SCC - EU-Kommission veröffentlicht neue Standarddatenschutzklauseln für die Datenübermittlung außerhalb der EU – Jetzt TOM’s anpassen

Die Europäische Kommission hat am vergangenen Freitag (04.06.2021) neue Standarddatenschutzklauseln verabschiedet und übt somit erstmalig ihre Rechte laut Art. 28 Abs. 7 DSGVO aus. Die neuen Standarddatenschutzklauseln und deren Erwägungsgründe finden Sie auf der Seite der EU .

Die neuen Standarddatenschutzklauseln lösen die seit 2010 geltenden Standardvertragsklauseln für Auftragsverarbeiter für die Übermittlung in Drittländer ab. Nach Ansicht der EU-Kommission erfüllen die neuen Standardvertragsklauseln auch die Anforderungen des Schrems II Urteils.

Hintergrund

Durch das Urteil des EuGH in der Rechtssache „Schrems II“ (Az. C 311/18) wurde der Teil-Angemessenheitsbeschluss der Datenübermittlung personenbezogener Daten in die USA für nicht anwendbar erklärt. Der unter dem Begriff und dem Mechanismus „EU-US Privacy Shield“ bekannte Teilangemessenheitsbeschluss sollte sicherstellen, dass das Datenschutzniveau in den USA und Europa gleichwertig ist.

Nach der DSGVO dürfen personenbezogene Daten i.d.R.  nur in solche Drittländer (d.h. in Länder außerhalb der EU) übermittelt werden, in denen ein vergleichbares Datenschutzniveau wie in der Europäischen Union herrscht.

Da ein Transfer personenbezogener Daten in ein Drittland ohne Angemessenheitsbeschluss nur im Rahmen so genannter Garantien im Sinne des Art. 46 DSGVO möglich ist, standen von heute auf morgen alle US-Anbieter ohne Rechtsgrundlage für ihre Übermittlung dar. Die damals abgeschlossenen Standardvertragsklauseln waren nach Ansicht des EuGH nicht ausreichend um das Schutzniveau zu sichern.

Was wurde in den neuen Datenschutzklauseln (SCC) geändert?

Die neuen Standarddatenschutzklauseln sind an die Anforderungen der Datenschutz-Grundverordnung (DSGVO) angepasst und berücksichtigen jetzt viele der Verpflichtungen des Europäischen Gerichtshof (EuGH) aus seiner Schrems-II-Entscheidung. Zunächst ist auffällig, dass zukünftig der Aufbau auf einem modularen Modell beruht.
Das modulare Modell orientiert sich hierbei an der Richtung der Verarbeitung und umfasst die Verarbeitung zwischen Verantwortlichen untereinander (Modul 1), Verantwortlicher an Auftragsverarbeiter (Modul2), zwischen Auftragsverarbeitern (Modul 3) und von Auftragsverarbeiter an Verantwortlicher (Modul 4).
In Klausel 15 beinhalten die Verträge nunmehr „Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten“, die insbesondere Informationspflichten bei der behördlichen Abfrage oder dem verpflichtenden Vorgehen gegen solche Entscheidungen beinhaltet. Auch verpflichten die Klauseln den Datenimporteuer dazu sämtliche Offenlegungsansprüche zu überprüfen und die rechtliche Beurteilung zu dokumentieren sowie nur das notwendige Minimum zu übertragen.

Einstufung der US-Datenübermittlung jetzt als rechtssicher?

Leider sind auch die neuen Standarddatenschutzklauseln kein ausreichendes Kriterium um den Datentransfer in unsichere Drittstaaten zu ermöglichen. Dies liegt darin begründet, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln „nicht erfolgen [soll], wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern".
Bei Datenübertragungen in die USA reicht der Abschluss der neuen Standarddatenschutzklauseln aufgrund der Ausführungen des EuGH wohl in vielen Fällen nicht aus, sondern es sind auf Unternehmensebene weiterhin Einzelfallprüfungen des Datentransfers vorzunehmen. Auch sind nach wie vor zusätzliche Maßnahmen zum Schutz von personenbezogenen Daten erforderlich. Die zusätzlichen Maßnahmen zusammen mit den Standarddatenschutzklauseln müssten dann sicherstellen, dass das US-Recht das von ihnen gewährleistete angemessene Schutzniveau nicht beeinträchtigt.

Umsetzungszeitraum der neuen Standarddatenschutzklauseln

Die „alten“ Standarddatenschutzklauseln, die bei bestehenden Verträgen bereits abgeschlossen wurden, müssen innerhalb von 18 Monaten nach dem Inkrafttreten der Verordnung aktualisiert werden. Die Verordnung tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft. Bei allen neu geschlossenen Verträgen sollten bereits jetzt die neuen Standarddatenschutzklauseln berücksichtigt werden. Allerdings gilt hier aufgrund Ziffer 24 der Stellungnahme eine Übergangsfrist von 3 Monaten.

Fazit

Angesichts der Umsetzungsfrist der neuen Standarddatenschutzklauseln von „nur“ 18 Monate – sollten zeitnah alle bisher abgeschlossenen Standarddatenschutzklauseln geprüft und eventuell durch die neue Version ersetzt werden.
Das könnte nämlich insbesondere für Unternehmen aufwändig werden, die zahlreiche Geschäftsbeziehungen in Drittländer wie z.B. den USA oder China pflegen: Neben dem Unterschreiben der neuen Standarddatenschutzklauseln ist eine sorgfältige Einzelfallprüfung des Datenschutzniveaus im Nicht-EU Ausland erforderlich. Unternehmer müssen also sicherstellen, dass sie im Hinblick auf die Datenübermittlung stets eine Risikobewertung der rechtlichen Situation im Drittland vornehmen und dem jeweils festgestellten Risiko durch ausreichende Sicherheitsmaßnahmen (z.B. durch eine Verschlüsselung der Daten) begegnen.
Unternehmen sollten diese Risikobewertung schnellstmöglich vornehmen, da bereits in der Vergangenheit deutsche und europäische Datenschutzaufsichtsbehörden (wie z.B. die LfDL Rheinland-Pfalz) angekündigt haben, zukünftig Datenexporteure genauer zu kontrollieren und bei anhaltenden rechtswidrigen Datenübermittlungen in Drittstaaten ggf. Geldbußen zu erlassen.
Im Ergebnis können jedoch auch die neuen Standarddatenschutzklauseln die große Rechtsunsicherheit im Hinblick auf den Datentransfer in Drittstaaten nicht vollständig beseitigen, die seit dem Schrems-II-Urteil des EuGHs besteht.

Co-Autoren: Junior Associate Thomas Heß & Stud. jur. Martina Hajas

Bildquelle: Bild von mohamed Hassan auf Pixabay