Die EU-Kommission hat am 04.06.21 neue Standardvertragsklauseln („SCC“ oder „Standarddatenschutzklauseln“) beschlossen und reagiert damit auf die Erwägungen des Schrems-II-Urteils für Drittstaatenübermittlungen. Die neuen Standarddatenschutzklauseln lösen dabei die bislang noch geltenden Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittstaaten ab.
Hintergrund
Mit Urteil vom 16.07.2020, Rechtssache C-311/18 („Privacy Shield-Urteil“), hat der Europäische Gerichtshof (EuGH) das zwischen der EU-Kommission und den USA verhandelte EU-US-Privacy Shield („Privacy Shield“) für ungültig erklärt und Datenübermittlungen auf Grundlage der EU-Standarddatenschutzklauseln als zwar weiterhin gültig angesehen, jedoch unter der Vorgabe, dass der Datenexporteur im Einzelfall prüfen müsse, ob die Umstände der Übertragung und ggf. weitere mögliche Schutzmaßnahmen im Drittstaat ein angemessenes Schutzniveau sicherstellten.
Was ist neu an den Standarddatenschutzklauseln?
Die neuen Standarddatenschutzklauseln sehen eine Reihe von Änderungen vor. Während es früher nur SCC für die Datenübermittlung eines EU-Verantwortlichen zu einem Nicht-EU-Auftragsverarbeiter (C2P[1]) und zu einem Nicht-EU-Verantwortlichen gab (C2C), sind nun im Rahmen eines modularen Aufbaus folgende Konstellation umfasst:
- Datenübermittlungen zwischen Verantwortlichen (C2C)
- Datenübermittlung eines EU-Verantwortlichen an einen Nicht-EU-Auftragsverarbeiter (C2P)
- Datenübermittlungen von EU-Auftragsverarbeitern an Nicht-EU-(Unter)-Auftragsverarbeiter (P2P)
- Datenübermittlungen von EU-Auftragsverarbeitern an einen Nicht-EU-Verantwortlichen (P2C)
Um die Einhaltung der Klauseln nachzuweisen, müssen die Parteien daher künftig eine Risikoabwägung vornehmen und einschätzen, inwiefern die zu übermittelnden Daten im Zielland z.B. einem Behördenzugriff ausgesetzt werden. Für diese Prüfung, die sogenannte „TIA“ (transfer impact assessment), wird in der Regel eine umfassende Bewertung der Rechtslage im Zielland erforderlich sein, die auch gegenüber den Aufsichtsbehörden nachgewiesen werden muss.
Das „blinde“ Unterzeichnen des Vertrags wird daher in Zukunft nicht ausreichen, um eine anerkannte Rechtsgrundlage für die Datenübermittlung in Drittstaaten zu schaffen; dies gilt insbesondere für Übermittlungen in die USA.
Die Klauseln werden nach einer Übergangsfrist die bisherigen Standarddatenschutzklauseln ablösen, deshalb besteht zeitiger Handlungsbedarf für Verantwortliche und Auftragsverarbeiter.
Unsere Empfehlung
Die neuen Standarddatenschutzklauseln sind zum 27.06.21 in Kraft getreten, womit die alten Vertragssets als aufgehoben gelten. Die Nutzung der bisherigen Verträge ist (theoretisch) noch drei Monate nach in Kraft treten (bis zum 27.09.21) möglich, allerdings nicht empfehlenswert. Für alle Verträge nach der alten Vorlage gilt eine Übergangsfrist bis zum 27.12.22. Zu diesem Zeitpunkt verlieren alle Verträge nach dem alten SCC-Muster ihre Gültigkeit und müssen durch die nun beschlossene Vertragsvorlage ersetzt werden.
Unternehmen sollten daher folgende Maßnahmen ergreifen:
- Analyse der Drittstaatenübermittlungen (auch bei Subunternehmern), sofern dies nicht schon im Anschluss an das Schrems-II-Urteil geschehen ist und die Ergebnisse noch aktuell sind.
- Vorbereitung der Verträge: die neuen SCC müssen aus den Modulen zusammengebaut werden und über die Aufnahme einzelner Klauseln muss eine Entscheidung getroffen werden.
- Vornahme der TIA: die Risikoabwägung muss vorgenommen und dokumentiert werden, bevor die neuen Verträge abgeschlossen werden können.
Weitere Informationen finden Sie auch auf den Seiten der EU-Kommission unter: Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter in der EU / im EWR | EU-Kommission (europa.eu)
[1] Erläuterung: C = Controller (Verantwortlicher im Sinne der DS-GVO, P = Processor (Auftragsverarbeiter im Sinne der DS-GVO)