Datentransfer in Drittstaaten – Entwurf neuer Standarddatenschutzklauseln

Das EU-U.S. Privacy Shield Abkommen wurde als Garantie für einen Datentransfer in die USA durch den Europäischen Gerichtshof (EuGH) gekippt (das sogenannte Schrems-II-Urteil). Wir haben darüber bereits in unserem Bericht vom 20. Juli 2020 informiert. Damit fiel eines der meistgenutzten Mittel zum US-Datentransfer weg. Sowohl bei der Übermittlung personenbezogener Daten in die USA also auch in alle anderen Drittländer, für die es keinen Angemessenheitsbeschluss gemäß Art. 45 DSGVO gibt, blieb nur noch die Verwendung der Standardvertragsklauseln. Hierbei handelt es sich um ein standardisiertes Vertragswerk, das Rechten und Pflichten von Auftragnehmer und Auftraggeber regelt. Das Ziel dieses Vertragswerks besteht darin, für die betroffenen Personen, deren Daten im Drittland verarbeitet werden, ein angemessenes Datenschutzniveau herzustellen.

Hintergrund

Der internationale Datentransfer gehört zur modernen und arbeitsteiligen Wirtschaft. Deshalb hat die EU-Kommission nun die Standarddatenschutzklauseln (früher Standardvertragsklauseln, Standard Contractual Clauses, SCC) als eine der möglichen Garantien für einen Drittstaatentransfer modernisiert und als Entwurf veröffentlicht. Das Ziel der EU-Kommission ist es, sicherzustellen, dass die neuen Standarddatenschutzklauseln (standard data protection clauses, SDPC) sowohl das Schrems-II-Urteil und die Empfehlungen des Europäischen Datenschutzausschusses (EDSA oder European Data Protection Board, EDPB) berücksichtigen als auch den tatsächlichen Realitäten des Geschäftslebens entsprechen. Darüber hinaus war ohnehin eine Aktualisierung notwendig, da die aktuellen Vertragswerke noch aus der Zeit vor der DSGVO stammen und dort ausdrücklich als Übergangslösung deklariert sind.

Alle Übermittlungssituationen berücksichtigt

Es soll nunmehr vier Module mit Anhängen geben, um (endlich!) zusätzliche Verarbeitungs- und Übermittlungssituationen abzudecken.

Modul 1: Die Übertragung zwischen zwei Verantwortlichen (Transfer controller to controller, C2C)

Modul 2: Die Übertragung zwischen Verantwortlichem und Auftragsverarbeiter (Transfer controller to processor, C2P)

Modul 3: Die Übertragung von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter (Transfer processor to processor, P2P)

Modul 4: Die Übertragung durch einen in der EU ansässigen Auftragsverarbeiter an einen Verantwortlichen in einem Drittstaat (Transfer processor to controller, P2C)

Nationale Gesetze dürfen Klauseln nicht unterlaufen

Es sollen Übermittlung und Verarbeitung der Daten nur erfolgen, wenn die Gesetze des Bestimmungsdrittlandes den Datenimporteur nicht daran hindern, die SDPC einzuhalten. Ansonsten müsste der Datentransfer gestoppt werden und der zuständige Mitgliedsstaat des Datenexporteurs unterliegt der Pflicht, die EU-Kommission zu unterrichten.

Welche ergänzenden Maßnahmen als ausreichend erachtet werden, bleibt abzuwarten.

Informationen an die betroffenen Personen

Während sowohl unter dem EU-U.S.-Privacy Shield als auch gemäß den Regelungen der alten Verträge betroffene Personen der Mitgliedsstaaten nicht über die behördlichen Zugriffsanfragen in den USA informiert wurden, wird nunmehr der Datenimporteur verpflichtet, die betroffenen Personen unverzüglich über derartige Anfragen zu informieren

Wenn dem Datenimporteur die Information der betroffenen Personen seitens der Behörde untersagt wird, hat er sich um eine Aufhebung der Untersagung zu bemühen und im Zweifel alle möglichen Rechtsmittel zur Anfechtung des Antrags auszuschöpfen.

Ausblick

Die EU-Kommission hat die Entwürfe der SDPC nun veröffentlicht und eine Frist bis zum 12.12.2020. eingeräumt, Stellungnahmen abzugeben. Es ist also gut möglich, dass der Entwurf noch geändert wird, bevor die Verabschiedung erfolgt.

Eine Vielzahl der nationalen Aufsichtsbehörden haben bereits angekündigt, das Thema der Drtittlandsübermittlung zukünftig zu einem Prüfungsschwerpunkt zu machen.

Fazit

Wir empfehlen den Verantwortlichen, das Thema ernst zu nehmen.

Es ist wichtig, dass Sie Ihre relevanten Übermittlungen in Drittstaaten kennen. Das ist gerade in größeren Unternehmen nicht immer einfach. Ein Blick in das Verzeichnis von Verarbeitungstätigkeiten kann dabei helfen. Im Anschluss ist zu bewerten, ob die derzeitig verwendete Rechtsgrundlage für die jeweiligen Übermittlungen herangezogen werden könnte. Dokumentieren Sie Ihre Prüfung und das Ergebnis. Im schlimmsten Fall muss die Empfehlung lauten: Verzichten Sie lieber auf eine Übermittlung , die nicht unbedingt notwendig ist, um dadurch ein drohendes Bußgeld zu vermeiden.

Ob die aktualisierten SDPC tatsächlich künftig problemlos für beliebige Übermittlungen in Drittstaaten verwendet werden können, bleibt abzuwarten. Es wäre wünschenswert, wenn hier endlich Klarheit geschaffen werden würde und nicht weiterhin jeder Drittstaat gesondert auf die konkrete rechtliche Situation vor Ort geprüft werden müsste.

Bei der Verwendung der Standardvertragsklauseln, wird die Einschätzung, welche weiteren Maßnahmen, die ggf. zu treffen sind, angemessen sind, zur Herausforderung für die Unternehmen. Schnell steckt man viel Arbeit in die Überlegungen und der anschließenden Umsetzung der Maßnahmen und liegt aber doch falsch damit. Das Risiko sinkt also auch zukünftig vermutlich nicht wirklich…

Übermittlung von Daten in Drittstaaten ist derzeit ein nicht zu unterschätzendes Risiko. Lassen Sie sich unbedingt zu diesen Datentransfers beraten! Wir unterstützen Sie gerne.