Bild-Quelle: Bild von mohamed Hassan auf Pixabay
Die EU-Kommission hat am 04.06.2021 die finale Version der neuen Standardvertragsklauseln („Standard Contractual Clauses“, kurz SCC) für den internationalen Datentransfer veröffentlicht.
Standardvertragsklauseln und wozu sie dienen
Damit eine Übermittlung von personenbezogenen Daten in ein Drittland rechtmäßig erfolgen kann, werden bestimmte Voraussetzungen gefordert. Zum einen muss für die Übermittlung eine entsprechende Rechtsgrundlage (z. B. Art. 6 DSGVO) vorliegen. Zum anderen muss der jeweilige Empfänger außerhalb der EU bzw. des EWR ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleisten können.
Dies kann durch einen Angemessenheitsbeschluss der EU-Kommission sichergestellt werden oder auch mittels geeigneter Garantien (Art. 46 DSGVO) aufseiten des Empfängers im Drittland. Zu diesen geeigneten Garantien gehören auch die von der EU-Kommission angenommenen Standardvertragsklauseln.
Hierbei handelt es sich um Musterverträge, mittels welcher sich die Parteien zur Einhaltung eines mit der EU vergleichbaren Datenschutzniveaus verpflichten.
Hintergrund der Aktualisierung der Standardvertragsklauseln
Lange wurden sie erwartet, die neuen Standardvertragsklauseln. Die bisherige Fassung ist bereits ziemlich in die Jahre gekommen, was zur Folge hat, dass diese weder die Vorgaben der DSGVO berücksichtigte, welche im Mai 2018 in Kraft getreten ist, noch das Schrems II-Urteils des EuGHs, mit welchen das sog. Privacy-Shield Abkommen gekippt wurde.
Die neuen Standardvertragsklauseln wurden am 07.06.2021 im Amtsblatt der Europäischen Union veröffentlicht. Entsprechend Art. 4 beginnt 20 Tage nach dieser Veröffentlichung – folglich am 27.06.2021 – eine 18-monatige Übergangsfrist. Nach Ablauf dieser Übergangsfrist müssen alle Unternehmen bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von Daten in Länder außerhalb der EU bzw. des EWR durch die neue Version ersetzt haben.
Die neuen Standardvertragsklauseln und was sich geändert hat
An den neuen Standardvertragsklauseln hat sich insbesondere der Aufbau geändert. Bisher wurden die unterschiedlichen Varianten des Datentransfers auf zwei verschiedene SCC-Muster verteilt. Hier gab es ein Muster für die Konstellation EU-Controller (Verantwortlicher) to Non-EU Controller und eine weitere für die Konstellation EU-Controller to Non EU Processor (Auftragsverarbeiter).
In der neuen Variante finden sich nun alle bisherigen sowie bisher unberücksichtigte Konstellationen in einem Dokument wieder, welches zur Orientierung in vier verschiedene „Module“ unterteilt ist.
Modul 1: Verantwortlicher – Verantwortlicher
Modul 2: Verantwortlicher – Auftragsverarbeiter
Modul 3: Auftragsverarbeiter – (Unter)Auftragsverarbeiter
Modul 4: Auftragsverarbeiter – Verantwortlicher
Zudem berücksichtigen die neuen Standardvertragsklauseln die Anforderungen, welche der EuGH in seiner Schrems II-Entscheidung aufgestellt hat. Dies schlägt sich insbesondere in Klausel 14 nieder. Nach dieser müssen die Parteien zusichern, keinen Grund zur Annahme zu haben, dass der Datenimporteur die Klauseln nicht einhalten kann. Um dies Zusichern zu können, ist es erforderlich, dass die Parteien eine sog. Datentransfer-Folgeabschätzung (DTFA) machen. Diese muss von den Parteien dokumentiert werden und auf Verlagen auch den Aufsichtsbehörden vorgelegt werden.
Handlungsempfehlung
Für Unternehmen ist es zunächst erforderlich zu prüfen, ob sie personenbezogene Daten an Empfänger außerhalb der EU bzw. des EWR übermitteln. Im Anschluss ist zu prüfen, ob diese Übermittlungen auf die bisher geltenden Standardvertragsklauseln gestützt werden.
Ist dies der Fall, müssen diese Verträge entsprechend den neuen Standardvertragsklauseln angepasst werden. Für alle Verträge, die sich aktuell in der Vorbereitung befinden, empfiehlt es sich, direkt die neuen Klauseln zu verwenden.
Auch an dieser Stelle sei jedoch nochmals erwählt, dass auch bei Verwendung der neuen Standardvertragsklauseln eine Einzelfallprüfung des Datenschutzniveaus beim Vertragspartner im Drittland erforderlich ist. Einzig und allein der Abschluss der Standardvertragsklauseln wird den vom EuGH in seinem Schrems II-Urteil aufgestellten Anforderungen nicht gerecht.
Von Tamina Wiatr, 30.06.2021