Zur ausführlichen Mandanteninformation: Die neuen Standarddatenschutzklauseln für Datenübermittlungen in Drittländer
Was ist passiert?
Bis zum vieldiskutierten „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Aktenzeichen: C-311/18) konnten Datenübermittlungen in die USA entweder auf das EU-US Privacy Shield oder insbesondere auf den Abschluss der alten EU-Standardvertragsklauseln („SCC“) gestützt werden. Am 16.07.2020 erklärte der EuGH mit dem sog. „Schrems II“-Urteil das Privacy Shield jedoch für unwirksam.
Außerdem hat der EuGH mit dem Urteil die für alle Datenübermittlungen in Drittländer geltenden Anforderungen konkretisiert. Hiernach genügt es nicht, bei Drittlandübermittlungen ohne sog. Angemessenheitsbeschluss die SCC abzuschließen oder auf Binding Corporate Rules („BCR“ = verbindliche, von den Aufsichtsbehörden genehmigte, interne Datenschutzvorschriften) abzustellen.
Vielmehr muss das Datenschutzniveau im Drittland vor Beginn der Datenübermittlung auf seine Angemessenheit nach europäischen Standards überprüft werden. Fehlt es an einem angemessenen Datenschutzniveau, sind vom Datenexporteur technische, vertragliche und organisatorische Maßnahmen zu treffen, um das zu kompensieren. Ist das nicht möglich müssen die Drittlandübermittlungen unterlassen bzw. eingestellt werden (ausführlich zum Urteil und den Folgen: EuGH kappt Datenübermittlungen in die USA, Schrems II in der Praxis: Handlungsmöglichkeiten bei Drittlandübermittlungen und Drittlandübermittlungen nach Schrems II: Europäischer Datenschutzausschuss veröffentlicht Empfehlungen).
Neue Standarddatenschutzklauseln: Warum?
Um zumindest einen Teil der sich aus Schrems II-Urteil ergebenden Anforderungen zu adressieren, hat die EU-Kommission am 04.06.2021 die finale Fassung der neuen Standarddatenschutzklauseln für Übermittlungen personenbezogener Daten an Drittländer („SDK“) veröffentlicht. Diese erlauben die Umsetzung der vom EuGH verlangten, zusätzlichen organisatorischen und vertraglichen Maßnahmen.
Hinweis: Die DSGVO spricht bei Drittlandübermittlungen von Standarddatenschutzklauseln, während Art. 28 Abs. 7 DSGVO bei der Auftragsverarbeitung Standardvertragsklauseln als Gestaltungsmöglichkeit nennt. Die EU-Kommission verwendet leider beide Begriffe gleichbedeutend. Richtig ist es, bei Drittlandübermittlungen von den alten SCC (Standardvertragsklauseln) und den neuen SDK (Standarddatenschutzklauseln) zu sprechen.
Was muss gemacht werden?
Die SDK bringen für Verantwortliche und Auftragsverarbeiter, die auf Drittlandtransfers angewiesen sind, arbeitsreiche Zeiten mit sich. Wir empfehlen dabei folgendes Vorgehen. Sollten Sie einzelne Schritte schon erledigt haben, beginnen Sie einfach später im vorgeschlagenen Vorgehen. Für eine detailliertere Darstellung siehe S. 15 ff. unserer ausführlichen Mandanteninformation: Die neuen Standarddatenschutzklauseln für Datenübermittlungen in Drittländer.
- Schritt: Bestandsaufnahme aller Datenübermittlungen – „Know your transfers“
- Schritt: Rechtsgrundlage für Drittlandübermittlungen erfassen
- Schritt: (ggf.) Anfrage an Datenimporteur nach SDK und Schutzmaßnahmen
- Schritt: Durchführung „Data Transfer Impact Assessment“ (TIA)
- Schritt: Bestimmen der Transferkonstellation(en)
- Schritt: Vervollständigung und Unterzeichnung der SDK durch den Datenimporteur
Bis wann muss das gemacht werden?
