Neue EU- Standardvertragsklauseln für Datentransfer

Die Übermittlung personenbezogener Daten in Drittländer ist nur bei Erfüllung strenger Voraussetzungen zulässig. Zahlreiche Unternehmen greifen zur Absicherung auf EU- Standardklauseln zurück.

Nun hat die Europäische Kommission deren Formulierung an die Datenschutz-Grundverordnung angepasst und zugleich eine Übergangsfrist definiert, was viele Unternehmen zum Handeln zwingt.

Mehr Rechtssicherheit für Datentransfers

„Die modernisierten Standardvertragsklauseln bieten Unternehmen ein nützliches Instrument, um sicherzustellen, dass sie die Datenschutzvorschriften einhalten, sowohl für ihre Aktivitäten innerhalb der EU als auch für internationale Datenübermittlungen“,

so Kommissionsvizepräsidentin Vera Jourová.

Die neuen Instrumente bieten europäischen Unternehmen mehr Rechtssicherheit und helfen insbesondere kleinen und mittleren Unternehmen (KMU), die Anforderung an eine sichere Datenübermittlung zu erfüllen. Aber nicht nur den Unternehmen kommen die neuen Regelungen zugute – auch stellen sie sicher, dass die Daten der Bürger geschützt werden.

Was sind Standardvertragsklauseln?

Bei sogenannten Standardvertragsklauseln handelt es sich um gesetzlich anerkannte Musterverträge. Schließen der Datenexporteuer und der Datenimporteur einen Vertrag unter Verwendung der Standardklauseln der EU-Kommission, ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde zulässig (vorbehaltlich der Berücksichtigung weiterer Anforderungen nach der DSGVO). Auch Großunternehmen wie Google, Facebook oder Amazon verarbeiten Daten von EU-Bürgern auf deren Grundlage.

Werden also Kundendaten auf dem Server eines Anbieters in einem Drittland, wie der USA, gespeichert oder wird dem Anbieter der Zugriff auf diese Daten gewährt, muss mit diesem Anbieter ein Vertrag auf Grundlage der Standardvertragsklauseln geschlossen werden. Damit verpflichtet sich der Anbieter dann, das EU-Datenschutzniveau bei der Verarbeitung der maßgeblichen Daten einzuhalten.

Vorteile der neuen Standardvertragsklauseln

Nun sind die Klauseln an die DSGVO angepasst worden und beziehen auch die Privacy Shield- Rechtsprechung vom Europäischen Gerichtshof (EuGH, Urteil v. 16.07.2020, Az. C 311/18) mit ein. Das Privacy Shield war ein Selbstverifizierungsverfahren für US-Unternehmen, womit sich die einzelnen Unternehmen auf die Einhaltung des EU-Datenschutzes verpflichten konnten. Damit konnten die nach den Vorgaben des Privacy Shield selbstzertifizierten US-Unternehmen genauso behandelt werden, wie EU-Unternehmen. Insbesondere musste der US-Datentransfer nicht besonders geprüft werden. Der transatlantische Privacy Shield, eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA, wurde durch den EuGH für unwirksam erklärt. So enthalten nun insbesondere die Klauseln 14 und 15 spezielle Sicherheitsmaßnahmen diesbezüglich. Insoweit setzten die Richter aber auch eine hohe Hürde für den Einsatz von Standardvertragsklauseln. So muss jeder Exporteur sicherstellen, dass die von der EU-Kommission bereitgestellten Standardvertragsklauseln (SCC) im konkreten Fall von dem Datenimporteuer auch faktisch eingehalten werden können und, dass bei Bedarf zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergriffen werden.

