Internationale Datentransfers Teil 1: Standardvertragsklauseln
Im Rahmen unserer letzten Blogreihe haben wir uns eingehend mit dem aktuellen Status des Datenschutzes in den USA auseinandergesetzt. In diesem Artikel möchten wir den Faden aufnehmen und vertiefend auf die komplexe Thematik der internationalen Datenübermittlungen eingehen. Dabei beleuchten wir die rechtlichen Rahmenbedingungen, aktuelle Entwicklungen und die praktischen Auswirkungen für Unternehmen und Verbraucher. Gestartet wird die neue Reihe der Datenschutz-Basics mit einem Blick auf Standardvertragsklauseln.
Werden personenbezogene Daten in Drittstaaten übermittelt, müssen stets die folgenden Voraussetzungen gegeben sein: Eine Rechtsgrundlage für die Datenverarbeitung und angemessene Garantien für ein gleichwertiges Datenschutzniveau im Drittstaat wie z. B. ein Angemessenheitsbeschluss, Standarddatenschutzklauseln (SCC), Bindings Corporate Rules oder Ausnahmen nach Art. 49 Abs. 1 DSGVO.
Am 04.06.2021 veröffentlichte die Europäische Kommission neue Standardvertragsklauseln für internationale Datentransfers ( kurz „SCC“). Diese ersetzen die alten Standardvertragsklauseln, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden.
Was sind Standardvertragsklauseln?
Bei den SCC handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die es Unternehmen ermöglichen, personenbezogene Daten aus der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) in Drittländer zu übertragen, während gleichzeitig ein angemessenes Datenschutzniveau gewährleistet wird. Sie dienen als rechtliche Absicherung dafür, dass der Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO) auch bei Datenübermittlungen in Länder gewährleistet wird, die keine gleichwertigen Datenschutzstandards wie die EU haben. Durch diese Klauseln verpflichten sich sowohl der Datenexporteur als auch der Datenimporteur, spezifische Datenschutzanforderungen einzuhalten.
Modularer Aufbau
Die SCC bestehen aus einem Dokument, welches einen modularen Aufbau verfolgt. Sie umfassen Textbausteine zu den folgenden vier Konstellationen:
- Verantwortlicher-zu-Verantwortlicher,
- Verantwortlicher-zu-Auftragsverarbeiter,
- Auftragsverarbeiter-zu-Verantwortlicher und
- Auftragsverarbeiter-zu-Auftragsverarbeiter.
Bei der Anpassung der neuen SCCs ist darauf zu achten, dass auch die richtigen Module ausgewählt werden, abhängig von der vorliegenden Konstellation.
Erweiterte Pflichten
Die SCC legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Sie berücksichtigen inhaltlich die DSGVO sowie das Schrems II-Urteil des Europäischen Gerichtshofs vom 16.07.2020. So wird dem Urteil unter anderem dadurch Rechnung getragen, dass Klausel 15 der SCC die Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten regelt.
Zu den Pflichten zählt auch die Durchführung eines Transfer Impact Assessment (TIA). Die Parteien müssen versichern, keinen Grund zu der Annahme zu haben, dass der Datenimporteur aufgrund der lokalen Rechtsvorschriften und Gepflogenheiten im Empfängerland nicht in der Lage sein wird, die Klauseln einzuhalten. Diese Datentransfer-Folgenabschätzung ist zu dokumentieren und auf Anfrage Aufsichtsbehörden vorzulegen.
Auch finden sich unter Klausel 8 der neuen SCC weitere Prüfungs- und Dokumentationspflichten, z.B. muss der Datenexporteur versichern, „sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen“.
Weisungsabhängigkeiten und Haftungsregelungen
Die SCC legen feste hierarchische Strukturen fest, indem innerhalb der jeweiligen Konstellationen Weisungsabhängigkeiten zwischen den Parteien festgelegt werden. Ferner werden sowohl zwischen den Parteien als auch gegenüber betroffenen Personen Haftungsfragen geregelt.
Aktuelle Entwicklungen
Die aktuellen Entwicklungen zu den Standardvertragsklauseln der Europäischen Kommission betreffen vor allem die Fristen zur Umstellung auf die neuen SCCs und zusätzliche Anforderungen für den Schutz personenbezogener Daten. Unternehmen mussten bis zum 27. Dezember 2022 ihre alten Verträge auf die neuen SCCs aktualisieren, da die alten Klauseln nicht mehr zulässig sind. Nach dem Brexit hat das Vereinigte Königreich eigene Regelungen eingeführt, das “International Data Transfer Agreement” (IDTA) und ein Addendum zu den EU-SCCs, die spätestens bis zum 21. März 2024 in bestehende Verträge integriert werden müssen.
Ausblick
In den kommenden Teilen der Reihe werden das Transfer Impact Assessment, Datenübermittlungen vorbehaltlich geeigneter Garantien nach Art. 46 DSGVO und technische und organisatorische Maßnahmen bei der Übermittlung von Daten in Drittländer behandelt. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.
Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.