Skip to main content
Data Privacy

Neue Standardvertragsklauseln für den internationalen Datentransfer

By 10. March 2022No Comments

Einführung

Die Europäische Kommission (EU-Kommission) hat am 4. Juni 2021 neue Standardvertragsklauseln (SVK) veröffentlicht, die die bisherigen SVK ablösen. Diese regeln die Anforderungen an die Übermittlung von personenbezogenen Daten in sog. Drittländer, d.h. Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR), definieren also insbesondere die Rechte und Pflichten der Organisation, die die Daten übermittelt und der, die Daten (im Drittland) erhält. Da kaum ein Unternehmen mehr ohne die Dienste und technischen Mittel der US-Anbieter wie z.B. Microsoft, Salesforce, Google oder Facebook auskommt, dürfte das Update der SVK nahezu alle betreffen.

Vorgaben für den internationalen Datentransfer

Die Datenschutz-Grundverordnung (DSGVO) knüpft die Übermittlung personenbezogener Daten in Drittländer an strenge, klar definierte Bedingungen. Um ein angemessenes Schutzniveau für die von der Datenverarbeitung betroffenen Personen und ihre Daten zu gewährleisten, verlangt das Gesetz alternativ folgende Garantien:
  • einen sog. Angemessenheitsbeschluss, mit dem die EU-Kommission das angemessene Datenschutzniveau in dem Drittland festgestellt hat, oder
  • die Vereinbarung von Standarddatenschutzklauseln zwischen den Organisationen, die Daten transferieren, oder
  • die Verpflichtung des Datenimporteurs auf die Einhaltung sog. Binding Corporate Rules.
Liegt keine der genannten Garantien vor, muss – von engen Ausnahmefällen abgesehen – eine Einwilligung der betroffenen Person in die Datenübermittlung in ein Drittland eingeholt werden.

Die Schrems II-Entscheidung und ihre Folgen

Der Datenaustausch zwischen der EU und den USA auf Grundlage des sog. Privacy Shields – dem Angemessenheitsbeschluss der Kommission für die USA – wurde vom Europäischen Gerichtshof (EuGH) im Juli 2020 wegen Unwirksamkeit des Privacy Shields für unzulässig erklärt. Hierüber haben wir im August 2020 in unserem Newsletter Nr. 6 berichtet.
Für die zulässige Übermittlung und Verarbeitung von Daten in den USA blieb seit diesem Urteil regelmäßig nur der Rückgriff auf Standarddatenschutzklauseln, d.h. die Vereinbarung der bis dato geltenden SVK, wobei klar war, dass diese SVK veraltet und unzureichend waren. Der EuGH hatte daher – neben der Unzulänglichkeit des Privacy Shields – auch im letzten Sommer schon festgestellt, dass es im Zweifel zusätzlich zu dem Abschluss der SVK weiterer Maßnahmen zum Datenschutz bedürfte. Die EU-Richter verpflichteten Verantwortliche ausdrücklich dazu, bei jeder geplanten Datenübermittlung die Gesetzeslage in dem Drittland zu prüfen und für die Vereinbarung erforderlicher zusätzlicher Schutzmaßnahmen, etwa für den Schutz vor dem Zugriff staatlicher Behörden auf Daten, zu sorgen.

Die neuen SVK

Die bisherigen SVK sind vor der DSGVO erlassen worden und wurden nunmehr an den Wortlaut und die Anforderungen der DSGVO angepasst. Die neuen SVK sind modular aufgebaut und decken folgende Konstellationen des Datentransfers ab:
  • Modul 1: Verantwortlicher an Verantwortlichen
  • Modul 2: Verantwortlicher an Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Modul 4: Auftragsverarbeiter an Verantwortlichen
Vor allem die letzten beiden Konstellationen waren von den bisher geltenden SVK nicht erfasst. Zur Anwendung können die neuen SVK zudem jetzt auch dann kommen, wenn beide an dem Datentransfer beteiligten Einheiten, also Datenübermittler und Datenempfänger, nicht in der EU oder im EWR ansässig sind, gleichwohl aber unter den weiten territorialen Anwendungsbereich der DSGVO fallen, etwa weil sie EU-Bürgern ihre Waren und Dienstleistungen anbieten. Die neuen SVK entsprechen schließlich jetzt auch den Anforderungen an einen Auftragsverarbeitungsvertrag, so dass die Notwendigkeit zum Abschluss eines zusätzlichen Auftragsverarbeitungsvertrags entfällt.
Was bleibt, sind die Anforderungen aus der Schrems II-Entscheidung: Auch bei Verwendung der neuen SVK ist eine einzelfallbezogene Prüfung der Rechtslage im Drittland und ggf. die Ergreifung zusätzlicher ergänzender Maßnahmen erforderlich, damit ein angemessenes Datenschutzniveau in dem Drittland sichergestellt ist.
Die neuen SVK können Sie hier abrufen.

Umsetzungsfrist

Im Hinblick auf die Pflicht zur Umsetzung der neuen SVK gilt Folgendes: Bei Neuverträgen müssen ab sofort die neuen SVK zur Anwendung kommen. Bei Altverträgen müssen die bereits abgeschlossenen SVK innerhalb von 18 Monaten, also bis Dezember 2022 durch die neuen SVK ersetzt werden.

Prüfung durch die Aufsichtsbehörden angekündigt

Mehrere Aufsichtsbehörden, z.B. in Bayern, Baden-Württemberg, Hamburg und Rheinland-Pfalz, haben bereits angekündigt, durch entsprechende Fragebögen zu überprüfen, ob die Anforderungen der DSGVO und der Schrems II-Entscheidung an den internationalen Datentransfer eingehalten werden. Weitere Aufsichtsbehörden werden womöglich folgen. Unternehmen sollten sich daher auf den Erhalt der hier abrufbaren Fragebögen vorbereiten.

Praxisempfehlung

Verantwortliche und Auftragsverarbeiter sollten eine Bestandsaufnahme über die Datenübermittlungsvorgänge in Drittländer durchführen, das Vorhandensein geeigneter Garantien für den Datenschutz in den betroffenen Drittländern analysieren und eine Dokumentation darüber führen. Werden Mängel beim Vorhandensein geeigneter Garantien festgestellt, besteht dringender Handlungsbedarf. Zur Orientierung über die relevanten Fragen und Fallstricke können die angesprochenen Fragebögen der Aufsichtsbehörden dienen.

Hinweis

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.