Verfügt ein Drittland über keinen Angemessenheitsbeschluss der EU-Kommission, müssen für Datenübertragungen in Drittländer andere Legitimationsgrundlagen vorliegen. Das wichtigste Instrument für internationale Datentransfers bilden dabei die sogenannten Standardvertragsklauseln (SVK). Da die bisherigen Versionen der SVK noch vor dem Inkrafttreten der DSGVO im Mai 2018 verfasst wurden, waren diese noch nicht auf die Inhalte der Verordnung abgestimmt. Hinzu kamen Ereignisse aus der Rechtsprechung, z.B. durch das Schrems II-Urteil des EuGH.
Nach der Ungültigkeitserklärung des Privacy Shield Abkommens im Juli 2020 waren alle Datenübermittlungen in die USA faktisch unzulässig, es sei denn es konnte eine alternative Legitimationsquelle zugrunde gelegt werden. Die Standardvertragsklauseln behielten grundsätzlich ihre Gültigkeit, allerdings wurde auch hier von vielen Institutionen darauf hingewiesen, dass sich auch diese nicht als vollumfassende Garantien für Datentransfers in Drittstaaten eignen würden. Dennoch haben viele US-Unternehmen (z.B. Google) ihren Kunden aushilfsweise die SVK als Grundlage für die Datenübertragungen angeboten, um überhaupt eine vertragliche Grundlage für Datenübermittlungen vorliegen zu haben.
So wurde z.B. vom EuGH die Verwendung von SVK für eine Datenverarbeitung in den USA ohne zusätzliche Schutzmaßnahmen ausdrücklich verneint. Hier ist der Datenexporteur grundsätzlich in der Pflicht weitere Schutzmaßnahmen in Betracht zu ziehen, um das angemessene Schutzniveau der Daten auch sicherzustellen. Ein großes Problem bei den Standardvertragsklauseln (unerheblich ob die alte oder neue Version) bleibt der Aspekt der Überprüfbarkeit und Nachvollziehbarkeit der vertraglich zugesagten Gegebenheiten, insbesondere dann, wenn die Dienstleister ihren Sitz auf einem anderen Kontinent haben.
Am 04.06.2021 hat die EU-Kommission nun neue Standardvertragsklauseln verabschiedet und diese an die Normen der DSGVO angepasst. Darüber hinaus haben auch die Anforderungen aus dem Schrems II-Urteil (Module 14 und 15) Einzug in die neuen SVK erhalten. Eine weitere Besonderheit ist, dass es sich bei den neuen SVK nun um ein modular aufgebautes Klauselwerk handelt. Es trägt den Titel „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer“. Bisher gab es für unterschiedliche Vertragsbeziehungen auch verschiedene Versionen der SVK. Nun müssen je nach vorliegender Vertragsbeziehung (z.B. Verantwortlicher, Auftragsverarbeiter, EU oder Drittstaaten-Standort, etc.) die passenden und relevanten Module ausgewählt und zusammengestellt werden. Dies ermöglicht auf der einen Seite natürlich die Erstellung von individuellen SVK, allerdings geht dies natürlich auch mit einem erheblichen bürokratischen Mehraufwand einher.
Bis zum 27. Dezember 2022 läuft nun eine Frist, zu deren Ende alle Unternehmen, die SVK verwenden, die alte Version gegen die neue ersetzt haben müssen. Es empfiehlt sich allerdings nicht bis dahin zu warten, sondern die neuen SVK zeitnah abzuschließen. Zum einen berücksichtigt die neue Version die Anforderungen der DSGVO und des Schrems II-Urteils, was diese zu einer (zumindest) verbesserten Legitimationsgrundlage für den Datentransfer in Drittländer macht. Zum anderen nimmt es natürlich auch einige Zeit in Anspruch mit allen Vertragspartnern die Module individuell abzustimmen und die SVK zu aktualisieren. Dieser Prozess geht zudem mit einer Risikobewertung der Rechtslage im Drittland sowie der Verhandlung über die Ausgestaltung von geeigneten TOMs (technisch-organisatorische Maßnahmen) einher. Die neuen Standardvertragsklauseln sind auf der Seite der EU-Kommission zu finden. Auf unserem Blog haben wir ebenfalls auf die Dokumente verwiesen. Bei Fragen hierzu können Sie uns jederzeit ansprechen.
Quellenangaben:
- Europäische Kommission: „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer“, abgerufen am 30.06.2021 unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de
- Artikel „EU-Kommission verabschiedet DSGVO-Standardvertragsklauseln“, abgerufen am 30.06.2021 unter https://www.dr-datenschutz.de/eu-kommission-verabschiedet-dsgvo-standardvertragsklauseln/