Neue Standardvertragsklauseln der EU-Kommission veröffentlicht

DSGVO und SSC

Die EU-Kommission hat in diesem Zusammenhang neue Standardvertragsklauseln (SCC oder SVK) veröffentlicht. Diese modernisierten Standardvertragsklauseln ersetzen die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedeten Klauseln.

Da die alten Standardvertragsklauseln bereits lange vor Inkrafttreten der DSGVO geschaffen wurden, sind konstruktive Abweichungen und Unklarheiten bei der Anwendung entstanden. Diese sollten durch die Neuregelung abgebaut werden und endlich an die DSGVO angepasst werden. Die verwendeten Begriffe wurden mit denen der DSGVO -Definitionen insbesondere in Art. 4 – harmonisiert. Es wird insbesondere klargestellt, dass entsprechend der Richtlinie auszulegen ist und kein Widerspruch zu den dort vorgesehenen Rechten und Pflichten entstehen soll.

Die neuen Klauseln sind nicht zuletzt im Lichte der Vorgaben des EuGH-Urteils Schrems II. zu sehen, da diese nach Wegfall des Privacy Shields als Übertragungsmechanismus mit Verarbeitern in den USA wieder verstärkt an Bedeutung gewonnen hatten. Die Neufassung sollte nach dem Schrems-II-Urteil „benutzerfreundliche Instrumente für den Transfer“ liefern.

Unternehmen, die aufgrund von Standardvertragsklauseln personenbezogene Daten mit Drittländern wie den USA austauschen, müssen nun die bestehenden Verträge und Vertragsverhältnisse prüfen und die neuen Standardvertragsklauseln in einer Übergangsfrist von 18 Monaten abschließen. Der Anpassungsbedarf ist gleichwohl nicht zu unterschätzen, auch für Transferverträge innerhalb international tätiger Konzerne.

 

Großer Wurf oder bald Schrems III?

Eins lässt sich schon jetzt sagen: Die neuen Standardvertragsklauseln mögen besser sein als die Alten, eine perfekte Lösung sind sie nicht. Es bleibt ein Widerspruch vom ehrenwerten Anspruch und Schutzinteresse der DSGVO und dem Verständnis anderer Staaten, wie sie auf Daten zugreifen dürfen – aus Sicherheitsinteressen, versteht sich. Von einer politischen Lösung ist man auch mit der neuen US-Regierung weit entfernt, ein neues Datenschutzabkommen mit den USA wird es kurz- oder mittelfristig nicht geben. Auch die neuen Standardvertragsklauseln als Ersatz für den Privacy Shield werden insbesondere bei Nutzung von Cloud-Anbietern aus den USA keine wirklich DSGVO-konforme Lösung bieten.

 

Verträge und neue Klauseln mit Anbietern können nicht wirksam verhindern, dass die US-Geheimdienste auf die übertragenen Daten zugreifen. Aber sind wir ehrlich – greifen die Europäischen Dienste ganz sicher nicht auf in der EU transferierte oder gespeicherte Daten zu? 

Ausspähen unter Freunden, das geht gar nicht...

Es würde nicht verwundern, wenn auch hier noch nicht das letzte Wort gesprochen wurde. Ob es eine rechtliche Entscheidung gegen die neuen Klauseln in Form einer Schrems-III Entscheidung geben wird, ist allerdings Spekulation.

Ein paar Fakten zu den neuen DSGVO-Standardvertragsklauseln

Neue Gliederung in vier Module

Der Text im Anhang des Durchführungsbeschlusses der Kommission über Standardvertragsklauseln gliedert sich nun in vier Module, die die verschiedenen Richtungen der Verarbeitungsformen abbilden. Manche Abschnitte gelten nur für einzelne Module, allgemeine Regeln und die Schlussbestimmungen für sämtliche Varianten. Neu sind auch die Module für Übermittlungen im P2P- und P2C-Verhältnis. Gerade bei der häufigen Konstellation, in der der eigentliche Dienstleister im EU-Inland sitzt, aber ein Unterauftragsverarbeiter z.B. in den USA, war bisher problematisch in der Abbildung.

  • MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
  • MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

 

Mehr Klarheit und Flexibilität, mehr Komplexität

Die neuen SCC sind sprachlich klarer und moderner. Sie bieten Unternehmen auch mehr Flexibilität bei der Gestaltung als früher, etwa bei Gerichtsstandsvereinbarungen und Haftungsregelungen. Einfacher wird die Anwendung dadurch nicht wirklich, insbesondere bringt sie umfassendere Dokumentations- und Prüfungspflichten mit sich. Die technischen und organisatorischen Maßnahmen (TOM) müssen konkret (nicht allgemein) beschrieben werden.

Mehr Anpassungs- und Prüfpflichten

Welche Arten von Datentransfers im Unternehmen vorliegt, sollte längst bekannt und dokumentiert sein. Welche Transfervorgänge auf alten Standardvertragsklauseln basieren und überarbeitet werden müssen, ist vom Verantwortlichen zu prüfen.

Nach Ende der Übergangsfrist zur Anpassung von 18 Monaten, also bis zum 27 Dezember 2022 müssen diese Verträge an die neuen Regeln angepasst sein.

Den Datenimporteur treffen Benachrichtigungspflichten , etwa bei Behördenanfragen zur Herausgabe von Daten, sowie Abwehrpflichten gegenüber unberechtigten Datenanfragen.

Der Verantwortliche als Exporteur muss bei Übermittlung in Drittländer die konkreten Umstände der Übermittlung, das Recht des Drittstaates und etwaige zusätzlicher Garantien berücksichtigen.

Brexit – was ist jetzt mit den Briten?

Fast schon in Vergessenheit geraten sind die Briten. Datentransfers mit Drittländern über Standardvertragsklauseln finden natürlich nicht nur mit den USA statt – auch das große europäische Inselkönigreich könnte nach dem Brexit als unsicherer Drittstaat betrachtet werden. Verringerungen des Schutzniveaus sind dabei durchaus nicht unwahrscheinlich.  

Das Vereinigte Königreich ist bekanntlich nach vielem Hin und Her mit der EU aus der Union ausgetreten. Bis zum 31. Dezember 2020 galt das Unionsrecht über den Schutz personenbezogener Daten in Großbritannien  für die Verarbeitung personenbezogener Daten außerhalb des UK im Rahmen des Art. 71 Abkommen weiter (Art. 126, Art. 127 Abkommen), solange und soweit die EU-Kommission keine entsprechenden Angemessenheitsbeschlüsse gemäß Art. 45 Abs. 3 DSGVO bzw. Art. 36 Abs. 3 JI-Richtlinie erlassen hat (Art. 71 Abs. 2 Abkommen).

Bisher galt das UK also nicht als Drittland im Sinne von Kapitel V DSGVO. Bisher mussten daher also die besonderen Regelungen für Datentransfers ins EU-Ausland nicht angewendet werden. Nach dem Ablauf der Übergangszeit hat die EU-Kommission die das Vereinigte Königreich betreffende Angemessenheitsentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 JI-Richtlinie bisher nicht getroffen…

Die Empfehlungen der Datenschutzaufsichtsbehörden nach wird das Vereinigte Königreich nach dem Übergangszeitraum als Drittland zu behandeln sein – sofern keine Angemessenheitsentscheidungen erfolgen, werden also die Standardvertragsklauseln auch bei UK-Transferprozessen Einzug finden.

Hier können Sie die entsprechenden offiziellen Vertragstexte abrufen:

Deutsche Fassung: https://ec.europa.eu/info/sites/default/files/1_de_annexe_acte_autonome_cp_part1_v3.pdf

Englische Fassung:

https://ec.europa.eu/info/sites/default/files/1_en_act_part1_v5.pdf

Beratungsbedarf zu Standardvertragsklauseln oder Brexit?

Sie haben Fragen zu den neuen Standardvertragsklauseln oder zu Datenverarbeitung & Transfer ins Vereinigte Königreich?
Gerne beraten wir Sie umfassend bei der datenschutzkonformen Umsetzung in Ihrem Unternehmen.

Branchenexpertise3_Header_1600x800
Jetzt Gespräch vereinbaren
Schlagwörter: