Neue Standardvertragsklauseln – Neue Regeln bei EU-Datentransfers
Es gibt Neuigkeiten beim internationalen Datenverkehr von personenbezogenen Daten. Die Europäische Kommission hat die sogenannten Standardvertragsklauseln überarbeitet und diese an an die DSGVO angepasst. Im heutigen Beitrag erklären wir Ihnen, was es mit den neuen Standardvertragsklauseln auf sich hat, wie diese aufgebaut sind und was Sie beachten müssen. Besonders möchten wir darauf eingehen, ob die neuen Standarddatenschutzklauseln bzw. Standardvertragsklauseln (SCC) der EU-Kommission den Datenexport personenbezogener Daten in Drittländer, z.B. USA, nun rechtfertigen können.
Besonders relevant für EU-Datentransfers in Drittländer
Wie wir im Rahmen des sog. Schrems-II-Urteils berichteten, war es seit dem Urteil des EuGH kritisch, personenbezogene Daten in Drittländer zu exportieren, und dabei die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu erfüllen.
Für andere sog. Drittländer gelten Angemessenheitsbeschlüsse der EU-Kommission. Darunter gehören z.B. Länder wie Israel, Japan und Kanada. Jedoch nicht die USA – daher gab es das EU-U.S.-Privacy-Shield-Abkommen, dass mit dem o.g. EuGH-Urteil vom 16. Juli 2020 als gültige Rechtsgrundlage für den Datentransfer in die USA gekippt wurde. In der Zwischenzeit hatten sich Unternehmen mit dem Abschluss „veralteter“ EU-Standardvertragsklauseln (SCC) beholfen. Die zuletzt genutzten Standardvertragsklauseln (SCC) waren aus dem Jahr 2010. – Grund genug also für die EU-Kommission, diese Standardvertragsklauseln (SCC) für den Datenexport post Schrems-II anzupassen.
Neue Standardvertragsklauseln (SCC) verpflichtend
Lange haben alle Beteiligten darauf seit Juli 2020 gewartet und glücklicherweise wurden die neuen Standarddatenschutzklauseln bzw. Standardvertragsklauseln (SCC, standard contractual clauses) am 7. Juni 2021 im Amtsblatt der Europäischen Union veröffentlicht. Diese neuen Standadvertragsklauseln (SCC) berücksichtigen somit die Anforderungen der DSGVO sowie das sog. Schrems-II-Urteil des EuGH (siehe Einleitung oben).
Nach der Veröffentlichung der Standardvertragsklauseln (SCC) haben Organisationen noch drei Monate lang Zeit, Ihre Datenübertragungen in Drittstaaten ohne angemessenes Datenschutzniveau (z.B. USA) mit den alten Standardvertragsklauseln (SCC) zu übertragen.
Nach 18 Monaten müssen auch die alten Standardvertragsklauseln (SCC) auf die neuen umgestellt worden sein.
Modularer Aufbau der Standardvertragsklauseln (SCC)
Bisher gab es drei separate Sets an Standardvertragsklauseln (SCC) aus den Jahren 2001, 2004 und 2010. Die neuen Standardvertragsklauseln (SCC) sind alle in einem Werk zusammengefasst und sind modular aufgebaut, um verschiedenste Vertragsbeziehungen beim internationalen Datenverkehr personenbezogener Daten abzubilden
• C2C (Controller-to-Controller, Verantwortlicher zum Verantwortlichen)
• C2P (Controller-to-Processor, Verantwortlicher zum Auftragsverarbeiter)
• P2P (Processor-to-Processor, Auftragsverarbeiter zum Auftragsverarbeiter)
• P2C (Processor-to-Controller, Auftragsverarbeiter zum Verantwortlichen)
Die C2C-Standardvertragsklauseln sind weitestgehend unverändert gegenüber den alten Versionen, aber dafür detaillierter ausgestaltet. Die C2P-Standardvertragsklauseln enthalten Anforderungen an die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO. Die P2P-Standardvertragsklauseln sind neu und wurden lange von den Beteiligten gefordert. Die P2C-Standardvertragsklauseln könnten ein Wettbewerbshindernis für EU-Auftragsverarbeiter sein.
Und was ist nun zu tun?
Angelehnt an den Satz „Knun?ow your customer“ müssen Organisationen, die in einer oder mehrerer der zuvor genannten Konstellationen personenbezogene Daten im Rahmen von Datenexporten oder Datenimporten verarbeiten, das Prinzip „Know your transfers“ anwenden. Wie im Datenschutzmanagement üblich, sollten Organisationen Verzeichnisse ihrer Verarbeitungstätigkeiten gemäß Art. 30 DSGVO führen, um ihren Rechenschaftspflichten nachkommen zu können. Auch wenn nicht die formalen Anforderungen bestehen (z.B. Unternehmensgröße ab 250 Mitarbeitenden) ist es empfehlenswert zu wissen, welche personenbezogenen Daten unter der Anwendbarkeit der DSGVO wie und wo verarbeitet werden und wer weitere Empfänger dieser Daten sind.
Dafür eignet sich das sog. Transfer Impact Assessment (TIA), sozusagen eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment) für den Datenexport in Drittländer bzw. auch den Datenimport aus Drittländern. Bei dem TIA muss das Rechtsniveau im Drittland beurteilt und dokumentiert werden und auf Anfrage den Aufsichtsbehörden für Datenschutz zur Verfügung gestellt werden.
Auf alle beteiligten Organisationen kommt viel Arbeit zu
Nun kommt wieder Arbeit für alle an internationalen Datentransfers beteiligten Organisationen zu, Ihre Datenübertragungen auf die neuen EU-StandardvertragsklauselnIn (SCC) umzustellen. Dabei sind wir aus europäischer Perspektive vor allem von den allseits bekannten Big Five Tech-Unternehmen Facebook, Alphabet, Amazon, Microsoft und Google (FAAMG) abhängig. – Werden diese Unternehmen Vorreiter darin sein, die Standardvertragsklauseln (SCC) in ihre Verträge aufzunehmen? – Wir dürfen gespannt bleiben.