Neue Standarddatenschutzklauseln für Datenübermittlungen in Drittländer

Hintergrund

Mit Beschluss vom 4.6.2021 gab die Europäische Kommission die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer bekannt. Diese sollen am 27.6.2021 in Kraft treten und die bisherigen Standardvertragsklauseln der EU ablösen. Mit diesen neuen Standarddatenschutzklauseln sollen gleich mehrere Probleme gelöst werden.

Keine zusätzliche Vereinbarung zur Auftragsverarbeitung mehr erforderlich

Da die alten Standardvertragsklauseln noch aus Zeiten vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) stammten, enthielten diese nicht alle erforderlichen Regelungen der DSGVO. Insbesondere bei einer Übertragung von Daten von einem Verantwortlichen an einen Auftragsverarbeiter war daher neben den Standardvertragsklauseln noch ein weiterer Vertrag, eine Vereinbarung zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO, erforderlich. Die neuen Standarddatenschutzklauseln enthalten alle erforderlichen Regelungen, sodass in der Regel nur noch diese eine datenschutzrechtliche Vereinbarung zwischen den Parteien erforderlich sein wird.

Alle vier möglichen Datenübertragungen berücksichtigt

Die alten Standardvertragsklauseln regelten nur zwei verschiedene Übertragungskonstellationen: zum einen die Übertragung zwischen zwei Verantwortlichen und zum anderen die Übertragung von einem Verantwortlichen an einen Auftragsverarbeiter. Dies führte in der Praxis häufig zu komplizierten vertraglichen Konstellationen, wenn ein in Europa ansässiger Auftragsverarbeiter Daten an einen Unterauftragnehmer in einem Drittland übermitteln sollte. Diese Problematik wird nun gelöst, da die neuen Standarddatenschutzklauseln modular aufgebaut sind und folgende Datenübertragungen regeln:

  • Modul 1: Datenübertragung von einem Verantwortlichen an einen anderen Verantwortlichen
  • Modul 2: Datenübertragung von einem Verantwortlichen an einen Auftragsverarbeiter
  • Modul 3: Datenübertragung von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter
  • Modul 4: Datenübertragung von einem Auftragsverarbeiter an einen Verantwortlichen

Umsetzung der Anforderungen aus dem Schrems-II-Urteil

Mit den neuen Standarddatenschutzklauseln werden außerdem die Anforderungen des Europäischen Gerichtshofs (EuGH) aus seinem sogenannten Schrems-II-Urteil umgesetzt, mit dem er das Privacy-Shield-Abkommen zwischen den USA und der EU aufhob, auf dessen Grundlage bis zu diesem Zeitpunkt eine Datenübertragung in die USA ermöglicht wurde.

In den neuen Standardvertragsklauseln finden sich nun Regelungen, die die Vertragspartei im Drittland dazu verpflichten, gegen staatliche Zugangs- und Offenlegungsversuche vorzugehen. Dennoch bleibt es Aufgabe der Parteien, vor der Unterzeichnung eine Folgenabschätzung durchzuführen, die sich aus der Drittlandübermittlung ergibt. Dabei müssen von den Parteien insbesondere

  • der Zweck der Verarbeitung,
  • die Kategorien der personenbezogenen Daten,
  • die Anzahl der Subunternehmer und die Übermittlungskanäle in der Datenkette,
  • der Speicherort,
  • die technischen und organisatorischen Maßnahmen sowie
  • die gesetzlichen Bestimmungen und Gepflogenheiten in dem Drittland

berücksichtigt und dokumentiert werden.

Was müssen Unternehmen jetzt tun?

Die alten Standardvertragsklauseln sind von Unternehmen innerhalb der Übergangszeiten zu ersetzen. Für neue Verträge sind die alten Standardvertragsklauseln nur noch bis zum 27.9.2021 anwendbar. Verträge, die danach mit diesen alten Klauseln unterzeichnet werden, sind unwirksam. Eine Datenübertragung in ein Drittland auf dieser Grundlage wäre daher dann rechtswidrig.

Für Verträge mit den alten Standardvertragsklauseln gibt es eine endgültige Übergangsfrist bis zum 27.12.2022. Bis zu diesem Zeitpunkt müssen für alle bestehenden Datenübermittlungen in ein Drittland die neuen Standarddatenschutzklauseln abgeschlossen werden.

Wir empfehlen allen Unternehmen, sich frühzeitig mit dieser geänderten Rechtslage auseinanderzusetzen und die eigenen Datenübertragungen in Drittländer zu überprüfen. Als Datenübertragungen in Drittländer zählen dabei auch solche Verhältnisse zu Dienstleistern, die eine Datenspeicherung innerhalb der EU versprechen, selbst aber aus einem Drittland Zugriffsmöglichkeiten auf diese Server erhalten können.

Gerne unterstützen wir Sie bei dieser Prüfung und dem anschließenden Abschluss der richtigen Standarddatenschutzklauseln.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink