Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


9.7.2021

Neue Standarddatenschutzklauseln für Drittlandtransfer

Die neuen Standarddatenschutzklauseln für die Datenübermittlung in Drittländer sind am 27. Juni 2021 in Kraft getreten. Die bislang verfügbaren Standarddatenschutzklauseln aus den Jahren 2001, 2004 und 2010 wurden den tatsächlichen Gegebenheiten und Anforderungen nicht mehr gerecht. Das gilt umso mehr mit Blick auf das „Schrems II“-Urteil Europäischen Gerichtshofs (EuGH) vom 16.7.2020 (s. Datenschutz-News v. 17.7.2020), das in den neuen Klauseln berücksichtigt wurde.

Die neuen Standarddatenschutzklauseln sind modular aufgebaut. Dabei werden folgende vier Konstellationen der Datenübermittlung unterschieden:

  • Verantwortlicher und Verantwortlicher
  • Verantwortlicher und Auftragsverarbeiter
  • Auftragsverarbeiter und Verantwortlicher
  • Auftragsverarbeiter und Auftragsverarbeiter.

Mit den neuen Konstellationen werden beispielsweise auch Fälle abgedeckt, in denen der Verantwortliche und der Auftragsverarbeiter ihren Sitz in der EU haben, ein vom Auftragsverarbeiter beauftragter Sub-Auftragsverarbeiter sich dagegen in einem Drittland befindet.

Neu sind beispielsweise auch Garantien, die auf das Schrems II-Urteil des EuGH zurückzuführen sind und die Rechte der betroffenen Personen bei staatlichen Zugriffen stärken sollen. Hierzu zählen beispielsweise die unverzügliche Information der betroffenen Personen, wenn eine Datenherausgabe an staatliche Stellen im Raum steht und die Verpflichtung des Datenimporteurs, sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen.

Hintergrund

Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland, für ein Gebiet dieses Drittlands oder für die in Frage stehenden Branchen bzw. Tätigkeitsfelder in diesem Drittland ein angemessenes Datenschutzniveau festgestellt hat. Liegt kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs. 2 DSGVO unter anderem in Standarddatenschutzklauseln bestehen.

Bislang wurden drei Arten von Standardverträgen von der EU-Kommission gemäß Art. 26 Abs. 4 der Richtlinie 95/46/EG verabschiedet:

  • „Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001“ (sog. Standardvertrag I)
  • „Alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004“ (sog. Standardvertrag II)
  • „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010“ .

Praxishinweise

Die neuen Standarddatenschutzklauseln sind am 27. Juni 2021 in Kraft getreten. Nach Ablauf der Übergangsfrist bis zum 27. Dezember 2022 dürfen für neue Vereinbarungen nur noch die neuen Standarddatenschutzklauseln genutzt werden. Bestandsvereinbarungen auf Basis der bislang verfügbaren, also der nunmehr alten Klauseln müssen innerhalb eines Jahres durch die neuen Klauseln ersetzt werden. Dafür gilt es, rechtzeitig entsprechende Prozesse zu planen und aufzusetzen.

Wichtig: Der Einsatz von Standarddatenschutzklauseln entbindet auch in Zukunft nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland, in das die Daten übermittelt werden sollen. Mit den neuen Standarddatenschutzklauseln wurde lediglich festgelegt, dass diese Klauseln bei der Übermittlung personenbezogener Daten aus EU-Staaten in Drittländer grundsätzlich ausreichende Garantien für den Schutz des Persönlichkeitsrechts und die damit verbundenen Rechte bieten können. Ob das tatsächlich der Fall ist, muss der in der EU ansässige Verantwortliche in Bezug auf das in Frage stehende Drittland selbst prüfen und entscheiden, sofern wie z.B. aktuell für die USA (s. Datenschutz-News v. 17.7.2020) kein (rechtmäßiger) Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO vorliegt.

Für Datenübermittlungen in entsprechende Drittländer sind neben den aktuellen Standarddatenschutzklauseln zusätzliche Maßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten. Diese ergänzenden Sicherungsinstrumente können laut EuGH neben besonderen technischen Zugangssicherungen wie eine Datenverschlüsselung auch ergänzende Regelungen zu den aktuellen Standarddatenschutzklauseln mit zusätzlichen Garantien sein (Datenschutz-News v. 17.7.2020).

Dieser Punkt wurde in den neuen Standarddatenschutzklauseln zwar aufgegriffen und es wurden die eingangs genannten zusätzlichen Garantie-Aspekte aufgenommen. Allerdings bleibt es bei der Risikoprüfung (sog. TIA, Transfer Impact Assessment) und Entscheidung des Verantwortlichen. Dabei sollten Sie beachten, dass Regelungen in Standarddatenschutzklauseln als alleinige zusätzliche Garantien gerade nicht ausreichen können, wenn hoheitliche Zugriffe und Zugriffsrechte auf die übermittelten personenbezogenen Daten zur Diskussion stehen. Eine Bindung von Behörden und anderen staatlichen Institutionen oder eine Beschränkung des Rechts des Drittlandes ist gerade nicht möglich.

Sollten Sie Fragen zu Standarddatenschutzklauseln, zur Datenübermittlung in Drittländer wie die USA oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht