News

Neue Standarddatenschutzklauseln für internationalen Datentransfer und Standardvertragsklauseln für Auftragsverarbeitungsverträge

04.06.2021

Die Europäische Kommission hat heute die finale Fassung der neuen „Standarddatenschutzklauseln“ für Übermittlungen personenbezogener Daten in Drittländer und zugleich die finale Fassung der „Standardvertragsklauseln“ für Auftragsverarbeitungsverträge für Verarbeitungen in der EU veröffentlicht.

Hintergrund

Erste Entwürfe der nun verabschiedeten Klauseln hatte die EU-Kommission bereits am 12. November 2020 zur öffentlichen Konsultation veröffentlicht.

Zu den Entwürfen hatten unter anderem der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) in einer gemeinsamen Erklärung Stellung bezogen.

Neue Standardvertragsklauseln

Mit den neuen „Standardvertragsklauseln“ für Auftragsverarbeitungsverträge schafft die Kommission nun erstmalig eine EU-weit einheitliche Vertragsvorlage für Auftragsverarbeitungskonstellationen in der EU.

Damit macht die Kommission zum ersten Mal von ihrem in Artikel 28 (7) DS-GVO eingeräumten Gestaltungsspielraum Gebrauch.

Neue Standarddatenschutzklauseln für internationalen Datentransfer

Die neuen „Standarddatenschutzklauseln“ lösen die bislang noch geltenden Standardvertragsklauseln für Verantwortliche aus 2001 und Standardvertragsklauseln für Auftragsverarbeiter aus 2010 für Übermittlung personenbezogener Daten in Drittländer ab (vgl. Artikel 46 (2) (c) DS-GVO).

Die nun von der Kommission verabschiedeten neuen „Standarddatenschutzklauseln“ sehen eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vor. Insbesondere sollen die neuen „Standarddatenschutzklauseln“ im Sinne eines modularen Ansatzes sowohl auf Übermittlungen zwischen Verantwortlichen (Modul 1) als auch auf Transfers an Auftragsverarbeiter (Modul 2) Anwendung finden. Zudem sollen die neuen Klauseln auch für einen (Weiter-)Transfer von einem Auftragsverarbeiter an weitere (Unter-)Auftragsverarbeiter (Modul 3) Verwendung finden können sowie für einen Transfer von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).

Nach Auffassung der EU-Kommission berücksichtigen die neuen „Standarddatenschutzklauseln“ auch die Anforderungen des Europäischen Gerichtshofes (EuGH) aus seiner aufsehenerregenden Schrems-II-Entscheidung.

Auf Grund ihrer Natur als Vertragsklauseln können aber auch die neuen „Standarddatenschutzklauseln“ etwaige Konflikte mit nationalem Recht von Drittstaaten in letzter Konsequenz nicht abschließend lösen. Die EU-Kommission weist in ihrem Beschluss zu den „Standarddatenschutzklauseln“ (Rn. 19) sogar ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten.

Datenexportierende Unternehmen werden also in aller Regel auch auf Grundlage der neuen „Standarddatenschutzklauseln“ nicht umhin kommen, für sämtliche auf „Standarddatenschutzklauseln“ gestützte Übermittlungen in Drittländer im Einzelnen zu prüfen, welchen Gesetzen der jeweilige Datenimporteur im Drittland, an den sie die Daten übermitteln möchten, und etwaige weitere Empfänger unterliegen und ob diese Gesetze die von ihnen mit Unterzeichnung der „Standarddatenschutzklauseln“ gegebenen Garantien beeinträchtigen Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren und festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden.

Handlungsbedarf für Unternehmen

Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer verwenden, sieht der Beschluss zu den neuen „Standarddatenschutzklauseln“ eine Übergangsfrist von 18 Monaten vor.

Wir empfehlen daher, zeitnah bestehe Verträge zu prüfen und die für die Aktualisierung erforderlichen Schritte in die Wege zu leiten.

Weiterführende Links: