unser Whitepaper).
Die Europäische Kommission hat am 04. Juni 2021 eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht (Standard Contractual Clauses”, kurz SCC). Am 09. Juni 2021 wurden sie im Amtsblatt veröffentlicht – die Umsetzungsfrist läuft.
Allgemeiner Überblick:
Die Datenschutz-Grundverordnung (DS-GVO) untersagt Verarbeitungen von personenbezogenen Daten außerhalb der EU/EWR (sog. Drittländer), wenn kein angemessenes Datenschutzniveau vorliegt.
Standarddatenschutzklauseln, so werden sie in Art. 46 Abs. 2 der DS-GVO bezeichnet, sind Musterverträge, die im Falle eines Transfers personenbezogener Daten durch „Datenexporteure“ (u.a. Verantwortlicher) an „Datenimporteure“ (u.a. Auftragsverarbeiter) in Drittländer (außerhalb EU/EWR) erforderlich sind. Dabei verpflichten sich Anbieter das EU-Datenschutzniveau einzuhalten.
Für europäische Organisationen ist vor allem die Datenverarbeitung in den USA relevant. Unabhängig davon, von welchem Dienstleister die personenbezogenen Daten verarbeitet werden, die Zulässigkeit der Verarbeitung, hängt von den Standardvertragsklauseln ab.
Die neuen Standardvertragsklauseln bringen einige Vorteile mit sich:
- Die „alten SCC“ basierten noch auf dem Recht vor der DS-GVO. Sie wurden jetzt an die Vorgaben und Anforderungen der DS-GVO angepasst.
- Es können andere Einrichtungen (Dritte) einem auf Grundlage der Standardvertragsklauseln abgeschlossenen Vertrages als Datenimporteure oder-Exporteure dem Vertrag beitreten.
- Die neuen Standardvertragsklauseln sind flexibler und haben einen größeren Anwendungskreis. Die neuen SCC sind modular (4 Module) aufgebaut und umfassen z.B. auch Verträge auf der Ebene der Unterauftragsverhältnisse.
- Wenn ein Auftragsverarbeiter auf Weisung eines Unternehmens personenbezogene Daten verarbeitet, dann liegt eine Auftragsverarbeitung gemäß DS-GVO vor, d.h. es ist eine sog. Auftragsverarbeitungsvereinbarung (AVV gemäß Art. 28 DS-GVO) abzuschließen. Die neuen SCC entsprechen jetzt zugleich den Anforderungen an eine AVV. Dies bedeutet, wird ein Vertrag auf Grundlage der SCC geschlossen, dann ist der Abschluss einer zusätzlichen AVV nicht mehr erforderlich.
- Standardvertragsklauseln haben Vorrang vor z.B. widersprechenden AGB- und Vertragsklauseln.
Handlungsempfehlungen:
Zunächst ist zwischen neu abzuschließenden und bestehenden Verträgen zu unterscheiden:
- Bei Neuverträgen müssen die neuen SCC berücksichtigt und von allen Vertragspartien verwendet werden.
- Bei Altverträgen müssen die bereits abgeschlossenen Standardvertragsklauseln innerhalb von 18 Monaten (Frist: Dezember 2022) durch die neuen SCC ersetzt werden.
- Prüfung, ob personenbezogene Daten in Drittländern (z.B. USA) und/oder von Unternehmen, die ihren Sitz in Drittländern (z.B. USA) haben, verarbeitet werden.
- Prüfung, ob Subunternehmer (Unterauftragsverarbeiter) die personenbezogene Daten in Drittländer verarbeiten, beauftragt sind (z.B. Webhoster, Cloudservices, Rechenzentren, Newsletteranbieter).
- Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden. Subunternehmer müssen außerdem darüber Auskunft geben, ob entsprechende Standardvertragsklauseln mit deren Subunternehmer in Drittländern geschlossen wurden (idealerweise Vertragskopien anfordern).
- Wie auch im Rahmen der Vereinbarung zur Auftragsverarbeitung (AVV gemäß Art. 28 DS-GVO), sind Sicherheitsmaßnahmen (technisch-organisatorische Maßnahmen) ebenfalls Bestandteil der SCC.
Anbieter müssen die Maßnahmen nennen, mit denen die besonderen Risiken des Drittlandstransfers aufgefangen werden. Außerdem müssen sie mit Subunternehmern entsprechende Maßnahmen vereinbaren (Auflistung der beauftragten Unternehmen und Kopien). - Der Text der SCC darf, wie bisher auch, nicht modifiziert werden und die Anhänge müssen ordnungsgemäß und vollständig ausgefüllt werden.
- Das vom Anbieter zugesicherte Datenschutzniveau muss vom Datenexporteur (regelmäßig) geprüft werden.
- Im Rahmen der Rechenschaftspflicht gilt auch hier: Das Prüfverfahren ist zu dokumentieren und nachzuweisen.
Fazit:
18 Monate erscheinen auf den ersten Blick ein langer Zeitraum zu sein. Unternehmen und Organisationen sollten dennoch zeitnah mit der Umsetzung beginnen. Nicht nur weil die Prüfungen und Vertragsumstellungen einige Zeit in Anspruch nehmen werden.
Es ist auch davon auszugehen, dass Datenschutz-Aufsichtsbehörden den Einsatz, insbesondere von US-Anbietern auf Grundlage der alten SCC, sehr bald für unzulässig erklären werden.
Die neuen SCC setzen die Forderungen der Rechtsprechung des EuGH zum US-Datentransfer um. Ausgang war auch, die Ungültigkeitserklärung des EU-US Privacy Shields. Ein „neuer Privacy Shield“ ist zwar politisch gewünscht, ob und wann dieser kommt, steht allerdings in den Sternen.
Weitere Informationen:
- golem.de, von https://www.golem.de/news/neue-eu-standardvertragsklauseln-datentransfer-in-die-usa-bleibt-riskant-2106-157582.html 24.06.2021: Datentransfer in die USA bleibt riskant
- Datenschutzkonferenz (DSK), Pressemitteilung 21.06.2021: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf
- LfD Niedersachsen: https://lfd.niedersachsen.de/startseite/themen/weitere_themen_von_a_z/internationaler_datenverkehr/standardvertragsklauseln/
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.