EU-Kommission veröffentlicht neue Standardvertragsklauseln (SCC) für den internationalen Datentransfer
Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln für den internationalen Datentransfer (auch “Standard Contractual Clauses” – kurz ‚SCC’) angenommen und veröffentlicht. Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können. Als Drittstaaten gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.
Hintergrund
Die neuen Klauseln wurden lange erwartet, da die jetzigen Standardvertragsklauseln über 10 Jahre alt sind und somit weder die Voraussetzungen hinsichtlich Drittstaatentransfers der DSGVO noch das bedeutende Schrems II-Urteil vom 16.07.2020 berücksichtigen konnten. So war der Drittstaatentransfer problematisch geworden und nicht erst in letzter Zeit von den Aufsichtsbehörden, auch in Deutschland, ins Visier von Untersuchungen genommen worden (wir berichteten).
Was hat sich geändert?
Neu an den jetzt präsentierten SCC ist vor allem der Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster verteilt, sondern sie finden sich in einem Dokument wieder. Insofern werden sie in vier verschiedene „Module“ gegliedert. Dies soll eine flexible Vertragsgestaltung ermöglichen. Dafür soll das entsprechende Modul gemäß dem Verhältnis der Parteien ausgewählt werden. Folgende Module sind in den neuen SCC enthalten:
Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Inhaltlich neu ist darüber hinaus insbesondere eine Pflicht zur Datentransfer-Folgenabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.
Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Ausblick
Die veröffentlichten Dokumente sind die finalen Arbeitsdokumente. Mit der offiziellen Veröffentlichung der SCC wird in den nächsten Tagen im Amtsblatt der Europäischen Union zu rechnen sein. Ab diesem Zeitpunkt und innerhalb einer Frist von 18 Monaten müssen die bestehenden Verträge mit Partnern aus Drittstaaten, insbesondere bspw. Microsoft oder Amazon, um die neuen SCC ergänzt werden.
Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem oben genannten Urteil gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Letzteres sollte durch einen Fragenkatalog an den Verarbeiter im Drittstaat geschehen.
Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu ermöglichen.
Bei der Umsetzung der Einzelfallprüfung oder bei anderen Rückfragen bieten wir Ihnen jederzeit gerne unsere Unterstützung an.
UPDATE vom 09.06.2021: Mittlerweile wurden die neuen SCC im Amtsblatt der Europäischen Union veröffentlicht und sind hier zu finden.
