Schlagwort: SCC

EU-Kommission veröffentlicht neue Standardvertragsklauseln (SCC) für den internationalen Datentransfer

7. Juni 2021

Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln für den internationalen Datentransfer (auch “Standard Contractual Clauses” – kurz ‚SCC’) angenommen und veröffentlicht. Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können. Als Drittstaaten gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.

Hintergrund

Die neuen Klauseln wurden lange erwartet, da die jetzigen Standardvertragsklauseln über 10 Jahre alt sind und somit weder die Voraussetzungen hinsichtlich Drittstaatentransfers der DSGVO noch das bedeutende Schrems II-Urteil vom 16.07.2020 berücksichtigen konnten. So war der Drittstaatentransfer problematisch geworden und nicht erst in letzter Zeit von den Aufsichtsbehörden, auch in Deutschland, ins Visier von Untersuchungen genommen worden (wir berichteten).

Was hat sich geändert?

Neu an den jetzt präsentierten SCC ist vor allem der Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster verteilt, sondern sie finden sich in einem Dokument wieder. Insofern werden sie in vier verschiedene „Module“ gegliedert. Dies soll eine flexible Vertragsgestaltung ermöglichen. Dafür soll das entsprechende Modul gemäß dem Verhältnis der Parteien ausgewählt werden. Folgende Module sind in den neuen SCC enthalten:

Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen

Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter

Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern

Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen

Inhaltlich neu ist darüber hinaus insbesondere eine Pflicht zur Datentransfer-Folgenabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.

Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Ausblick

Die veröffentlichten Dokumente sind die finalen Arbeitsdokumente. Mit der offiziellen Veröffentlichung der SCC wird in den nächsten Tagen im Amtsblatt der Europäischen Union zu rechnen sein. Ab diesem Zeitpunkt und innerhalb einer Frist von 18 Monaten müssen die bestehenden Verträge mit Partnern aus Drittstaaten, insbesondere bspw. Microsoft oder Amazon, um die neuen SCC ergänzt werden.

Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem oben genannten Urteil gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Letzteres sollte durch einen Fragenkatalog an den Verarbeiter im Drittstaat geschehen.

Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu ermöglichen.

Bei der Umsetzung der Einzelfallprüfung oder bei anderen Rückfragen bieten wir Ihnen jederzeit gerne unsere Unterstützung an.

UPDATE vom 09.06.2021: Mittlerweile wurden die neuen SCC im Amtsblatt der Europäischen Union veröffentlicht und sind hier zu finden.

Microsoft veröffentlicht Anhang zu Standardvertragsklauseln

24. November 2020

Im Anschluss an die Schrems II-Rechtsprechung des Europäischen Gerichtshofes (wir berichteten) und den neuen Empfehlungen des Europäischen Datenschutzausschusses (wir berichteten) reagierte Microsoft nun mit neuen Vertragsklauseln. Diese sollen es ermöglichen, personenbezogene Daten in Drittländer – insbesondere die USA – exportieren zu können.

Mit diesem Schritt wolle man über die aktuellen Richtlinien hinausgehen. Zusätzlich erhoffe man sich, dass dieser Schritt bei den Kunden zusätzliches Vertrauen schaffen werden.

Rechtsweg und Informationspflichten

Microsoft verpflichte sich, gegen jede nicht rechtmäßige Anordnung auf Herausgabe von personenbezogenen Daten vorzugehen und ggf. den entsprechenden Rechtsweg einzuschlagen. Darüber hinaus wolle man alle zumutbaren Anstrengungen unternehmen, um die Anfragen Dritter so umzuleiten, dass die Daten direkt vom Kunden angefordert werden müssten. Des Weiteren sollen Kunden, sofern dies im konkreten Fall rechtlich möglich sei, unverzüglich benachrichtigt werden. Sollte die Benachrichtigung untersagt sein, verpflichte man sich, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald wie möglich zu informieren.

Anspruch auf Schadensersatz

Personen die durch die nach der DSGVO unrechtmäßige Datenverarbeitung einen materiellen oder immateriellen Schaden erleiden, erhalten einen Anspruch auf Schadensersatz. Dabei trage der Betroffene die Beweislast. Diese Verpflichtung übertreffe die aktuellen Empfehlungen des Europäischen Datenschutzausschusses.

Ausblick

Ob weitere Unternehmen diesem Beispiel folgen werden, ist zurzeit noch nicht ersichtlich. Es bleiben auch weiterhin viele Fragen offen. Die neuen Ergänzungen lösen nicht den Kern des bisherigen Problems. Die vom Europäischen Gerichtshof als unverhältnismäßig beanstandeten Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten können auch weiterhin nicht unterbunden werden. Nach den neuen Klauseln existiert eine rechtliche Grundlage für eine Anfechtung auch nur dann, wenn das Herausgabeverlangen nach dem nationalen Recht rechtswidrig wäre. Das ist bei Geheimdienstanfragen innerhalb der Vereinigten Staaten nur sehr selten der Fall.

Europäische Kommission veröffentlicht Entwurf neuer Standarddatenschutzklauseln

17. November 2020

Im Anschluss an die Veröffentlichung des Europäischen Datenschutzausschusses bezüglich neuer Empfehlungen bei Drittstaatentransfers (wir berichteten), veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf neuer Standardvertragsklauseln (SCC). Die neuen Standartvertragsklausen setzen sich dabei aus einem Kommissionsbeschluss und den konkreten Vertragsklauseln zusammen. Aufgrund der Schrems-II-Entscheidung des Europäischen Gerichtshofes (wir berichteten) wurde es zuletzt zunehmend schwieriger, personenbezogene Daten an Drittstaaten zu übermitteln. Die neuen Klauseln sollen nun dazu beitragen, personenbezogene Daten unter Einhaltung europäischer Datenschutzstandards, sicher an Drittstaaten transferieren zu können.

Zwei neue Übertragungsarten

Die wohl wichtigste Neuerung ist die Einführung zwei neuer Übertragungsarten. Bisher gab es die Schutzklauseln lediglich für das Verhältnis Verantwortlicher-Auftragsverarbeiter und Verantwortlicher-Verantwortlicher. Die neuen Klauseln decken zusätzlich das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher ab, wodurch auch Unterauftragsverhältnisse mit abgedeckt werden. Durch die neue „Docking Clause“ können nun auch Dritte zuvor geschlossenen Verträgen beitreten.

Garantien

Darüber hinaus sehen die neuen Klauseln Garantien vor. Eine Übermittlung bleibt auch weiterhin nur zulässig, wenn die nationalen Gesetze den Klauseln nicht entgegenstehen. Liegt ein rechtsverbindlicher Antrag auf Datenherausgabe einer Behörde vor, müssen Betroffene unverzüglich darüber informiert werden. Des Weiteren muss der Datenimporteur sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen, sofern die gesetzlichen Bestimmungen dafür vorliegen.

Ausblick

Die EU-Kommission hat dazu aufgerufen, Stellungnahmen einzureichen. Die öffentliche Konsultation läuft noch bis zum 10. Dezember 2020. Sobald die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Standardvertragsklauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden.