Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2021, S. 27f.
Die EU-Kommission hat im Juni 2021 neue Standardvertragsklauseln für den internationalen Datentransfer vorgelegt. Die neuen Klauseln bilden die Anforderungen der „Schrems II“-Rechtsprechung des Europäischen Gerichtshofs (EuGH) ab und ermöglichen erstmals datenschutzrechtliche Dienstleisterketten. Verantwortliche Stellen in Niedersachsen sind bereits seit Herbst vergangenen Jahres verpflichtet, für Neuverträge die neuen Klauseln einzusetzen und müssen bis Ende 2022 sämtliche Altverträge umstellen.
Der internationale Datenverkehr hat aufgrund der weltweiten Vernetzung enorm an Bedeutung gewonnen, zugleich sind hierdurch neue Herausforderungen für den Schutz personenbezogener Daten entstanden. Die DS-GVO will internationale Datentransfers nicht unterbinden, verfolgt aber das Ziel, dass das durch die DS-GVO unionsweit gewährleistete Schutzniveau für natürliche Personen bei der Übermittlung an Empfänger in Drittländer gewährleistet wird. Denn sind personenbezogene Daten erst einmal an Drittstaaten ohne vergleichbares Datenschutzniveau übermittelt, lassen sich diese nicht mehr immer ohne Weiteres zurückholen oder löschen. Daher ist es von grundlegender Bedeutung, dass das Schutzniveau der DS-GVO auch erhalten bleibt, wenn die personenbezogenen Daten den Europäischen Wirtschaftsraum verlassen.
Um dies zu erreichen werden in der Praxis vor allem Standardvertragsklauseln eingesetzt. Hierbei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, auf deren Grundlage europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart werden. Bei ihrer Verwendung kann die Übermittlung personenbezogener Daten in
Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen (Art.
46 Abs. 2 Buchstabe c DS-GVO).
Neuer modularer Aufbau
Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen. Vorausgegangen war ein Entwurf vom November 2020, zu welchem der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte Anfang 2021 eine gemeinsame Stellungnahme abgegeben hatten, an deren Ausarbeitung meine Behörde beteiligt war.
Beschluss der EU-Kommission: https://t1p.de/svk
Die neuen Standardvertragsklauseln sind modular aufgebaut und können in folgenden Übermittlungskonstellationen eingesetzt werden:
• Modul 1: Verantwortlicher an Verantwortlichen
• Modul 2: Verantwortlicher an Auftragsverarbeiter
• Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
• Modul 4: Rückübermittlung durch den Auftragsverarbeiter in der EU an einen Verantwortlichen im Drittland
Während bei den alten Standardvertragsklauseln der Datenexporteur stets der Verantwortliche war, können mit dem Modul 3 nun erstmals unmittelbar Dienstleisterketten abgebildet werden, in denen der Auftragsverarbeiter personenbezogene Daten an einen Unterauftragsverarbeiter exportiert. Neu ist zudem das Modul 4, welches die Rückübermittlung von einem Auftragsverarbeiter in der Union an einen Verantwortlichen in einem Drittland abdeckt. Mit den neuen Standardvertragsklauseln ist die Notwendigkeit entfallen, bei der Übermittlung an einen Auftragsverarbeiter zusätzlich einen Vertrag nach Art. 28 DS-GVO abzuschließen. Die Anforderungen des Art. 28 Abs. 3 und 4 DS-GVO wurden in die neuen Klauseln eingearbeitet.
„Schrems II“ eingearbeitet, aber nicht gelöst
Mit dem „Schrems II“-Urteil vom 16. Juli 2020 hat der EuGH die Anforderungen an die Verwendung von Standardvertragsklauseln in der Praxis ganz erheblich verschärft (siehe dazu ausführlich meinen Tätigkeitsbericht 2020, S. 27). Danach liegt es in der Verantwortung eines Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob in dem Drittland ein Schutzniveau für personenbezogene Daten besteht, das dem in der EU gleichwertig ist.
Dabei geht es vor allem um die Frage, ob die Vertragsparteien beim Abschluss von Standardvertragsklauseln und unter Berücksichtigung zusätzlicher Maßnahmen Grund zu der Annahme haben, dass die Rechtsvorschriften und Gepflogenheiten im Drittland den Datenimporteur an der Erfüllung seiner Pflichten aus den Standardvertragsklauseln hindern. Sofern das der Fall ist, müssen gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen oder von der Übermittlung abgesehen werden.
An dieser Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln lediglich die bisher aus der Rechtsprechung des EuGH folgenden Anforderungen. Der Datenexporteur muss auch bei Verwendung der neuen Klauseln die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen oder von der Übermittlung Abstand nehmen.
Umsetzungsfristen beachten
Verantwortliche müssen die von der Kommission gesetzten Umsetzungsfristen beachten. Bereits seit dem 27. September 2021 sind die neuen Standardvertragsklauseln zwingend für den Abschluss von Neuverträgen zu verwenden. Spätestens zum Ablauf des 27. Dezembers 2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2021, S. 27f.