Standardvertragsklauseln für Auftragsverarbeiter Am 04.06.2021 hat die Europäische Kommission erstmalig seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) von ihrem Recht aus Art. 28 Abs. 7 DSGVO Gebrauch gemacht und Standardvertragsklauseln für die Auftragsverarbeitung verabschiedet. Damit liegt erstmalig ein EU-weit einheitliches Vertragsmuster für Auftragsverarbeitungskonstellationen innerhalb der EU vor. In Zukunft kann damit bei Vereinbarungen mit Auftragsverarbeitern innerhalb der EU bzw. des EWR auf dieses Muster zurückgegriffen werden.
Angemessenheitsbeschluss für das Vereinigte Königreich Zudem wurde am 29.06.2021 ein Angemessenheitsbeschluss für das Vereinigte Königreich erlassen, so dass Datenübermittlungen dorthin auch mit Ablauf der Übergangsperiode nach dem Brexit (wir berichteten in unserem Newsletter vom Januar 2021) weiterhin datenschutzrechtlich zulässig bleiben. Das Vereinigte Königreich gilt damit nunmehr als sicheres Drittland.
Standarddatenschutzklauseln für den internationalen Datentransfer Die größte datenschutzrechtliche Neuigkeit dürften allerdings die ebenfalls am 04.06.2021 von der Europäischen Kommission verabschiedeten neuen Standarddatenschutzklauseln für den internationalen Datentransfer sein. Standarddatenschutzklauseln sind Musterverträge, die bei Datenübermittlungen in ein Land außerhalb der EU und des EWR (Drittland) beide Parteien zur Einhaltung eines mit der EU vergleichbaren Datenschutzniveaus verpflichten. Sie stellen nach Art. 46 Abs. 2 lit. c DSGVO eine mögliche geeignete Garantie für Drittland-Übermittlungen dar.
Diese Klauseln wollen wir Ihnen im Folgenden etwas näher vorstellen.
Die neuen Klauseln sind modular aufgebaut, wobei jedes Modul in einer anderen Übermittlungs-Konstellation eingesetzt werden kann.
Abgedeckt werden – wie bisher – Drittland-Übermittlungen:
von Verantwortlichen in der EU an Verantwortliche in Drittländern (Modul 1) und
von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (Modul 2).
Zudem regeln die neuen Klauseln nunmehr auch Drittland-Übermittlungen:
von Auftragsverarbeitern in der EU an weitere (Unter-)Auftragsverarbeiter in Drittländern (Modul 3) und
von Auftragsverarbeitern in der EU an Verantwortliche in Drittländern (Modul 4).
In Auftragsverarbeitungssituationen erfüllen die neuen Standarddatenschutzklauseln auch die Anforderungen aus Art. 28 DSGVO – ein zusätzlicher Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO ist damit nicht notwendig.
Die neuen Klauseln sollen zudem nach Ansicht der Europäischen Kommission die aus dem sog. Schrems-II-Urteil des EuGH folgenden Anforderungen an Drittland-Übermittlungen berücksichtigen (zu diesen Anforderungen berichteten wir in einem Newsletter im Juli 2020).
Die neuen Musterklauseln sehen außerdem die Möglichkeit vor, dass weitere Parteien dem Vertragsverhältnis in der Zukunft beitreten können.
Die neuen Standarddatenschutzklauseln sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden.
Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standarddatenschutzklauseln für Übermittlungen in Drittländer verwenden, muss spätestens bis zum 27.12.2022 eine Umstellung sämtlicher Altverträge auf die neuen Standarddatenschutzklauseln erfolgt sein.
Die Klauseln berücksichtigen die Anforderungen aus dem sog. Schrems-II-Urteil des EuGH nur insoweit, als dass sie diese nunmehr ausdrücklich in ihrer Klausel 14 erwähnen. Erfüllt werden die Anforderungen allein durch die Vereinbarung der Klausel jedoch nicht.
Daher weisen sowohl die Europäische Kommission selbst in ihrem Beschluss als auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) und der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standarddatenschutzklauseln eine Prüfung der Rechtslage im Drittland und ggf. die Einführung zusätzlicher Maßnahmen erforderlich ist.
Können die aus den Klauseln folgenden vertraglichen Verpflichtungen im Drittstaat nicht eingehalten werden, kann der Datentransfer nicht datenschutzrechtlich zulässig stattfinden.
Auf Unternehmen, die personenbezogene Daten in Drittländer außerhalb der EU und des EWR auf Grundlage der bisher geltenden Standarddatenschutzklauseln übermitteln, kommt einiges an Arbeit zu:
Zum einen müssen Altverträge für den internationalen Datentransfer auf die neuen Standarddatenschutzklauseln umgestellt werden. Neuverträge sollten bereits jetzt unter Verwendung der neuen Standarddatenschutzklauseln abgeschlossen werden.
Zum anderen müssen alle auf die Standarddatenschutzklauseln gestützten Übermittlungen im Einzelnen dahingehend geprüft werden, ob die Gesetze im Empfängerland ein Einhalten der in den Klauseln vereinbarten Garantien durch den Datenimporteur ermöglichen. Unternehmen und andere Akteure, die personenbezogene Daten in Drittländer übermitteln, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie diese Prüfung zum Schutzniveau des Drittlands im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind. Entsprechende Prüfungen sind daher zu dokumentieren.
Gerne steht Ihnen unser Datenschutzrechts-Team bei Rückfragen und der Umsetzung dieser Anforderungen zur Verfügung.