Neue Standardvertragsklauseln für den internationalen Datentransfer und für Auftragsverarbeitungsverträge

Die Europäische Kommission hat am 04.06.2021 eine neue Version der sogenannten Standardvertragsklauseln („Standard Contractual Clauses“, kurz SCC) vorgelegt. Die finalen Fassungen der neuen Standarddatenschutzklauseln für „Übermittlungen personenbezogener Daten in Drittländer“ sowie „Standardvertragsklauseln für Auftragsverarbeitungsverträge für Verarbeitungen in der EU“ bringen nun zumindest etwas mehr Rechtssicherheit für Unternehmen.

Hintergrund

Aufgrund der sog. „Schrems 2 Entscheidung“ des Europäischen Gerichtshofes (EuGH, 16.7.2020 – C-311/18 “Schrems II“) wurde das EU-US-Privacy Shield-Abkommen für ungültig erklärt, sodass eine andere Rechtsgrundlage für die Datenübermittlung in die USA sowie weitere Handlungen bei Datentransfers in andere Drittländer nötig wurden. Zwar konnte man Datentransfers in Drittstaaten weiterhin durch Standardvertragsklauseln ermöglichen, jedoch kam durch das „Schrems 2-Urteil“ hinzu, dass man im Drittland prüfen musste, ob Rechte der Betroffenen in gleicher Weise geschützt werden, wie in der EU. Folglich war eine Datenübermittlung in Drittsaaten mit Zugriffsmöglichkeiten von Behörden auf die exportieren Daten unter Umständen nicht datenschutzkonform.

Seit dem Urteil des EuGH sind die SCC in Überarbeitung. Wir hatten bereits in unserem Beitrag  „NACH „SCHREMS II“ – BRINGEN AKTUALISIERTE STANDARDVERTRAGSKLAUSELN RECHTSSICHERHEIT FÜR DIE ÜBERMITTLUNG VON DATEN IN DIE USA?“ zum Hintergrund berichtet.

Berücksichtigung des Schrems 2 Urteils

Sowohl die Anforderungen des Schrems 2 Urteils sowie die Empfehlungen der Datenschutzbehörden wurden in die neuen Standardvertragsklauseln eingearbeitet. So sind Daten-Transfer-Folgenabschätzungen („Transfer Impact Assessment“, kurz TIA) verpflichtend. Daraus leitet sich die Pflicht heraus, zu prüfen, dass der Vertragspartner aus dem Drittland seinen Pflichten aus den Klauseln nachkommen wird. In den Klauseln 14 und 15 müssen die Vertragsparteien zusichern, dass Gesetze im Drittland den Datenimporteur nicht daran hindern, seine Pflichten aus den Standardvertragsklauseln nachzukommen.

Darüber hinaus verpflichten sich die Vertragsparteien, dass Datenimporteure Behördenanfragen, die den Anforderungen der DSGVO sowie den Standarddatenschutzklauseln widersprechen, ablehnen und gerichtlich gegen derartige Anfragen vorzugehen. Die Anfragen sind zu dokumentieren und sowohl den Auftraggebern als auch den zuständigen Datenschutz-Aufsichtsbehörden mitzuteilen.

Modularer Aufbau

Eine bedeutende Änderung erfahren die neuen Standardvertragsklauseln durch den neuen modularen Aufbau:

  • Modul 1: Verantwortlicher – Verantwortlicher. Dieses Verhältnis wurde bereits durch die alten Standardvertragsklauseln geregelt.
  • Modul 2: Verantwortlicher – Auftragsverarbeiter. Dieses Verhältnis wurde zwar auch bereits durch die alten Standardvertragsklauseln geregelt, jedoch werden nunmehr keine zusätzlichen Auftragsverarbeitungsverträge mehr benötigt (vgl. Art. 28 Abs. 7 DSGVO).
  • Modul 3: Auftragsverarbeiter – Unterauftragsverarbeiter. Die neuen SCC sehen bei “Kettenbeauftragungen” explizit auch diese Konstellation vor. Zu beachten ist, dass ein Abschluss eines zusätzlichen (Unter-)Auftragsverarbeitungsvertrages nicht erforderlich ist.
  • Modul 4: Auftragsverarbeiter – Verantwortlicher. Dieses Modul kommt in Betracht, wenn ein Unternehmen aus einem Drittland einen Auftragsverarbeiter in der EU beauftragt, personenbezogene Daten zu verarbeiten.

Umsetzungsbedarf für Unternehmen

Die finale Fassung der Standardvertragsklauseln sehen eine Übergangsfrist von 18 Monaten vor, sodass momentan kein akuter Handlungsbedarf für Unternehmen besteht, die noch alte Standardvertragsklauseln im Einsatz haben. Bereits geschlossene Standardvertragsklauseln gelten weiterhin und sollten innerhalb der Übergangsfrist durch die neuen Verträge ersetzt werden. Alle neu zu schließenden Verträge sollten ab sofort die neuen Standardvertragsklausen berücksichtigen.

MKM steht Ihnen mit Rat und Tat zu Seite

Unsere Praxisgruppe Internationaler Datenschutz unterstützt Sie bei der Erfüllung der neuen Pflichten und hilft Ihnen bei der Gestaltung sowie Ausarbeitung internationaler Datentransfers. Kontaktieren Sie uns bei Fragen und Anregungen Rechtsanwalt Fabian Dechent, Rechtsanwalt Sven Sperling und Kenan Tilki (LL.M.).