Das „Schrems II“-Urteil des Europäischen Gerichtshofs führte zu tiefgreifenden Änderungen bezüglich der Übermittlung personenbezogener Daten in Drittländer. Kurzgefasst ging es in dem Urteil um die Unzulässigkeit des sogenannten „EU-US-Privacy Shield“- Abkommens zwischen der Europäischen Union und den USA. Der Einfluss dieses Urteils auf die betriebliche Praxis ist bis heute sehr groß, denn die bedeutenden US-Amerikanischen Unternehmen, wie beispielsweise Facebook, Google, Cloudflare oder YouTube, können somit nicht mehr oder nur unter erschwerten Bedingungen von Unternehmen eingesetzt werden.
Allerdings bleibt die Übermittlung personenbezogener Daten in den USA zulässig, sofern – kurz gesagt – die Voraussetzungen der Art. 44 bis Art. 49 erfüllt sind. Demnach ist die Übermittlung rechtskonform, wenn geeignete Garantien nach Art. 46 DS-GVO eingesetzt werden. In diesem Kontext geraten insbesondere die sogenannten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DS-GVO) in den Fokus, da diese nach Auffassung des EuGH weiterhin eine gültige Rechtsgrundlage darstellen. Standardvertragsklauseln sind Musterverträge zwischen Auftraggeber und Auftragnehmer oder datenübermittelnder und datenempfangender Stellen, in denen Rechte und Pflichten geregelt sind.
Problematisch waren allerdings einige Punkte, die große Verunsicherung bei vielen Unternehmen verursachte: nämlich die Tatsache, dass der Datentransfer weiterer geeigneter Garantien bedurfte, welche die Zugriffsmöglichkeiten von Behörden weiter einschränken sollen. Hierauf aufbauend hat die Europäische Kommission die neuen Standardvertragsklauseln entwickelt.
Die „neuen“ Standardvertragsklauseln
Wesentlicher Unterschied zwischen den alten und neuen Standardvertragsklauseln ist, dass die neuen Standardvertragsklauseln für verschiedene Konstellationen zwischen Verantwortlichen und Auftragsverarbeitern verfügbar sind. Weiterhin bieten diese einen modularen Aufbau, welcher einen auf den Einzelfall angepasstes Vertragswerk ermöglicht.
Eine Neuheit hierbei ist der risikobasierte Ansatz, nach dem vor Vertragsschluss eine sogenannte „Transferfolgenabschätzung“ oder „Transfer Impact Assessment“ durchgeführt werden muss. Darüber hinaus sind technische und organisatorische Garantien vorzunehmen, die geeignet sein müssen, staatlichen Behörden den Zugriff zu personenbezogenen Daten zumindest zu erschweren. Beabsichtigt der Staat trotzdem einen Zugriff, ist der Dienstleister im Drittland verpflichtet, die Rechtmäßigkeit des Zugriffs zu überprüfen und dem Vertragspartner über den geplanten Zugriff zu unterrichten.
Wichtig für nahezu alle Unternehmen ist, dass bis zum 27. Dezember 2022 die neuen Vertragsklauseln nunmehr auch in bestehenden Vertragsverhältnissen anzuwenden sind. Die Zeit drängt!
Transferfolgenabschätzung
Klausel 14 der neuen Standarddatenschutzklauseln gibt vor, dass Unternehmen bestimmte Aspekte bei der Durchführung der Transferfolgenabschätzung berücksichtigen müssen. Hierzu gehörten zum einen die besonderen Umstände der Übermittlung personenbezogener Daten. Dies beinhaltet unter anderem die Prüfung beziehungsweise Offenlegung der Verarbeitungskette, Anzahl der verarbeitenden Unternehmen und Übertragungskanäle. Zum anderen müssen die relevanten Rechtsvorschriften, Gepflogenheiten und die geltenden Beschränkungen und Garantien berücksichtigt werden. Klausel 14 erwähnt explizit diejenigen Vorschriften, Gepflogenheiten und Beschränkungen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang zu diesen Daten gestatten.
Zu guter Letzt müssen alle relevanten vertraglich festgelegten technischen oder organisatorischen Garantien, die ergänzend zu den Garantien der Standardvertragsklauseln eingerichtet wurden, betrachtet werden. Hierzu gehören auch diejenigen Maßnahmen, die während der Übermittlung und Verarbeitung der Daten im Bestimmungsland zur Anwendung kommen.
Handlungsempfehlungen
Die Umsetzung der neuen Standardvertragsklauseln empfehlen wir in folgenden Schritten:
- Prüfen Sie zunächst sämtliche von Ihnen eingesetzte Dienstleister, die mit einem Drittland in Bezug stehen. Beachtung bedürfen insbesondere auch solche Unternehmen, welche Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens sind.
- Betrachten Sie nach Möglichkeit ebenfalls gleichwertige Alternativen innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Bestehen gleichwertige Alternativen, kann dies einer Übermittlung in Drittländer entgegenstehen.
- Führen Sie vor Abschluss der Standardvertragsklauseln eine Transferfolgenabschätzung für den jeweiligen Fall durch. Nur bei Vorlage eines positiven Ergebnisses dürfen die Standardvertragsklauseln abgeschlossen und eine Datenübermittlung vorgenommen werden.
Gern unterstützen wir Sie bei der Umsetzung der rechtlichen Anforderungen. Kommen Sie hierfür gern auf uns zu!
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
