Ein Licht am Ende des Tunnels? Die neuen Standardvertragsklauseln zur Übermittlung personenbezogener Daten in Drittländer

Bei der Erstellung der neuen Standardvertragsklauseln hat die Europäische Kommission die Anforderungen der speziellen Normen für die Übermittlung personenbezogener Daten an Drittländer (Art. 44 ff. DSGVO) sowie die Anforderungen des Europäischen Gerichtshofs (EuGH) aus seinem Schrems-II-Urteil vom Juli 2020 zumindest teilweise berücksichtigt.

Die grundlegenden Voraussetzungen stellt Art. 46 Abs. 1 DSGVO auf: er verlangt, dass eine Datenübermittlung an ein Drittland nur dann erfolgen darf, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Darauf geht auch die Europäische Kommission in ihrem Durchführungsbeschluss vom 04.06.2021 explizit ein, indem sie klarstellt, dass solche Garantien in Form der Standardvertragsklauseln bestehen, die gem. Art. 46 Abs. 2 lit. c) DSGVO von der Kommission erlassen werden. Die zweite Voraussetzung, nämlich dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen müssen, ist davon jedoch nicht erfasst.

Daraus folgt, dass vor der Übermittlung der Daten ins Zielland eine Prüfung zu erfolgen hat, was das Datenschutzniveau im Zielland und die zur Verfügung stehenden Rechte und Rechtsbehelfe für die betroffenen Personen betrifft.

Begrüßenswert ist, dass in den neuen Standardvertragsklauseln Regelungen zur Haftung gegenüber der betroffenen Person enthalten sind. Zudem wurde ein Abschnitt integriert, der Regelungen v.a. im Falle von bindenden Ersuchen sowie im Falle des Zugangs von Behörden zu den Daten enthält.

Die Standardvertragsklauseln sind in vier Modulen verfügbar und können nun für die folgenden Konstellationen abgeschlossen werden:

Modul 1: Datenübermittlung zwischen Verantwortlichen

Modul 2: Datenübermittlung zwischen Verantwortlichen und Auftragsverarbeiter

Modul 3: Datenübermittlung zwischen Auftragsverarbeitern – damit ist die Datenübermittlung von einem Auftragsverarbeiter an seinen Unter-Auftragsverarbeiter abgedeckt.

Modul 4: Datenübermittlung zwischen Auftragsverarbeiter und Verantwortlichen – im Gegensatz zu Modul 2 fällt hier der Auftragsverarbeiter in den Anwendungsbereich der DSGVO und der Verantwortliche befindet sich in einem Drittland.

Die neuen Standardvertragsklauseln dürfen als solche nicht verändert werden. Können jedoch in einen umfangreicheren Vertrag eingebunden und um zusätzliche Garantien und/oder Klauseln erweitert werden, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Die neuen Standardvertragsklauseln können das Problem, nämlich den Konflikt mit nationalem Recht von Drittstaaten, nicht lösen. Das betrifft u.a. auch die Datenübermittlung in die USA. Dort ermöglicht z.B. der sog. Cloud Act, dass US-Geheimdienste unter bestimmten Voraussetzungen auf die personenbezogenen Daten von EU-Bürgern zugreifen, die in den USA verarbeitet oder übermittelt werden. Die Europäische Kommission weist im Erwägungsgrund 19 ausdrücklich darauf hin, dass „die Übermittlung und Verarbeitung von personenbezogenen Daten im Rahmen von Standardvertragsklauseln nicht erfolgen sollte, wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindert.“ In Erwägungsgrund 20 wird vorgeschlagen, dies über weitere Garantien einschließlich vertraglich vereinbarter technischer und organisatorischer Maßnahmen zu regeln.

Datenexportierende Unternehmen werden bei Übermittlungen in Drittstaaten im Einzelnen prüfen müssen, welchen Gesetze der Datenimporteur im Drittland und gegebenenfalls weitere Empfänger unterliegen und ob diese Gesetze, die von ihnen mit der Unterzeichnung der Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Es bleibt also weiter spannend.

Der Durchführungsbeschluss der Europäischen Kommission sieht für Datenübermittlungen, die auf die bisherigen Standardvertragsklauseln gestützt sind, eine Übergangsfrist von 18 Monaten, also bis Ende Dezember 2022, vor. In dieser Zeit müssen die Verträge auf die neuen Standardvertragsklauseln umgestellt werden. Neue Verträge, die jetzt erst abgeschlossen werden, sollen wenn möglich ab sofort auf die neuen Standardvertragsklauseln gestützt werden. Damit werden eine nochmalige Umstellung der Verträge und damit einhergehende erneute Vertragsverhandlung vermieden.

Für unsere Kunden behalten wir die neuesten Entwicklungen zu diesem Thema stets im Auge und gehen auf sie – als Verantwortliche – zu, wenn konkreter Handlungsbedarf besteht. Bei der Umsetzung der notwendigen Maßnahmen unterstützen und beraten wir unsere Kunden umfassend.

Wenn Sie Unterstützung bei der Anwendung der neuen Standardvertragsklauseln oder Beratung im Zusammenhang mit der Datenübermittlung in Drittstaaten benötigen, wenden Sie sich gern an uns. Wir beraten Sie gerne bei diesem, und allen weiteren Themen rund um den Datenschutz. Vereinbaren Sie einen Termin hier!