Endlich: Neue Standardvertragsklauseln der EU veröffentlicht!

Von am Juni 7, 2021

Am vergangenen Freitag, den 04. Juni 2021, hat die EU-Kommission dem internationalen Datenverkehr ein wichtiges Update verpasst: die neuen EU-Standardvertragsklauseln (Standard Contractual Clauses; SCC) wurden veröffentlicht. Bei den Standardvertragsklauseln handelt es sich um von der EU-Kommission anerkannte Musterverträge, die im internationalen Datentransfer eine große Bedeutung haben.

Hintergrund

Das Update war nach dem sog. Schrems-II-Urteil des Europäischen Gerichtshofes (EuGH) vom Juli 2020 dringend notwendig. Zur Erinnerung: In diesem Urteil hat sich der EuGH mit Übermittlungen personenbezogener Daten in Drittländer, dem EU-US Privacy Shield sowie SCCs befasst. Das Gericht erklärte die Regelungen des Privacy Shield für unwirksam und sieht die EU-Standardvertragsklauseln nur noch unter gewissen Voraussetzungen als rechtmäßige Grundlage für die Übermittlung personenbezogener Daten in Drittländer an. So ist selbst bei Abschluss von SCCs mit Anbietern in einem Drittland vor einer Übermittlung von Daten in das Drittland zu prüfen, ob das vom EU-Recht geforderte Schutzniveau in dem Zielland der Datenübermittlung eingehalten wird. Um das zu erreichen, müssen ggf. zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung) für die personenbezogenen Daten mit dem Datenimporteur vereinbart und regelmäßig überprüft werden. Mit dem Wegfall des Privacy Shields sind die SCCs zur wesentlichen Grundlage für den internationalen Datentransfer geworden.

Wesentliche Regelungsinhalte

  • Baukastenprinzip: Die neuen SCCs sind modular aufgebaut, sodass mehr Gestaltungsoptionen als bisher zur Verfügung stehen. Vorgesehen sind Module für die Übermittlungen personenbezogener Daten von a) Verantwortlichen an Verantwortliche, b) Verantwortlichen an Auftragsverarbeiter, c) von Auftragsverarbeitern an Auftragsverarbeiter oder d) von Auftragsverarbeitern an Verantwortliche.
  • Schrems-II-Klausel: Die vom EuGH in seinem Schrems-II-Urteil angemahnte Risikobewertung vor Datenübermittlungen in Drittländer, insbesondere hinsichtlich der Rechtsvorschriften und Gepflogenheiten im Empfängerland, die sich auf das Datenschutzniveau für die exportierten Daten auswirken können, ist ebenfalls in die SCCs aufgenommen worden. Aufgrund der detaillierten Hinweise zur Durchführung der Risikobewertung können die neuen SCCS hier für ein deutliches Mehr an Rechtssicherheit sorgen.
  • Pflichten bei staatlichen Zugriffen: Detailliert geregelt sind auch die Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten. Dazu gehört u.a. eine Benachrichtigungspflicht ggü. den betroffenen Personen und dem Datenexporteur. Selbst wenn es dem Datenimporteur aufgrund rechtlicher Bestimmungen untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so muss sich der Datenimporteur nach besten Kräften um eine Aufhebung des Verbots bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur muss zudem die Rechtmäßigkeit staatlicher Zugriffsversuche überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und ggf. rechtliche Schritte dagegen unternehmen.
  • Kopplungsklausel: Die neuen SCCs berücksichtigen, dass internationale Datenverarbeitungen immer komplexer werden und nachträglich Veränderungen hinsichtlich der beteiligten Parteien eintreten können. Eine optionale Klausel 7 sieht vor, dass jederzeit neue Beteiligte als Partei den SCCs beitreten können. Dies ist besonders für Fallgestaltungen gemeinsamer Verantwortlichkeit von Relevanz.

Handlungsempfehlung

Die gute Nachricht ist, dass die neuen Standardvertragsklauseln durch ihren modularen Aufbau mehr Verarbeitungssituationen berücksichtigen, sie endlich DSGVO-spezifisch formuliert sind und die Schrems-II-Rechtsprechung des EuGH berücksichtigt wurde. Das erleichtert den Abschluss neuer Verträge. Für bereits abgeschlossene SCCs gilt ein Übergangszeitraum von 18 Monaten, innerhalb dessen die alten Verträge durch die neuen Standardvertragsklauseln ersetzt werden müssen: Hier kommt also Arbeit auf Sie zu.

  1. Bestandsaufnahme: Verschaffen Sie sich einen Überblick, ob und in welchem Umfang personenbezogene Daten durch Ihr Unternehmen oder im Auftrag Ihres Unternehmens in einem Land außerhalb der EU/des EWR verarbeitet werden und auf welcher Rechtsgrundlage dies geschieht. Idealerweise haben Sie sich in Folge des Schrems-II-Urteils bereits einen Überblick hierüber verschafft. Hierbei können auch Subunternehmer von Relevanz sein, die in einem Drittland personenbezogene Daten verarbeiten.
  2. Erstellen der neuen Standardvertragsklauseln: Vereinbaren Sie mit Ihren Partnern den Abschluss der neuen Standardvertragsklauseln; aufgrund der modularen Struktur ist hier Sorgfalt geboten. Ferner müssen die entsprechenden Anhänge der SCCs ordnungsgemäß ausgefüllt werden. Neue Verträge sollten nur noch auf Grundlage der neuen Standardvertragsklauseln geschlossen werden, für Altverträge gilt der Übergangszeitraum von 18 Monaten.
  3. Durchführung der Risikobewertung: Bei der Erstellung der Risikobewertung für den internationalen Datentransfer können Sie den detaillierten Handlungsanweisungen in den Standardvertragsklauseln folgen.
  4. Dokumentation: Achten Sie darauf, dass Sie diese Schritte ordnungsgemäß dokumentieren, damit Sie Ihre Rechenschaftspflicht erfüllen.

Selbstverständlich unterstützen wir Sie gerne bei den anstehenden Herausforderungen in Sachen internationaler Datentransfer und Standardvertragsklauseln.

Schlagwörter:
Dr. Philip UeckerDr. Philip Uecker
Dr. Philip Uecker berät umfassend zu den Themen Gewerblicher Rechtsschutz und Datenschutzrecht. Herr Dr. Uecker ist Certified Information Privacy Professional Europe (CIPP/E) und Digital Legal Counsel (BUJ certified). Vor seiner Zeit als Rechtsanwalt bei McDermott war Herr Dr. Uecker als Syndikusrechtsanwalt im Data Protection Office einer großen deutschen Bank tätig. Während des Referendariats arbeitete er u.a. für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Bonn und war im Bereich Gewerblicher Rechtsschutz in einer international führenden Wirtschaftskanzlei in Düsseldorf und einer Boutique-Kanzlei in Mailand tätig.

FOLGE UNS

THEMENBEREICHE

ARCHIV