EU-Kommission verabschiedet DSGVO-Standardvertragsklauseln
Wie bereits in einem unserer vorherigen Meldungen dargestellt, hat die Übermittlung personenbezogener Daten in Staaten wie die USA zuletzt erhebliche Rechtsrisiken mit sich gebracht.
Die Rechtmäßigkeit der Datenübermittlung in Drittländer wird zum einen durch eine taugliche Rechtsgrundlage und zum anderen durch ein angemessenes Schutzniveau des Empfängers im Drittland sichergestellt. Fehlt es an einem solchen Schutzniveau des Landes, kann dies durch geeignete Garantien (z.B. Standardvertragsklauseln) ersetzt werden. Mithilfe dieser Klauseln verpflichten sich beide Vertragsparteien zur Einhaltung eines bestimmten Datenschutzniveaus.
Nachdem der EuGH im Schrems-II-Urteil vom 16.07.2020 (Rs. C-311/18) den „Privacy-Shield“ für unwirksam erklärte und auf die Verwendung von Standardvertragsklauseln hingewiesen hat, herrschte in vielen Unternehmen Unsicherheit, wie die von der EU-Kommission geforderten Schutzmaßnahmen konkret umgesetzt werden sollten.
Die EU-Kommission hat nun am 04.06.2021 neue Standardvertragsklauseln präsentiert, die bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat sie auch die Anforderungen der DSGVO sowie die Vorgaben aus dem Schrems-II-Urteil berücksichtigt.
Die neuen Standardvertragsklauseln sind modular aufgebaut. Für jede der folgenden Situationen nehmen sie eine unterschiedliche Form an:
- EU-Verantwortlicher und Auftragsverarbeiter im Drittland
- EU-Verantwortlicher und Verantwortlicher im Drittland
- EU-Auftragsverarbeiter und Verantwortlicher im Drittland
- EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland
Für die beiden letztgenannten Varianten liegen nunmehr zum ersten Mal Standardvertragsklauseln vor.
Auch diese neuen Klauseln können allerdings etwaige Konflikte mit dem nationalem Recht von Drittstaaten in letzter Konsequenz nicht abschließend lösen. Die EU-Kommission weist in ihrem Beschluss zu den „Standarddatenschutzklauseln“ sogar ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Basis der „Standarddatenschutzklauseln“ nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten.
Datenexportierende Unternehmen werden also in aller Regel selbst auf Grundlage der neuen „Standarddatenschutzklauseln“ nicht umhinkommen, für sämtliche darauf gestützte Übermittlungen in Drittländer im Einzelnen zu prüfen, welchen Gesetzen der jeweilige Datenimporteur im Drittland und etwaige weitere Empfänger unterliegen und ob diese Gesetze die von ihnen mit Unterzeichnung der „Standarddatenschutzklauseln“ gegebenen Garantien beeinträchtigen. In Bezug auf z.B. die USA ist diese Prüfung eine Mammutaufgabe.
Die offizielle Version der Klauseln wird in den nächsten Tagen im EU-Amtsblatt veröffentlicht. Ab dann läuft für die Unternehmen eine 18-monatige Übergangsfrist; bis dahin müssen alle bislang abgeschlossenen Klauseln durch die neue Version ersetzt sein.
Unternehmen sollten nun prüfen, welche personenbezogenen Daten sie aufgrund von Standardvertragsklauseln in Drittländer übermitteln und so schnell wie möglich die Standardvertragsklauseln abschließen bzw. überarbeiten.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor
Roland C. Kemper, Rechtsanwalt, Attorney-and-Counselor-at law (New York), Master of Laws in International and Comparative Law (George Washington), Master of Science in Management (London School of Economics), Zertifizierter Mediator