bITte – RECHT, freundlich – Die Informationsrechts-Kolumne: Neue EU-Standardvertragsklauseln und Datentransfer-Folgenabschätzung

Am 4. Juli hat die EU-Kommission die neue Fassung der EU-Standardvertragsklauseln (SCC) veröffentlicht und neben den Anpassungen an die DSGVO auch eine Datentransfer-Folgen­abschätzung verankert.

Grundsätzlich dürfen Übermittlungen von personenbezogenen Daten in einen Drittstaat (also einen Staat außerhalb des Europäischen Wirtschaftsraums EWR) nur dann erfolgen, wenn neben dem Vorliegen der allgemeinen Voraussetzungen für eine Übermittlung an einen Dritten grundsätzlich auch ein angemessenes Datenschutzniveau bei diesem Dritten vorhanden ist. Die DSGVO gibt hierfür verschiedene Möglichkeiten an, insbesondere einen Angemessenheitsbeschluss der EU-Kommission (etwa Kanada, Japan oder die Schweiz) nach Art. 45 DSGVO, verbindliche interne Datenschutzvorschriften (sogenannte Binding Corporate Rules, Art. 47 DSGVO) oder aber den Abschluss der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Auch wenn das »Schrems II«-Urteil des EuGH (Urt. v. 16.7.2020, Rs. C-311/18) sich in erster Linie auf das EU-US-Privacy Shield bezogen hat (und dessen Unwirksamkeit festgestellt hat), wurden auch die (damaligen) Standardvertragsklauseln gleichwohl berücksichtigt. Zwar stellen diese ein geeignetes Mittel dar, damit personenbezogene Daten in ein Drittland übermittelt werden können, jedoch hat der EuGH auch festgestellt, dass die Datenexporteure sicherstellen müssen, dass die lokalen Gesetze der Datenimporteure die Vorgaben der Standardvertragsklauseln nicht unterlaufen. Prominente Beispiele für solche Gesetze sind etwa Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act oder das chinesische »Multi Level Protection Scheme 2.0«, welche Unternehmen zur Offenlegung von Daten und Informationen gegenüber den lokalen (Geheimdienst-) Behörden zwingen.

In der Folge sind Verantwortliche gezwungen, vor Abschluss von Verträgen (und der Standardvertragsklauseln) mit Unternehmen, welche direkt (oder indirekt, zum Beispiel über die Konzernmutter) in Drittländern sitzen, eine Prüfung vorzunehmen, ob das dortige Datenschutzniveau angemessen ist und ob gegebenenfalls zusätzliche Maßnahmen ergriffen werden müssen (sogenannte Datentransfer-Folgenabschätzung).

Anzeige

Mit der Anpassung der Standardvertragsklauseln hat die EU-Kommission auf diese Entwicklung reagiert und in der Klausel 14 entsprechende Verpflichtungen für Datenexporteure und Datenimporteure festgelegt. Es reicht somit ausdrücklich nicht mehr aus, sich ausschließlich auf die Standardvertragsklauseln zu verlassen.

Im Rahmen dieser Prüfung sind zu berücksichtigen:

  • die besonderen Umstände der Übermittlung, insbesondere:
    • die Länge der Verarbeitungskette und die Anzahl der beteiligten Akteure
    • die verwendeten Übertragungskanäle
    • beabsichtigte Datenweiterleitungen
    • die Art des Empfängers
    • den Zweck der Verarbeitung
    • die Kategorien und das Format der übermittelten Daten
    • der Wirtschaftszweig, in dem die Übertragung erfolgt
    • der Speicherort der übermittelten Daten
  • die Gesetze und Vorschriften des Drittstaates einschließlich einer gegebenenfalls notwendigen Offenlegung von Daten gegenüber Behörden
  • die vereinbarten technischen und organisatorischen Maßnahmen

Gleichzeitig muss der Datenimporteur zusichern, sich gegen Anfragen der Behörden (gerichtlich) zu verteidigen und den Datenexporteur hierüber zu informieren.

Die Prüfung kann dabei auf Basis relevanter eigener (einschlägiger!) Erfahrungen im Rahmen der bisherigen Zusammenarbeit mit dem Datenimporteur erfolgen und auch zuverlässige Informationen aus anderen Quellen (zum Beispiel öffentlich zugängliche Informationen, Rechtsgutachten, Berichte von Branchenverbänden oder Aufsichtsbehörden) beinhalten. Dabei ist die Prüfung zu dokumentieren und es gilt auch zu beachten, dass die enthaltenen Informationen gegebenenfalls gegenüber der Aufsichtsbehörde offengelegt werden müssen.

Anzeige

Die Kernfrage der Prüfung lautet: »Kann der Vertragspartner (objektiv) seinen Verpflichtungen aus den Standardvertragsklauseln vollumfänglich und jederzeit nachkommen?« – Sollte diese Frage nicht mit einem sicheren »Ja« beantwortet werden können, muss der Datenexporteur zusätzliche eigene Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau herzustellen.

Dabei sind neben den innereuropäischen Empfängern mit zum Beispiel US-amerikanischen Muttergesellschaften  auch die verschiedenen Pflichten der DSGVO (je nach Zählweise bis zu 68 in verschiedenen Ausprägungen) zu berücksichtigen. Gleiches gilt auch für das mutmaßliche »Allheilmittel« der Verschlüsselung – nur wenn der Datenempfänger tatsächlich auf die Daten zugreifen kann, läge auch eine Übermittlung vor.

In der Folge sind die Verantwortlichen gezwungen, jede relevante Veränderung des Rechts im Empfängerstaat zu beobachten und im Rahmen der Datentransfer-Folgenabschätzung auch auf mögliche Auswirkungen auf das Datenschutzniveau zu bewerten. Dabei muss der Datenimporteur durch die unverzügliche Meldung solcher Veränderungen mitwirken. Gleichzeitig ist im Falle relevanter Veränderungen der Rechtslage auch eine schnelle Reaktion vonnöten. Somit sollten diese Fälle vorausgedacht und entsprechende Kontingenzplanungen angestellt werden.

Unternehmen stehen jetzt vor folgenden Aufgaben:


Festlegung eines Prozesses für die Datentransfer-Folgenabschätzung

Für die Datentransfer-Folgenabschätzung sollte ein unternehmensweit einheitlicher Prozess etabliert werden, damit eine konsistente Bewertung von Übermittlungen auch an verschiedene Vertragspartner und über einen längeren Zeitraum hinweg erfolgen kann.


Überblick verschaffen

Falls Unternehmen es noch nicht getan haben sollten, sollten spätestens jetzt alle Übermittlungen an andere Unternehmen und Organisationen dahingehend geprüft werden, ob ein Drittlandbezug (auch indirekt über Konzernstrukturen) gegeben ist. Dabei ist häufig auch die Mitwirkung der Dienstleister und anderer Unternehmen notwendig, um die Strukturen der Verarbeitungsketten zu erkennen – somit sollte ausreichend Zeit eingeplant werden.


Notwendigkeit prüfen

Bis zum 27.12.2022 sind bestehende Vertragsverhältnisse auf die neuen Standardvertragsklauseln anzupassen. Dabei sollten insbesondere gegenwärtig laufende Verhandlungen diesbezüglich geprüft werden. Falls der Vertrag eine kürzere Laufzeit hat (zum Beispiel bei einmaligen Übermittlungen), ist eine Anpassung nicht notwendig.


Auswahl und Anpassungen der richtigen Standardvertragsklauseln 

Die neuen SCC bestehen aus vier Modulen mit verschiedenen Übermittlungssituationen (Controller to Controller / Verantwortlicher an Verantwortlicher; Controller to Processor / Verantwortlicher an Auftragsverarbeiter; Processor to Processor / Auftragsverarbeiter an (Unter-) Auftragsverarbeiter; Processor to Controller / Auftragsverarbeiter an Verantwortlicher). Somit müssen die »richtigen« Standardvertragsklauseln ausgewählt werden und gegebenenfalls weiter angepasst werden. Jedoch ist Vorsicht geboten, denn die Klauseln an sich und auch der Wortlaut sollten bestehen bleiben, damit die Wirksamkeit erhalten bleibt. Weiterhin bietet sich (zumindest im Hauptvertrag) die Regelung der mit den Vorgaben der SCC zusammenhängenden Kosten an.


Beobachtung der weiteren Entwicklung

Nach der Ende Juni von mehreren Aufsichtsbehörden gestarteten Fragebogenaktion, welche auch die Übermittlung in Drittstaaten zum Inhalt hatte, ist zu erwarten, dass diese sich zukünftig auch zum Thema Datentransfer-Folgenabschätzung äußern werden. Die diesbezüglichen Entwicklungen sollten weiterhin beobachtet werden und die entsprechenden Hinweise und Vorgaben nach kritischer Prüfung in den Prozess zur Datentransfer-Folgenabschätzung einfließen.

 



Christoph Lüder (l.),
Marcus Schwertz,
LEXTA – Part of Accenture
www.lexta.com/de

 

Illustration: © Croisy/shutterstock.com

 

Artikel zu „DSGVO Standardvertrag“

Datenschutzkonforme Marketing-Automation im B2B: Hilfe, ich habe ein US-Tool im Einsatz

Das Thema Datenschutz bringt US-Tools wie Mailchimp und Hubspot zunehmend in Verruf. Das sorgt für Verunsicherung bei B2B-Unternehmen: Dürfen US-Tools überhaupt noch zum Einsatz kommen? Wie ist E-Mail-Marketing und Marketing-Automation datenschutzkonform möglich?   Gerade als B2B-Unternehmen dachten, die EU-Datenschutzgrundverordnung (DSGVO) verdaut zu haben, mussten sie die nächste bittere Pille schlucken: Denn wie einst das Safe-Harbour-Abkommen…

Strategien und Erfahrungen beim hyperkonvergenten IT-Betrieb der nächsten Generation

Erste Marktstudie zum aktuellen Hybrid Cloud Trend im deutschen Mittelstand erschienen. Das IT-Analystenhaus techconsult aus der Unternehmensgruppe des heise-Verlags und der Kölner Cloud-Anbieter gridscale veröffentlichen kostenfrei die Ergebnisse einer umfassenden empirischen Erhebung zu Einsatzszenarien, Vorgehensmodellen und Status Quo von Hybrid Cloud und hyperkonvergenten Infrastrukturen (HCI) beim IT-Betrieb der nächsten Generation. Erstmalig konzentriert sich eine Marktbefragung…

Hybride Cloud-Infrastrukturen im deutschen Mittelstand: Hyperkonvergente Infrastrukturen

Hyperkonvergente Infrastrukturen erwachen aus dem Dornröschenschlaf.   Das Beratungsunternehmen techconsult hat im Rahmen einer aktuellen Studie zusammen mit gridscale untersucht, wie mittelständische Unternehmen, nicht erst seit der Corona-Pandemie, die Modernisierung ihrer IT-Infrastrukturen vorantreiben. Die hieraus resultierende Studie bietet tiefgehende Einblicke, mit welchen Herausforderungen sich die Unternehmen bei ihrer Transformation konfrontiert sehen, wie eine zukunftssichere Cloud-…

»Boundless Security«

Die durch die Pandemie ausgelöste Digitalisierungswelle und der vermehrte Home-Office-Einsatz der Mitarbeiter benötigen bestmögliche Absicherung durch ineinandergreifende IT-Security-Lösungen, denn durch die steigende Vernetzung gibt es immer mehr Einfallstore ins Netzwerk, die geschützt werden müssen. »Boundless Security« bietet einen grenzenlosen Sicherheitsansatz mit dem SonicWall ihre Kunden über alle wichtigen Angriffsvektoren hinweg schützen will, inklusive zentralem Management…

Diese fünf IT-Jobs sind gerade besonders gefragt

Die Gehaltsübersicht 2021 gibt einen umfassenden Einblick in Markttrends und Verdienstmöglichkeiten. Die Folgen der Corona-Pandemie haben im vergangenen Jahr auch die IT-Branche getroffen: Vor allem in der ersten Jahreshälfte 2020 mussten sich viele IT-Fachkräfte auf dem Arbeitsmarkt nach einer neuen Stelle umsehen. Sorge um ihre Zukunft müssen sie sich aber nicht machen: Gut ausgebildete IT-Spezialisten…

Schrems II: Das Dilemma der KMU

Vor 40 Jahren wurde die europäische Datenschutzkonvention unterzeichnet. Jährlich wird deshalb am 28. Januar der  Europäische Datenschutztag begangen. Der Datenschutz stellt Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof in Sachen Schrems II wächst der Druck auf kleine und mittlere Unternehmen, ihre Prozesse und Abläufe neu evaluieren und den Regularien der EU-DSGVO…

EU-US Privacy Shield gestoppt: Sicherheitstipps zum Datentransfer in die USA

Das Urteil des Europäischen Gerichtshofs (EuGH) ist gefallen: Das EU-US Privacy Shield, das den Austausch personenbezogener Daten zwischen der EU und den US legitimiert, ist für ungültig erklärt worden. Der EuGH sah das Datenschutzniveau nach europäischen Maßstäben als nicht gesichert an. »Konkret bedeutet das Scheitern des Privacy Shields, dass eine rechtliche Grundlage für den Datentransfer…

EuGH-Urteil gegen Privacy Shield: mehr digitale Souveränität dringend erforderlich

Die Entscheidung des EuGH, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen, setzt die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck. Sie dürfen keine personenbezogenen Daten mehr in die USA übermitteln, wenn die Übermittlung bisher auf Basis des Privacy Shields erfolgte. VOICE empfiehlt Anwendern dringend die Verträge mit Cloud-Providern zu überprüfen und…

Privacy Shield: EuGH-Urteil ein Sieg für den Datenschutz

Spezialisten für Datenschutz begrüßen ausdrücklich die Entscheidung des Europäischen Gerichtshofs in Bezug auf den EU-US Privacy Shield, die den Transfer jedweder persönlicher Daten in amerikanische Public-Cloud-Dienste wie Microsoft OneDrive, Google Drive, Dropbox oder Box.com für unrechtmäßig erklärt. Mit dem Urteil rücken europäische Alternativen wie das Cloud-Projekt Gaia-X und auf Open-Source-basierende Content-Collaboration-, Enterprise-Filesync- und Fileshare-Lösungen wie…

Sicherheitsprognosen für 2019

  Kaum zu glauben, aber (auch) 2018 ist wieder wie im Flug vergangen. Das Jahr war geprägt von Sicherheitslücken und Datenschutzverletzungen. Betroffen nicht zuletzt die einflussreichsten Sozialen Medien der Welt. Die Mutter aller sozialen Medien, Facebook, hatte in dieser Hinsicht ein ziemlich desaströses Jahr. Ende September gab das Unternehmen bekannt, dass bis zu 50 Millionen…