Datenschutz Update – Neue Standardvertragsklauseln – Datenübermittlungen in Drittstaaten nunmehr unbegrenzt erlaubt?

Die Übermittlung personenbezogener Daten in Drittstaaten ist nicht ohne weiters möglich. Datenschutzrechtliche Verantwortliche müssen hier einiges…

Die Übermittlung personenbezogener Daten in Drittstaaten ist nicht ohne weiters möglich. Datenschutzrechtliche Verantwortliche müssen hier einiges beachten.

Liegt kein Angemessenheitsbeschluss der der Europäischen Kommission vor und ist auch keiner der Ausnahmetatbestände des Art 49 DSGVO anwendbar, müssen Maßnahmen ergriffen werden, um die Datenübermittlung rechtskonform auszugestalten. Bedingungen sind hierbei insbesondere, dass geeignete Garantien für den Schutz der personenbezogenen Daten bestehen, sowie, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Eine solche geeignete Garantie sind die sogenannten Standardvertragsklauseln (SCC), die von der Europäischen Kommission als geeigneter Schutzmechanismus angenommen wurden und weithin Verbreitung gefunden haben.

SCC enthalten vertragliche Verpflichtungen zwischen zwei oder mehreren datenverarbeitenden Stellen, die darauf abzielen, die Einhaltung der Anforderungen der DSGVO zu gewährleisten und den Geltungsbereich dieser datenschutzrechtlichen Bestimmungen auch auf Drittstaaten auszudehnen, von denen man annimmt, dass sie kein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen bieten (und die daher keinem Angemessenheitsbeschluss unterliegen). SCC ermöglichen einen relativ leichten, unkomplizierten Weg zur Datenübermittlung in Drittstaaten, die von Gesetzes wegen kein angemessenes Datenschutzniveau bieten.

Da die aktuellen SCC der Europäischen Kommission unter der Richtlinie 95/46, dem „Vorgänger“ der DSGVO, genehmigt wurden, musste ihr Inhalt nun grundlegend aktualisiert werden. Die neuen SCC wurden am 04. Juni 2021 angenommen und veröffentlicht (siehe hier).

Was ist neu?

Es gibt jetzt vier unterschiedliche „Sätze“ von SCC:

  • Verantwortlicher – Verantwortlicher
  • Verantwortlicher – Auftragsverarbeiter
  • Auftragsverarbeiter – Auftragsverarbeiter
  • Auftragsverarbeiter – Verantwortlicher

Die neuen SCC bieten aus unserer Sicht mehr (datenschutz-)rechtliche Sicherheit. Die Europäische Kommission hat außerdem für mehr Transparenz gesorgt und eine Rechenschaftspflicht eingeführt. Zum Beispiel müssen Subauftragsverarbeiter nun Audits von dem im EWR ansässigen Verantwortlichen akzeptieren. Der jetzige Beschluss der Europäischen Kommission über die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Verantwortliche haben ab dem Datum des Inkrafttretens achtzehn Monate Zeit, um alle bestehenden SCC, auf die sie sich derzeit bei der Durchführung internationaler Übermittlungen personenbezogener Daten stützen, durch die neuen SCC zu ersetzen.

SCC neu – Ende gut, alles gut?

Die Verwendung von SCC, auch der neuen SCC, als angemessener Schutzmechanismus wurde vom EuGH in der Rechtssache Schrems II jedoch in Frage gestellt (Entscheidung vom 16. Juli 2020, C-311/18). Zwar hat der EuGH grundsätzlich festgestellt, dass SCC ein wirksamer Mechanismus zum Schutz der Daten von EU-Bürgern sein können, deren personenbezogene Daten außerhalb des EWR übermittelt werden sollen. Der EuGH vertritt aber dennoch die Ansicht, dass eine Einzelfallanalyse erforderlich ist, um zu bewerten, ob der Datenimporteur im Drittstaat die SCC in der Praxis auch tatsächlich einhalten kann und ob das Rechtssystem des Drittlandes einer solchen Einhaltung nicht entgegensteht.

Dies ist beispielsweise bei der Datenübermittlung in die USA der Fall. Durch gesetzliche Bestimmungen sind Verantwortliche möglicherweise verpflichtet, die Daten den Überwachungsbehörden offenzulegen. Während in der Vergangenheit davon ausgegangen wurde, dass die Unterzeichnung der SCC an und für sich eine Übermittlung rechtskonform macht, müssen EU-Datenexporteure nun vor der Verwendung der SCC ein Transfer Impact Assessment (TIA) für den Einzelfall durchführen. Es obliegt den Datenexporteuren in der EU zu entscheiden, ob die Datenübermittlung überhaupt stattfinden kann, ob sie „nur“ SCC verwenden oder unter Berücksichtigung der Gesetzgebung des betreffenden Drittlandes zusätzliche (technische und/oder organisatorische) Sicherheitsvorkehrungen, wie Verschlüsselung und pseudonymisierte personenbezogene Daten, einführen müssen.

Zwischenfazit für die Praxis

Verantwortliche sind verpflichtet, die neuen SCC abzuschließen, sofern sie ihre Datenübermittlungen in Drittstaaten derzeit auf SCC basieren und haben hierfür 18 Monate Zeit. Ein pauschaler Abschluss von SCC ermöglicht aber grundsätzlich nicht (mehr), dass personenbezogene Daten ohne weiteres rechtskonform in Drittstaaten übermittelt werden können. Es ist vielmehr stets die konkrete Datenverarbeitung bzw. –übermittlung zu prüfen und zu evaluieren, ob der Datenimporteur überhaupt in der Lage ist, die Anforderungen bzw. die weiterreichenden Maßnahmen umzusetzen, oder ob gesetzliche Bestimmungen im Zielland dem entgegenstehen.

Bei Fragen steht Ihnen unser Datenschutzteam zur Verfügung.

Diese Website verwendet Cookies

Damit wir Ihnen während des Aufenthaltes auf unserer Website das bestmögliche Erlebnis bieten können, verwenden wir verschiedene Arten von Cookies. Bitte wählen Sie aus, welche Arten von Cookies Sie zulassen möchten und klicken Sie dann auf "Zustimmen". Mit dem Klick auf "Allen zustimmen" erklären Sie sich mit der Verwendung sämtlicher Cookies einverstanden. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einstellungen ändern. Mehr zum Thema Cookies finden Sie unter: Cookie-Policy. Weitere Informationen zum Thema Datenschutz finden Sie unter: Datenschutz.

Impressum

Betriebsnotwendige und
funktionale Cookies
Statistik-Cookies


Weitere Informationen