AdOrga Solutions GmbH - Datenschutz in den Händen von Experten.

Mit dem Urteil vom 16. Juli 2020 hat der Eu­ro­päi­sche Ge­richts­hof (EuGH) neue Regeln für Da­ten­über­mitt­lun­gen in Dritt­län­der auf­ge­stellt. Mit dem EuGH-Urteil wurden sämt­li­che Da­ten­über­mitt­lun­gen in die USA auf Grund­la­ge des EU-US-Privacy Shield für un­gül­tig erklärt (siehe unser White­pa­per).

Die Eu­ro­päi­sche Kom­mis­si­on hat am 04. Juni 2021 eine neue Version der so­ge­nann­ten Stan­dard­ver­trags­klau­seln ver­öf­fent­licht (Stan­dard Con­trac­tu­al Clauses”, kurz SCC). Am 09. Juni 2021 wurden sie im Amts­blatt ver­öf­fent­licht – die Um­set­zungs­frist läuft.

All­ge­mei­ner Überblick: 

Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) un­ter­sagt Ver­ar­bei­tun­gen von per­so­nen­be­zo­ge­nen Daten au­ßer­halb der EU/EWR (sog. Dritt­län­der), wenn kein an­ge­mes­se­nes Da­ten­schutz­ni­veau vorliegt.

Stan­dard­da­ten­schutz­klau­seln, so werden sie in Art. 46 Abs. 2 der DS-GVO be­zeich­net, sind Mus­ter­ver­trä­ge, die im Falle eines Trans­fers per­so­nen­be­zo­ge­ner Daten durch „Da­ten­ex­por­teu­re“ (u.a. Ver­ant­wort­li­cher) an „Da­ten­im­por­teu­re“ (u.a. Auf­trags­ver­ar­bei­ter) in Dritt­län­der (au­ßer­halb EU/EWR) er­for­der­lich sind. Dabei ver­pflich­ten sich An­bie­ter das EU-Da­­ten­­schut­z­­ni­­veau einzuhalten.

Für eu­ro­päi­sche Or­ga­ni­sa­tio­nen ist vor allem die Da­ten­ver­ar­bei­tung in den USA re­le­vant. Un­ab­hän­gig davon, von welchem Dienst­leis­ter die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden, die Zu­läs­sig­keit der Ver­ar­bei­tung, hängt von den Stan­dard­ver­trags­klau­seln ab.

Die neuen Stan­dard­ver­trags­klau­seln bringen einige Vor­tei­le mit sich:

  • Die „alten SCC“ ba­sier­ten noch auf dem Recht vor der DS-GVO. Sie wurden jetzt an die Vor­ga­ben und An­for­de­run­gen der DS-GVO angepasst.
  • Es können andere Ein­rich­tun­gen (Dritte) einem auf Grund­la­ge der Stan­dard­ver­trags­klau­seln ab­ge­schlos­se­nen Ver­tra­ges als Da­ten­im­por­teu­re oder-Ex­­por­­teu­­re dem Vertrag beitreten.
  • Die neuen Stan­dard­ver­trags­klau­seln sind fle­xi­bler und haben einen grö­ße­ren An­wen­dungs­kreis. Die neuen SCC sind modular (4 Module) auf­ge­baut und um­fas­sen z.B. auch Ver­trä­ge auf der Ebene der Unterauftragsverhältnisse.
  • Wenn ein Auf­trags­ver­ar­bei­ter auf Weisung eines Un­ter­neh­mens per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, dann liegt eine Auf­trags­ver­ar­bei­tung gemäß DS-GVO vor, d.h. es ist eine sog. Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung (AVV gemäß Art. 28 DS-GVO) ab­zu­schlie­ßen. Die neuen SCC ent­spre­chen jetzt zu­gleich den An­for­de­run­gen an eine AVV. Dies be­deu­tet, wird ein Vertrag auf Grund­la­ge der SCC ge­schlos­sen, dann ist der Ab­schluss einer zu­sätz­li­chen AVV nicht mehr erforderlich.
  • Stan­dard­ver­trags­klau­seln haben Vorrang vor z.B. wi­der­spre­chen­den AGB- und Vertragsklauseln.
Hand­lungs­emp­feh­lun­gen:

Zu­nächst ist zwi­schen neu ab­zu­schlie­ßen­den und be­stehen­den Ver­trä­gen zu unterscheiden:

  • Bei Neu­ver­trä­gen müssen die neuen SCC be­rück­sich­tigt und von allen Ver­trags­par­tien ver­wen­det werden.
  • Bei Alt­ver­trä­gen müssen die bereits ab­ge­schlos­se­nen Stan­dard­ver­trags­klau­seln in­ner­halb von 18 Monaten (Frist: De­zem­ber 2022) durch die neuen SCC ersetzt werden.
  1. Prüfung, ob per­so­nen­be­zo­ge­ne Daten in Dritt­län­dern (z.B. USA) und/oder von Un­ter­neh­men, die ihren Sitz in Dritt­län­dern (z.B. USA) haben, ver­ar­bei­tet werden.
  2. Prüfung, ob Sub­un­ter­neh­mer (Un­ter­auf­trags­ver­ar­bei­ter) die per­so­nen­be­zo­ge­ne Daten in Dritt­län­der ver­ar­bei­ten, be­auf­tragt sind (z.B. Web­hos­ter, Cloud­ser­vices, Re­chen­zen­tren, Newsletteranbieter).
  3. An­bie­ter aus Dritt­län­dern müssen um die Vorlage der neuen Stan­dard­ver­trags­klau­seln gebeten werden. Sub­un­ter­neh­mer müssen au­ßer­dem darüber Aus­kunft geben, ob ent­spre­chen­de Stan­dard­ver­trags­klau­seln mit deren Sub­un­ter­neh­mer in Dritt­län­dern ge­schlos­sen wurden (idea­ler­wei­se Ver­trags­ko­pien anfordern).
  4. Wie auch im Rahmen der Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung (AVV gemäß Art. 28 DS-GVO), sind Si­cher­heits­maß­nah­men (tech­­nisch-or­­ga­­ni­­sa­­to­ri­­sche Maß­nah­men) eben­falls Be­stand­teil der SCC.
    An­bie­ter müssen die Maß­nah­men nennen, mit denen die be­son­de­ren Risiken des Dritt­lands­trans­fers auf­ge­fan­gen werden. Au­ßer­dem müssen sie mit Sub­un­ter­neh­mern ent­spre­chen­de Maß­nah­men ver­ein­ba­ren (Auf­lis­tung der be­auf­trag­ten Un­ter­neh­men und Kopien).
  5. Der Text der SCC darf, wie bisher auch, nicht mo­di­fi­ziert werden und die Anhänge müssen ord­nungs­ge­mäß und voll­stän­dig aus­ge­füllt werden.
  6. Das vom An­bie­ter zu­ge­si­cher­te Da­ten­schutz­ni­veau muss vom Da­ten­ex­por­teur (re­gel­mä­ßig) geprüft werden.
  7. Im Rahmen der Re­chen­schafts­pflicht gilt auch hier: Das Prüf­ver­fah­ren ist zu do­ku­men­tie­ren und nachzuweisen.
Fazit:

18 Monate er­schei­nen auf den ersten Blick ein langer Zeit­raum zu sein. Un­ter­neh­men und Or­ga­ni­sa­tio­nen sollten dennoch zeitnah mit der Um­set­zung be­gin­nen. Nicht nur weil die Prü­fun­gen und Ver­trags­um­stel­lun­gen einige Zeit in An­spruch nehmen werden.

Es ist auch davon aus­zu­ge­hen, dass Da­ten­­­schutz-Auf­­­sichts­­be­hör­­den den Einsatz, ins­be­son­de­re von US-An­­bie­­tern auf Grund­la­ge der alten SCC, sehr bald für un­zu­läs­sig er­klä­ren werden.

Die neuen SCC setzen die For­de­run­gen der Recht­spre­chung des EuGH zum US-Da­­ten­­tran­s­­fer um. Ausgang war auch, die Un­gül­tig­keits­er­klä­rung des EU-US Privacy Shields. Ein „neuer Privacy Shield“ ist zwar po­li­tisch ge­wünscht, ob und wann dieser kommt, steht al­ler­dings in den Sternen.

Weitere In­for­ma­tio­nen:

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!