Es kehrt keine Ruhe ein beim Thema Datenübermittlung in Drittstaaten. Doch dieses Mal gibt es sehr begrüßenswerte Nachrichten:

Die EU-Kommission hat 3 Jahre nach Einführung der DSGVO die Standardvertragsklauseln aktualisiert und neue Klauseln verabschiedet (https://ec.europa.eu/germany/news/20210604-datentransfers-eu_de).  Dies soll für mehr Rechtssicherheit sorgen, indem auf die neue Rechtslage und aktuelle Entwicklungen reagiert wird, insbesondere das Schrems II-Urteil wird durch die neuen Klauseln berücksichtigt.

Was ist neu?

Die wohl wichtigste Neuerung ist der modulare Aufbau der Klauseln. Das heißt, es gibt nun nicht mehr zwei verschiedene Sets von Klauseln (Übermittlung Verantwortlicher an Verantwortlicher und Übermittlung Verantwortlicher an Auftragsverarbeiter), sondern ein Dokument, welches alle Konstellationen berücksichtigt. Zur Konstellation Übermittlung Verantwortlicher an Verantwortlicher und Verantwortlicher an Auftragsverarbeiter kamen nun noch die Konstellationen Übermittlung Auftragsverarbeiter an Auftragsverarbeiter und Auftragsverarbeiter an Verantwortlicher hinzu. Hiermit wird dem Umstand Rechnung getragen, dass es bisher nicht für jede Situation, die passenden Standardvertragsklauseln gegeben hat.

Für jede der Konstellationen gibt es eines von vier Modulen. Beim Abschluss der Klauseln muss das für die vorliegende Verarbeitungsverhältnis passende Modul gewählt werden:

• Modul 1: Verantwortlicher – Verantwortlicher
• Modul 2: Verantwortlicher – Auftragsverarbeiter
• Modul 3: Auftragsverarbeiter – Unterauftragsverarbeiter (im Drittstaat)
• Modul 4: Auftragsverarbeiter (im Drittstaat) – Verantwortlicher (in der EU)

In den Anhängen werden ebenfalls wieder Verarbeitungszwecke, Datenkategorien und getroffene technische und organisatorische Maßnahmen festgelegt. Zusätzlich hierzu kann nun auch noch das national gültige Datenschutzrecht bzw. Datenschutzgesetz (z. Bsp. BDSG) und ein Gerichtsstand gewählt werden.

Zudem wurde insbesondere das Schrems II-Urteil im Abschnitt III (Klauseln 14 und 15) berücksichtigt. Es soll, wie bereits von den Datenschutzaufsichtsbehörden gefordert, zukünftig verpflichtend eine Abschätzung der Folgen des Datentransfers erfolgen („Transfer Impact Assessment“). Dabei ist zu überprüfen, ob der Vertragspartner in der Lage ist seinen Pflichten aus den Klauseln nachzukommen. Im Hinblick auf die USA ist damit beispielsweise gemeint, dass zu prüfen ist, ob aufgrund der vorliegenden Gesetzeslage dort ausgeschlossen werden kann, ob die Rechte von EU-Bürgern beispielsweise durch geheimdienstliche Datenabfrage verletzt werden. Der Datenimporteur verpflichtet sich durch die Klausel 15 jedenfalls dazu, dass Behördenanfragen abgelehnt werden oder gerichtlich dagegen vorgegangen wird, sobald diese den Standarddatenschutzklauseln widersprechen. Es besteht nach dem Abschluss der Klauseln zudem die Pflicht Anfragen durch den Datenimporteur zu dokumentieren und dem Auftraggeber sowie den zuständigen Aufsichtsbehörden mitzuteilen.

Im Grunde sind hier ähnliche Überprüfungen und Überlegungen anzustellen, wie sie bereits nach dem Wegfall des Privacy Shield gefordert und verlangt wurden.