Der Beschluss tritt am 27.6.2021 in Kraft. Nach einer Übergangsfrist von drei Monaten sind ab dem 27.9.2021 für neue Datenübermittlungen ausschließlich die SDK zu nutzen, die SCC dürfen ab dann nicht mehr eingesetzt werden. Neue Drittlandübermittlungen, die noch auf die SCC gestützt werden, sind ab dann rechtswidrig. Für Bestandsübermittlungen in Drittländer gilt eine erweiterte Übergangsfrist von noch einmal 15 Monaten, insgesamt also 18 Monaten. Ab dem 27.12.2022 sind mithin auch alle vor dem Wirksamwerden der SDK begonnenen Drittlandübermittlungen auf die SDK umzustellen. Werden Altübermittlungen hiernach weiter auf die SCC gestützt, sind diese ebenfalls rechtswidrig.
Worauf ist zu achten?
- Die SDK sind modular aufgebaut. Damit können jetzt alle möglichen Transferkonstellationen mit den SDK abgebildet werden: Controller-to-Controller (Verantwortlicher an Verantwortlichen), Controller-to-Processor (Verantwortlicher an Auftragsverarbeiter), Processor-to-Processor (Auftragsverarbeiter an Auftragsverarbeiter – neu in den SDK), sowie Processor-to-Controller (Auftragsverarbeiter an Verantwortlichen – neu in den SDK).
- Durch den modularen Aufbau und die Nutzung der SDK für verschiedene Einsatzszenarien ist eine präzise Abbildung der jeweiligen Transfersituation in den Anhängen der SDK unerlässlich (vgl. S. 3 f. unserer Mandanteninformation). Verschärfend kommt hinzu, dass SDK nicht mehr nur zwischen Datenexporteur und Datenimporteuer abgeschlossen werden können, sondern auch mit mehreren Parteien zur Abbildung von Leistungsketten.
- Die SDK können in umfassendere Verträge einbezogen und durch zusätzliche Regelungen oder Garantien ergänzt werden. Allerdings dürfen die SDK nicht verändert werden, ansonsten entfällt die Garantiefunktion der SDK ( S. 4 unserer Mandanteninformation). Damit würden die SDK ihre Genehmigungswirkung verlieren und die Datenübermittlung ins Drittland rechtswidrig.
- Bei für eine Auftragsverarbeitung abgeschlossenen SDK ist ein zusätzlicher Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO nach dem Willen der EU-Kommission überflüssig ( S. 4 f. unserer Mandanteninformation).
- Die erweiterte Übergangsfrist von 18 Monaten gilt nur für solche Bestandsübermittlungen, bei denen zusätzlich zu den SCC auch die weiteren, vom EuGH formulierten Bedingungen zur Schaffung eines angemessenen Datenschutzniveaus gegeben sind. Wurden also zu den SCC keine zusätzlichen technischen, organisatorischen und vertraglichen Maßnahmen getroffen, obwohl ohne solche Maßnahmen das Schutzniveau beim Datenimporteur im Drittland (etwa in den USA) nicht hoch genug ist, besteht das Risiko, dass solche Altverträge schon bis zum 27.9.2021 auf die SDK umzustellen sind ( S. 2 unserer Mandanteninformation).
- Erwägungsgrund 7 legt fest, dass die SCC nicht bei Datenübermittlungen an Empfänger in Drittländern eingesetzt werden dürfen, die selbst wegen Art. 3 Abs. 2 DSGVO in den Anwendungsbereich der DSGVO fallen. Die EU-Kommission hat bereits die Veröffentlichung von FAQ zu den SDK in den kommenden Wochen angekündigt, welche u.a. diese Frage adressieren sollen ( S. 4 unserer Mandanteninformation).
Wer sind Ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Alle Ansprechpartner/innen erreichen Sie unter info@kremer-recht.de, 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).