Die neuen Standardvertragsklauseln tragen den Erwägungen des Europäischen Gerichtshofs insoweit Rechnung, als dass sie spezifische Garantien für den Fall vorsehen, wenn Rechtsvorschriften im Empfängerland die Einhaltung der Klauseln durch den Datenimporteur beeinträchtige könnten. Insoweit bestehen nun konkrete Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten. Außerdem ist seit der Einführung der neuen Standardklauseln explizit geregelt, dass – sollten die Rechtsvorschriften des Bestimmungsdrittlandes den Datenimporteuer an der Einhaltung der Klauseln hindern – keine Übermittlung im Rahmen von Standardvertragsklauseln erfolgen darf. Ein weiterer Vorteil ist, dass ein Vorrang der Standardvertragsklauseln festgesetzt wurde, sodass die Klauseln widersprechende Vertrags- oder AGB-Klauseln verdrängen. Weiter darf die Haftung der Vertragsparteien beispielsweise nicht durch externe Haftungsausschlüsse in Allgemeinen Geschäftsbedingungen eingeschränkt werden.

Neue Klauseln sind abrufbar – Übergangsfrist berücksichtigen!

Die Veröffentlichung der angepassten EU-Standardvertragsklauseln erfolgte im EU-Amtsblatt. Ab dem 27.06 2021 können zum einen die neuen Standardvertragsklauseln verwendet werden und zum anderen beginnt ab diesem Zeitpunkt eine Übergangsfrist von 18 Monaten, in der die Verträge mit den „alten“ Standardklauseln noch wirksam sind. Diese Frist betrifft sämtliche Organisationen, die Standardvertragsklauseln zur Absicherung ihrer Datentransfers einsetzen. Sie sind dazu aufgefordert, ihre bestehenden Vertragswerke um die neuen Klauseln zu aktualisieren.

Stützen Unternehmen sich bei der internationalen Übermittlung personenbezogener Daten auf die EU-Standardvertragsklauseln, gilt es die betroffenen Verträge entsprechend anzupassen. Und Vorsicht: Dabei handelt es sich nicht lediglich um Datentransfers an Dienstleister, sondern oft auch um konzerninterne Datenübermittlungen, beispielsweise dann, wenn die Tochtergesellschaft außerhalb der EU niedergelassen ist.

Schutz für Daten und Bürger

Die neuen Klauseln sollen zum einen die Entwicklung der vergangenen Jahre in der digitalen Wirtschaft sowie die zunehmende Komplexität der Verarbeitungsvorgänge berücksichtigen. Gerade in einer immer moderneren und digitalen Welt, ist es wichtig, dass Daten immer mit dem nötigen Schutz weitergegeben werden können und das nicht nur innerhalb, sondern auch außerhalb der EU! Die verschärften Klauseln geben den Unternehmen mehr Sicherheit und Rechtssicherheit für die Datenübermittlung – vor allem aber stellen sie eine Hilfe dar, um die Datenschutz-Grundverordnung einzuhalten. Weiter bekommen vor allem kleine und mittlere Unternehmen mehr Flexibilität in der Gestaltung der Datentransfers in ein Drittland – so standen bisher für manche Konstellationen überhaupt keine Standardklauseln zur Verfügung.

Allerdings geht auch mit den neuen Klauseln mehr Zeitaufwand einher, den die Unternehmen aufbringen sollten. Denn es wird vorausgesetzt, dass sich die Parteien auch Gedanken über den Schutz personenbezogener Daten nach der Übermittlung machen, wenn nötig zusätzliche Maßnahmen ergreifen, vor allem aber den gesamten Prozess dokumentieren, um die Daten dauerhaft sicherzustellen. Außerdem wird eine dauerhafte Auseinandersetzung mit dem Drittlandstransfer gefordert – Unternehmen sind verpflichtet, Umstände, die sich auf den Schutz personenbezogener Daten auswirken können, dauerhaft im Blick zu behalten und im Notfall auch zu reagieren. Die Reaktionen können auch darin liegen, dann schnellstmöglich zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen und notfalls den Datentransfer gänzlich zu stoppen.

„schnelle“ Umsetzung gefällig!

Verantwortliche und Auftragsverarbeiter sollten ihre bestehenden Verträge und Vertragsverhältnisse prüfen und die neuen Standardvertragsklauseln zeitnah in die Wege leiten – 18 Monate vergehen schneller, als man denkt! Ein Problem bleibt jedoch, denn die neuen Klauseln lösen nicht die Problematik der Einzelfallprüfung, da laut EuGH gegebenenfalls zusätzliche Schutzmaßnahmen implementiert werden müssen.