Neue Standardvertragsklauseln veröffentlicht
Die Europäische Kommission hat am 04.06.2021 die neuen EU Standardvertragsklauseln für Übermittlungen personenbezogener Daten in Drittländer veröffentlicht. Mit den neuen Standardvertragsklauseln sollen internationale Datentransfers vereinfacht und die Anforderungen des Schrems II-Urteils berücksichtigt werden.
Anforderungen
- „Schrems II“-Verpflichtungen implementiert: Die neuen Standardvertragsklauseln verpflichten die Verwender ausdrücklich dazu, zu prüfen, ob der Datenimporteur in Hinblick auf die rechtliche Situation im Drittland in der Lage ist, die vertraglichen Regelungen insbesondere zum Schutz vor unverhältnismäßigen Behördenzugriffen einzuhalten.
- Obligatorische Datentransfer-Folgenabschätzung: Die Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs hegen. Diese Bewertung der Angemessenheit des Datenschutzes im Empfängerland aufgrund der getroffenen Maßnahmen ist zu dokumentieren und auf Anfrage den Aufsichtsbehörden vorzulegen.
- Behördliche Informationsersuchen abwehren: Der Datenimporteur muss sich gegen behördliche Informationsersuchen im rechtlich zulässigen Ausmaß zur Wehr setzen und den Datenexporteur sowie Betroffene entsprechend informieren.
- Haftungsklausel: Die neuen Standardvertragsklauseln sehen eine Haftung der Parteien für Pflichtverletzungen nicht nur gegenüber den betroffenen Personen, sondern auch im Verhältnis zueinander vor.
- „docking clauses“: Weitere Parteien können zu den Standardvertragsklauseln beitreten.
Aufbau
Die neuen Standardvertragsklauseln sind nach den folgenden Modulen aufgebaut:
- Modul 1: EU-Verantwortlicher und Auftragsverarbeiter im Drittland
- Modul 2: EU-Verantwortlicher und Verantwortlicher im Drittland
- Modul 3: EU-Auftragsverarbeiter und Verantwortlicher im Drittland
- Modul 4: EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland
Umsetzungszeitraum
Die neuen Standardvertragsklauseln sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.
Ausblick
Die neuen Standardvertragsklauseln der EU-Kommission aktualisieren dieses in der Praxis unerlässliche Instrument für die Ermöglichung des Datenaustauschs mit Drittstaaten. Sie beseitigen damit viele Unklarheiten, die insbesondere nach der Schrems II-Entscheidung entstanden sind.
Die Bereitstellung unterschiedliche Module erhöhen die Flexibilität für die Beteiligten. Während bisher nur der Verantwortliche die Standardvertragsklauseln abschließen konnte, ermöglicht die neue Ausgestaltung der Standardvertragsklauseln auch eine Regelung zwischen Dienstleister in der EU und Sub-Dienstleister außerhalb EU.
Gleichwohl weist die EU-Kommission in ihrem Beschluss zu den Standardvertragsklauseln auch ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Grundlage der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten. Dementsprechend werden datenexportierende Unternehmen regelmäßig auch bei Anwendung der neuen „Standarddatenschutzklauseln“ prüfen müssen, welche Gesetze im Drittland Anwendung finden und ob sie mit den Standardvertragsklauseln vereinbar sind. Diese Prüfung („Data Transfer Assessment“) ist zu dokumentieren und auf Anfrage den Aufsichtsbehörden vorzulegen. Daher genügt es künftig nicht mehr, nur das jeweilige Modul auszufüllen. Es muss auch dargelegt werden, warum in der Praxis durch die getroffenen Maßnahmen ein angemessenes Datenschutzniveau erreicht wird. Auf diesen Aspekt weist auch die Datenschutzkonferenz ausdrücklich hin: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf
Die neuen Standardvertragsklauseln sind hier verfügbar.
Gerne senden wir Ihnen die Sonderausgabe der Privacy News zu, welche einen Überblick über die neuen Standardvertragsklauseln verschafft. Im Übrigen haben die europäischen Aufsichtsbehörden im Rahmen einer abgestimmten Aktion eine Fragebogenaktion gestartet und ausgewählte Unternehmen gezielt zu Datentransfers an Empfänger außerhalb der EU angesprochen.