18 Monate Frist zur Umsetzung

Ab dem Zeitpunkt der Veröffentlichung bleiben den Datenexporteuren 18 Monate Zeit, die bestehenden alten Standardvertragsklauseln mit den Vertragspartnern auf die neuen Klauseln umzustellen. Geschieht dies in dieser Zeit nicht, stellt dies nach dem Dezember 2022 einen Datenschutzverstoß dar.

Werden neue Verträge geschlossen, welche Datenübermittlungen in Drittstaaten beinhalten und den Abschluss von Standardvertragsklauseln erfordern, so sind hierfür von nun an die neuen Klauseln zu verwenden.

Der Abschluss der Klauseln kann ganz individuell erfolgen oder beispielsweise durch das akzeptieren der AGB von großen Anbietern wie Microsoft, Apple, Google, Amazon, etc. Es wird außerdem spannend sein zu sehen, wann und wie diese Unternehmen die neuen Klauseln in ihre Vertragswerke integrieren.

Für die Module 1, 2 und 3 ist es nicht notwendig zusätzlich noch eine Auftragsverarbeitungsvereinbarung abzuschließen. Diesen Zweck erfüllen bereits die Standardvertragsklauseln.

Was ist nun zu tun?

Wenn die erforderlichen Schritte nach dem Schrems II-Urteil bereits umgesetzt wurden, ist nun im Hinblick auf die neuen Klauseln etwas weniger zu tun. Grundsätzlich sind aber für die Umstellung auf die neuen Klauseln folgende Schritte zu beachten:

1. Überprüfung der eingesetzten Dienstleister auf Datenübermittlungen in Drittstaaten und ggf. abgeschlossene Standardvertragsklauseln (alt)
2. Übersendung der neuen Standardvertragsklauseln in Eigeninitiative oder Bitte um Übermittlung der Klauseln vom Dienstleister
3. Prüfung der Sicherheitsmaßnahmen beim Dienstleister: Es ist zu prüfen, ob der Dienstleister die zugesicherten Verpflichtungen auch einhalten kann (dabei sind auch die Datenschutzregeln und Zugriffsrechte von Behörden in den Drittstaaten mit einzubeziehen). Eine Einschätzung und ein Nachweis (von TOMs) kann vom Dienstleister verlangt werden.
4. Überprüfung der Klauseln, ob die korrekten Module ausgewählt und die Anlagen korrekt ausgefüllt wurden (Datenkategorien, Verarbeitungszweck, TOMs, Gerichtsstand)
5. Abschließende Überprüfung, ob der Dienstleister das Datenschutzniveau anhand der Sicherheitsmaßnahmen und der Datenschutzsituation im Drittland einhalten kann.
6. Dokumentation der abschließenden Überprüfung und Abschluss der neuen Standardvertragsklauseln

Die neuen Standardvertragsklauseln können unter folgenden Links eingesehen werden:

• Deutsch: https://ec.europa.eu/info/sites/default/files/1_de_annexe_acte_autonome_cp_part1_v3.pdf
• Englisch: https://ec.europa.eu/info/sites/default/files/1_en_annexe_acte_autonome_cp_part1_v5_0.pdf

Nachdem bereits durch den Wegfall des Privacy Shield ein erhöhter Aufwand von Überprüfungsmaßnahmen notwendig war, stellt die Umstellung auf die neuen Klauseln nun erneut wesentlichen Aufwand dar. Aber besonders im Hinblick auf die Rechtssicherheit lohnt sich dies unserer Einschätzung nach, denn diese neuen Klauseln sorgen dafür, dass viele Datenimporteure grundsätzlich ihre Maßnahmen zum Schutz der Daten von EU-Bürgern aktualisieren und erneuern müssen, da sie sonst gegen die Klauseln verstoßen. Es wird in den nächsten 18 Monaten interessant sein, zu sehen, wie die Umstellung in der Fläche und insbesondere von den großen Datenverarbeitungsunternehmen mit Sitz in den USA umgesetzt wird.

Der Datenschutzbeauftragte kann bei der Umsetzung der notwendigen Maßnahmen gerne mit Rat und Tat behilflich sein.