Internationale Datentransfers – Anwendungsbereich der neuen Standardvertragsklauseln

von Kathrin Bernecker

Die in Folge der Globalisierung immer komplexer werdenden Datenverarbeitungsvorgänge sind für viele Unternehmen nicht zuletzt in datenschutzrechtlicher Hinsicht eine Herausforderung. Der Umstand, dass Datenverarbeitungen nicht zentral erfolgen, sondern oftmals in einer Übermittlungskette international verstreut stattfinden, erfordert einen genauen Blick auf die Möglichkeiten zur Legitimation. Daher bedarf es auch eines näheren Blickes in die neuen Standardvertragsklauseln und welche Möglichkeiten sie bieten. In folgendem Beitrag soll die Thematik um die sog. Weiterübermittlung von personenbezogenen Daten zwischen Auftragsverarbeitern außerhalb der EU beleuchtet werden. Weiterübermittlung bedeutet dabei im Gegensatz zur Übermittlung die Datenübertragung von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter.

Anwendungsbereiche der Standardvertragsklauseln

Mit MODUL 3 gibt es ein Vertragswerk, welches die Datenübermittlung von Auftragsverarbeitern an Auftragsverarbeiter legitimiert. Damit kann also eine Absicherung der Verarbeitungskette auch zwischen Auftragsverarbeiter und Unterauftragsverarbeiter erfolgen. Dabei sind einige Fallkonstellationen zu unterscheiden:

Die Erwägungsgründe der Europäischen Kommission zum Durchführungsbeschluss (EU) 2021/914 vom 04. Juni 2021 sehen vor, MODUL 3 anzuwenden, wenn der Auftragsverarbeiter in der EU sitzt und dieser die Daten an einen Unterauftragsnehmer in ein Drittland übermittelt (EG 9). Weiterhin sind in EG 7 die Fälle bedacht, in denen weder der Auftragsverarbeiter noch der Unterauftragsverarbeiter in der EU sitzen – jedoch nur dann, soweit die Verarbeitung dem Artikel 3 Abs. 2 DSGVO unterliegt. Das bedeutet, die DSGVO ist anwendbar, weil die Datenübermittlungen im Zusammenhang damit stehen, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten (lit. a) oder das Verhalten der betroffenen Personen zu beobachten, soweit dies in der Union erfolgt (lit. b). Soweit die Theorie.

Nicht von den Standardvertragsklauseln abgedeckte Bereiche

Befasst man sich jedoch näher mit den in der Praxis auftauchenden Konstellationen, gelangt man schnell zu dem Punkt, dass damit – jedenfalls nicht direkt – alle Anwendungsfälle abgedeckt sind.

Die Datenübermittlung eines Auftragsverarbeiters in einem Drittland an einen Unterauftragsverarbeiter in demselben oder in einem anderen Drittland muss – unabhängig vom Vorliegen eines Angemessenheitsbeschlusses nach Art. 45 DSGVO – davon gesondert betrachtet werden.

Hierzu stellt Art. 44 S. 1 Hs. 2 DSGVO umfassende Vorgaben auf, wenn es dort heißt, dass jede Weiterübermittlung von personenbezogenen Daten aus einem Drittland oder innerhalb des Drittlandes (vgl. dazu EG 101 zur DSGVO) nur zulässig ist, wenn die Bestimmungen der DSGVO eingehalten werden.

Diese Vorgabe kann man so interpretieren, dass zwar die Geschäftspartner im Drittland nicht zwingend allen Vorgaben der DSGVO unterliegen. Der Verantwortliche, der in der EU sitzt und damit der DSGVO unterliegt, jedoch auch für diese Weiterübermittlung die Verantwortung trägt. Das klingt auch bereits in Art. 28 Abs. 1 und Abs. 4 DSGVO an, wo die Daten den europäischen Raum noch nicht verlassen.

Konsequenzen

In der Konsequenz bedeutet das, dass eine Zusammenarbeit mit Unternehmen außerhalb der EU und ohne Angemessenheitsbeschluss nur dann begrüßt werden kann, wenn die Standardvertragsklauseln abgeschlossen werden – auf freiwilliger Basis.

Welche Folgen sich daraus für die Zusammenarbeit mit Unternehmen beispielsweise aus UK ergeben, wofür es einen Angemessenheitsbeschluss mit Ablaufdatum gibt, bleibt mit Spannung abzuwarten.

Mehr zum Thema der neuen Standardvertragsklauseln können Sie in diesem Blogbeitrag lesen!

Bei Fragen rund um die Thematik der internationalen Datentransfers und sonstigen Datenschutzrechtlichen Themen sind wir gerne behilflich! Verwenden Sie dazu einfach unser Kontaktformular. Telefonisch sind wir in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 erreichbar. Die Telefonnummer für unsere Niederlassung in München lautet +49 (0) 89 413 2943 – 0.

assets/images/d/kathrin-bernecker-6991d47d.jpeg
Kathrin Bernecker

Kathrin Bernecker studierte Rechtswissenschaften an der Ludwig-Maximilians-Universität München und der Universität Passau. Sie kann zwei juristische Staatsexamen vorweisen und spezialisierte sich nach ihrem Referendariat auf Datenschutzrecht. Ihre Erfahrung als Dozentin an der Universität Passau kommt unseren Kunden insbesondere bei Schulungen und Awareness-Trainings im Bereich Datenschutz und IT-Sicherheit zu Gute. Als Datenschutzbeauftragte steht sie unseren Kunden nicht nur mit ihrer juristischen Expertise sondern auch mit praxisnahen Lösungen zur Seite.