Datenübermittlung in Drittstaaten - Neue Standardvertragsklauseln
25. Juni 2021 | von Jakob Schlag
Die Europäische Kommission hat neue Standardvertragsklauseln für den Datentransfer in Drittstaaten erlassen. Die bisherigen Klauseln sind noch 18 Monate verwendbar.
Die Einführung der DSGVO hatte zum Ziel, ein einheitliches Datenschutzniveau innerhalb der EU zu schaffen, um gleiche Bedingungen („level playing field“) in einem harmonisierten digitalen Wirtschaftraum zu schaffen. Innerhalb der EU Mitgliedsstaaten und den EWR-Staaten (Norwegen, Island, Liechtenstein) gilt die DSGVO direkt und unmittelbar, wodurch grundsätzlich keine mitgliedsstaatlichen Grenzen mehr den Datenverkehr behindern. Für den Austausch personenbezogenen Daten mit Drittstaaten, also Staaten außerhalb der EU / EWR, trifft die DSGVO ebenfalls Regelungen, wie dieser legal durchgeführt werden kann, von denen die wichtigsten beiden nachfolgend erläutert werden:
1. Angemessenheitsbeschlüsse
Bei Drittstaaten, die ein substantiell gleichwertiges Datenschutzniveau bieten, kann die Europäische Kommission einen „Angemessenheitsbeschluss“ fällen. Dieser bestätigt das adäquate Datenschutzniveau und ist im Abstand weniger Jahre regelmäßig durch die Kommission zu überprüfen. Sofern ein solcher Angemessenheitsbeschluss besteht, können personenbezogene Daten in das Zielland zu den gleichen Bedingungen wie innerhalb der EU übertragen werden. Die aktuelle Liste der Angemessenheitsbeschlüsse findet sich hier ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_d
(Seite nur auf Englisch veröffentlicht).
2. Standardvertragsklauseln
Sofern die Datenübermittlung in einen Drittstaat erfolgen soll, für den kein Angemessenheitsbeschluss besteht – wie bei den USA - und es sich nicht um eine konzerninterne Übermittlung handelt, wird in der Regel auf die sogenannten „Standardvertragsklauseln“ zurückgegriffen.
Dieses Set an Klauseln wurde von der Europäischen Kommission veröffentlicht, um es inländischen Datenexporteuren zu ermöglichen, ein rechtssicheres Vertragswerk mit ausländischen Datenempfängern zu gestalten. Die bisher verwendeten Standardvertragsklauseln stammen noch aus den Zeiten vor Geltungsbeginn der DSGVO. Wegen der DSGVO und um die Rechtsprechung des EuGH im Zusammenhang mit dem privacy shield zu berücksichtigen, wurden jetzt neue Standardvertragsklauseln beschlossen.
Neu ist dabei, dass die Vertragsparteien vorab klären müssen, wie mit verpflichtenden Auskunftsanfragen von Behörden des Drittstaats umzugehen ist. Für den Fall von behördlichen Anfragen muss sich der Verarbeiter verpflichten, den Betroffenen über die Anfrage zu informieren. Sofern der Verarbeiter den Betroffenen nicht informieren darf, beispielsweise weil er gesetzlich daran gehindert wird, , muss er sich um Rechtsmittel bemühen. Dies wird in den neuen Standardvertragsklauseln festgelegt.
Die Standardvertragsklauseln müssen bei Ihrer Anwendung im Ganzen übernommen werden und dürfen in ihren Teilen nicht Verändert werden. Ergänzende Regelungen, welche die Sicherheit erhöhen bzw. konkretisieren sind jedoch möglich und teilweise sogar verpflichtend vorgesehen. Eine Einbettung der Klauseln in ein umfangreicheres Vertragswerk ist daher möglich.
Die bisher genutzten Standardvertragsklauseln können noch maximal 18 Monate genutzt werden und sollten daher zeitnah durch die neuen Standardvertragsklauseln ersetzt werden.
Auch wenn die Klauseln einheitlich genutzt werden sollen, können sie nicht ohne nähere Prüfung eingesetzt werden. Die von den Klauseln vorgesehenen Ergänzungen, wie z.B. zu den behördlichen Anfragen, machen weiterhin eine gewissenhafte Prüfung des Einzelfalls nötig.
Hierbei steht Ihnen das Team der Datenschutzbeauftragten unter dsb@ur.de gerne beratend zur Seite.
Quellen:
