Die Europäische Kommission hat kürzlich die finale Fassung der neuen EU-Standardklauseln für die Übermittlungen personenbezogener Daten in Drittländer (USA ist auch ein Drittland!) veröffentlicht. Gleichzeitig ist auch die endgültige Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge fertiggestellt worden. Was das Ganze für Sie bedeuten kann, gibt es hier zum Nachlesen.

Standardklauseln – Notwendigkeit für Neuerungen

Vergangenen Juli hatte der Europäische Gerichtshof mit dem „Schrems II“-Urteil nicht nur die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shields für unzulässig erklärt, sondern auch erkannt, dass das Instrument der Standardklauseln beim Datentransfer in Drittstaaten datenschutzrechtlich nicht reicht. Zur Erinnerung: Als Drittstaaten gelten alle Länder außerhalb des EWR mit wenigen Ausnahmen (als sicher gelten: Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, UK und Uruguay).

Weitere Informationen zum Fall des Privacy Shields, können Sie hier nachlesen.

Seit der Entscheidung war vielen Unternehmen unklar, wie die Datenübermittlung an Empfänger in Drittstaaten erfolgen soll. Deshalb ist die Freude über neue Standardklauseln zur Sicherstellung der geeigneten Garantien nach Art. 46 DSGVO groß.

Aufbau der neuen Standardklauseln

Der modulare Aufbau der neuen Standardklauseln zeigt die möglichen Konstellationen zwischen den Vertragspartnern bei Drittstaatenübermittlungen. Es gibt insgesamt vier Module:

Modul 1: Übermittlung von Verantwortlichen an Verantwortliche

Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter

Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Standardklauseln – was ist neu?

• Die Übergangsfristen wurden angepasst:

• • Die neuen Standardklauseln gelten 20 Tage nach ihrer formellen Veröffentlichung im Amtsblatt der EU, also ab 24. Juni 2021.
  • Nach der Veröffentlichung im Amtsblatt, dürfen die alten Standardklauseln noch weitere 3 Monate verwendet werden, also bis 3. September 2021.
  • Für bestehende Verträge gilt eine Übergangsfrist von 15 statt 12 Monaten, also bis zum 3. September 2022.
  • Die neuen Standardklauseln bieten allerdings nicht in jedem Fall ausreichende Garantien, vor allem nicht für die USA! Vielmehr ist in jedem Einzelfall eine Gesamtbeurteilung notwendig, um zu sehen, ob noch zusätzliche Klauseln oder weitere Sicherheiten erforderlich sind. Dabei sind beispielsweise Informationen über die Anwendung der Rechtsvorschriften im Drittstaat, die Häufigkeit von Behördenanträgen auf Offenlegung der Daten (sprich: Zugriff von Regierungsbehörden auf personenbezogene Daten) oder die dokumentierte Erfahrung der Vertragsparteien zu berücksichtigen.

• Das bedeutet als praktisches Beispiel: So lange ein Unternehmen in den USA dem sogenannten FISA 702 unterliegt, wie Go2Meeting, Salesforce, Hub Spot, Mailchimp, Zoom und viele andere, reichen wie bisher die Standardvertragsklauseln nicht aus. Ja mehr noch: Geeignete Absicherungen für Daten von EU-Bürgern gibt es auch jetzt nicht.
• Neben den Standardklauseln wurde auch ein EU-Muster einer Auftragsvereinbarung nach Art 28 DSGVO veröffentlicht. Die Vereinbarung kann in bereits bestehende Verträge eingebunden oder auch alleine verwendet werden.

Unser Fazit

Auch der Abschluss der neuen Standardvertragsklauseln alleine ist keine Garantie für einen sicheren Drittstaatendatentransfer. Unternehmen sind selber dafür zuständig, zu prüfen, ob Standardklauseln ausreichen oder ob zusätzliche Maßnahmen erforderlich sind, um ein adäquates Datenschutzniveau zu gewährleisten. Um personenbezogene Daten etwa vor dem Zugriff von Regierungen zu schützen, müssen weitere Maßnahmen ergriffen werden. Es besteht zum Beispiel die Möglichkeit Daten vor der Übermittlung zu verschlüsseln oder zu anonymisieren.

Durch die neuen Standardklauseln besteht nun dringender Handlungsbedarf, wenn man mit Datenverarbeitern in Drittstaaten zusammenarbeitet.

Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer nutzten, beträgt die Übergangsfrist 15 Monate.

Wir empfehlen Ihnen daher, zeitnah bestehende Verträge zu prüfen und die für den Neuabschluss von Verträgen erforderlichen Schritte in die Wege zu leiten.

Wenn Sie Unterstützung benötigen, kontaktieren Sie uns jederzeit gerne.