Standarddatenschutzklauseln und Standardvertragsklauseln
Die Europäische Kommission hat im Juni 2021 neue Klauseln erlassen: Eine Vorlage für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und eine für die Übermittlung personenbezogener Daten in Drittländer.
1. Allgemeines
Bei den Klauseln handelt es sich um standardisierte und genehmigte Musterdatenschutzklauseln. Die Datenschutzgrundverordnung (DSGVO) gibt der EU-Kommission die Befugnis, solche Klauseln nach Art. 46 Abs. 2 lit. c) DSGVO für den Transfer personenbezogener Daten an ein Drittland („Standarddatenschutzklauseln“) und nach Art. 28 Abs. 7 DSGVO für die Umsetzung der Anforderungen einer Beauftragung einer Auftragsverarbeitung („Standardvertragsklauseln“) zu erlassen. Für beide Varianten wurden die bestehenden Klauseln nun umfassend überarbeitet und am 07.06.2021 veröffentlicht.
- Durchführungsbeschluss (EU) 2021/914:
Seit der Europäische Gerichtshof das EU-US-Privacy Shield im Juli 2020 (Schrems II-Urteil) für nichtig erklärt hat, bilden die Standarddatenschutzklauseln die wesentliche Grundlage für die Zusammenarbeit mit Dienstleistern und Partnern außerhalb der EU. Damit schützt die DSGVO die personenbezogenen Daten der EU-Bürger auch außerhalb des DSGVO- Geltungsbereichs. Nur, wenn in den Drittländern ein mit der DSGVO vergleichbares, angemessenes Datenschutzniveau sichergestellt ist, dürfen personenbezogene Daten auch dorthin übermittelt werden. Für einige Länder existiert ein Angemessenheitsbeschluss, der ein entsprechendes Datenschutzniveau feststellt (z.B. Vereinigtes Königreich); für die meisten Länder fehlt dieser jedoch. Genau hier bilden dann die Standarddatenschutzklauseln eine mögliche Alternative.
- Durchführungsbeschluss (EU) 2021/915:
In Auftragsverarbeitungskonstellationen dienen die Standardvertragsklauseln der Erfüllung der Pflichten nach Art. 28 Abs. 3 und 4 DSGVO und damit dem Abschluss einer ordnungsgemäßen Vereinbarung zur Auftragsverarbeitung (Muster-Auftragsverarbeitungsvertrag). Auch hier reformierte die Europäische Kommission die bisher bestehenden Klauseln, die in Vereinbarungen im EU-Inland eingesetzt werden können.
2. Übergangsregelungen
Die Standardvertragsklauseln sind lediglich Formulierungsangebote und daher nicht zwingend zu nutzen.
Die überarbeiteten Standarddatenschutzklauseln hingegen sind seit dem 27.09.2021 bereits zwingend für alle Neuverträge zu verwenden. Für Verantwortliche und Auftragsverarbeiter, die die bislang bestehenden Klauseln verwenden, sowie für bereits begründete Rechtsverhältnisse und damit verbundene Datentransfers in Drittstaaten ist ein Übergangszeitraum von 15 Monaten und somit bis zum 27.12.2022 vorgesehen. Spätestens ab diesem Zeitpunkt müssen alle Verträge umgestellt sein.
3. Neuerungen
Bei den Auswirkungen des Schrems II-Urteils und der Notwendigkeit zur Prüfung der Rechtsvorschriften im Drittland hat sich auch durch die neuen Klauseln nichts geändert. Der Datenexporteur muss weiterhin die Rechtslage und -praxis des Drittlandes prüfen und eventuell zusätzliche organisatorische und technische Maßnahmen zum Schutz ergreifen. Sollte dies nicht gelingen, darf keine Übermittlung stattfinden. Den Vertragsparteien wird eine vorherige Folgenabschätzung auferlegt, die zu dokumentieren ist und bei der beide Parteien versichern müssen, dass keine Bedenken an der Einhaltung der europäischen Datenschutzstandards bestehen.
Bei dem Abschluss von Auftragsverarbeitungsverträgen werden durch die neuen Klauseln die Anforderungen aus Art. 28 DSGVO berücksichtigt. Damit entfällt auch die Notwendigkeit zum Abschluss noch eines zusätzlichen Auftragsverarbeitungsvertrages.
4. Aufbau
Die neuen Standarddatenschutzklauseln haben einen modularen Aufbau und können damit im Gegensatz zu den bisherigen separaten Klauseln eine breitere Palette von Anwendungsszenarien abdecken. Dies bietet mehr Flexibilität bei komplexen Verarbeitungen. Die Parteien können die für ihre Situation geltende Option bzw. das passende Modul auswählen. Die Standarddatenschutzklauseln sind standardisiert und bereits genehmigt und bilden somit eine leicht umzusetzende Vorlage für die Unternehmen.
Die Klauseln können in folgenden Übermittlungs-Konstellationen eingesetzt werden:
- Verantwortlicher an Verantwortlichen
- Verantwortlicher an Auftragsverarbeiter
- Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
- Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Die Genehmigungsfreiheit bei der Verwendung der Klauseln gilt jedoch nur bei unveränderter Anwendung. Es können auch nur einzelne Module ausgewählt werden oder die Informationen in der Anlage ergänzt bzw. aktualisiert werden. Die Parteien können die Klauseln durch weitere ergänzen, dann dürfen diese jedoch nicht im Widerspruch zu den Standarddatenschutzklauseln stehen.
Die Standarddatenschutzklauseln erfüllen auch die Anforderungen gemäß Art. 28 Abs. 3 und 4 DSGVO für Datenübermittlungen von Verantwortlichen, die der DSGVO unterliegen, an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von Auftragsverarbeitern, die der DSGVO unterliegen, an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung. Umgekehrt gilt das nicht, d.h. die Standardvertragsklauseln können nicht als Standarddatenschutzklauseln verwendet werden.
5. Fazit
Die neuen Klauseln bieten mit der erhöhten Flexibilität und der vertraglichen Einbeziehung praktische Vorteile. Bei der Zusammenarbeit mit Dienstleistern in Drittstaaten sind die Standarddatenschutzklauseln notwendig, da es häufig noch keine Alternative zur Vereinbarung dieser Klauseln gibt. Für Unternehmen mit Sitz in der EU sind folgende Maßnahmen empfehlenswert:
- Interne Prüfung auf Datentransfers in Drittstaaten
- Prüfung geeigneter Alternativen (Anbieter in der EU?)
- Zusammenstellung der Standarddatenschutzklauseln nach den für das Unternehmen passenden Situationen
- Vorbereitung eines Prozesses für die Folgenabschätzung zu Datentransfers in Drittstaaten
- Durchführung und Auswertung Folgenabschätzung
Thomas Haschert, Mag. iur., Geschäftsführer