News

Kategorie: Datenschutz

Die Europäische Kommission hat am 04.06.2021 neue Standardvertragsklauseln für den internationalen Datentransfer (auch “Standard Contractual Clauses” – kurz ‚SCC’) angenommen und veröffentlicht. 

Am 09.06.2021 wurden diese dann im Amtsblatt veröffentlicht. Ab dem 27. Juni gilt eine Frist von 18 Monaten bezogen auf die Gültigkeit der alten Standardvertragsklauseln.
Der Abschluss der alten Klauseln, falls dies überhaupt noch relevant sein wird, ist für weitere drei Monate gestattet.

Was sind die Standardvertragsklauseln?

Die SCC sind so gesehen Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können (weitere Möglichkeiten wurden in der Aktuellen Information Juni erläutert). Die aktuell gültigen SCC stammen noch aus der BDSG/EU-Richtlinien-Zeit. Diese bezogen sich also ganz konkret auf die damalige Richtlinie und nicht die aktuelle Verordnung.
Im Rahmen der Schrems-II EuGH-Entscheidung, wurden diese zwar weiterhin als Übermittelungsgrundlage anerkannt, es wurde aber auf Schwächen hingewiesen. Weiterhin kannten die alten SCC nur das Verhältnis Verantwortlicher-Verantwortlicher (C2C) und Verantwortlicher-Verarbeiter (C2P). Die immer mehr werdenden Konstellationen wie z.B. Software-as-a-Service und Cloud-Anwendungen konnten nicht unter den SCC angewendet werden.

Welche Änderungen gab es jetzt?

Den Problemen wurde wie folgt Rechnung getragen. Es gibt nur noch einen Mustervertrag, mit wiederum vier Modulen, die in den speziellen Varianten dann angepasst werden müssen.

Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen

Ebenso ist eine Erneuerung, die Pflicht zur Durchführung von Datentransfer-Folgenabschätzung (Transfer Impact Assessments - TIA). Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.
Ebenfalls neu enthalten ist die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die TIA muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Ebenso ist durch die Integration und Implementierung der Vorgaben einer Auftragsverarbeitung, in den SCC, keine Notwendig-keit mehr gegeben, zum Abschluss eines zusätzlichen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Schwächen / sprachliche Probleme

Die Klauseln heißen laut europäischer Kommission „Standardvertragsklauseln“, laut DSGVO sollten die Klauseln für die Drittlandsübermittlung „Standarddatenschutzklausel“ heißen. Daher kommt es hier oft zu Verständnisproblemen, da es auch Standardvertragsklauseln im Rahmen der Auftragsverarbeitung gibt.
Es wurde eine sogenannte „Docking Clause“ zur Einbindung weiterer Parteien aufgenommen, die genaue Anwendung und der dadurch resultierende Aufbau sind aber komplett ungeklärt und bedürfen erster Beispiele und Handreichungen. 
Laut SCC sind diese nicht anzuwenden, wenn Empfänger unter den Anwendungsbereich der DSGVO fällt. Diese Aussage wieder widerspricht dem Text der DSGVO laut Kapitel 5, dadurch herrscht aktuell ein Streit über die generelle Anwendung der SCC. 

Lösung: FAQ und Guidelines sollen bald von der Kommission und dem Europäischen Datenschutzausschuss veröffentlicht wer-den und hoffentlich die vorherigen Probleme klären und Lösungen bieten.

Ausblick

Die Anwendung und Umsetzung der neuen SCC wird jetzt Fahrt aufnehmen. Die großen Unternehmen (Cloud-Dienstleister usw.) werden die Vorreiter sein und aufzeigen, wie die Integration der jeweiligen Module möglich sein wird. Zusätzlich erhoffen wir uns deutliche Handlungsempfehlungen durch die FAQ und Guidelines.
Trotzdem lösen die neuen SCC nicht alle Probleme, welche durch das oben genannte EuGH-Urteil Schrems II entstanden sind. Den Unternehmen obliegt weiterhin eine Einzelfallprüfung des Datenschutzniveaus des Empfängerlandes, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen gerecht zu werden. 
Daher wird es nicht ausreichen, die SCC zu schließen und zu unterschreiben. Sie als Verantwortlicher müssen durch Dokumentation und Prüfungen weiterhin aktiv bleiben.


Bei weiteren Fragen wenden Sie sich an Ihren Berater. Falls Sie in Ihrem Kontext neue SCC aktiv aufsetzen und schließen müssen, wenden Sie sich aktiv an uns oder wir werden in unserem nächsten Regeltermin mit Ihnen die Sachlage besprechen.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download