Datenschutz

Die neuen Standardvertragsklauseln und der Standard-AVV 

Den transatlantischen Datenverkehr in eine Sinnkrise gestürzt ganz klar das Schrems-II-Urteil. Denn Mitte 2020 urteilte der Europäische Gerichtshof (EuGH) darüber, dass die zentrale Rechtsgrundlage für den Datenverkehr zwischen EU und USA (das sog. Privacy Shield) nicht mit europäischen Recht zu vereinbaren sei. Erst vor kurzem haben die deutschen Aufsichtsbehörden u. a. damit begonnen, großflächig zu überprüfen, welche Unternehmen dennoch Daten in die USA übermitteln. Jetzt hat die Europäische Kommission schon eine erste Lösungsmöglichkeit für EU-Unternehmen vorgestellt. 

Die EU-Kommission hat einen Lösungsvorschlag 

Die EU-Kommission hat im Juni 2021 neue Musterverträge für den Drittlandtransfer (sog. Standardvertragsklauseln) entworfen. 

Eine Frage ist hierbei jedoch offen: 

Können den die US-Unternehmen diese neuen Verträge überhaupt vollständig erfüllen. 

Im 19. Erwägungsgrund zum Entscheidungsentwurf heißt es da: 

Die Übermittlung und Verarbeitung personenbezogener Daten im Rahmen von Standardvertragsklauseln sollten nicht erfolgen, wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern. 

Etwas anders ausgedrückt dann: Wer personenbezogene Daten in die USA auf Grundlage der neuen Standardvertragsklauseln übermitteln will, ist zukünftig verpflichtet, sich mit dem US-Recht auseinanderzusetzen und dahingehend auch zu überprüfen, ob die US-Datenempfänger denn im Moment überhaupt in der Lage sind, sich zu 100% an ihre Verpflichtungen zu halten. 

Wann müssen die neuen Standardvertragsklauseln denn umgesetzt werden? 

Im Hinblick auf die jetzige Pflicht zur Umsetzung der neuen Standardvertragsklauseln muss eindeutig zwischen Neuverträgen und Altverträgen klar unterschieden werden: 

Neuverträge: 

Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln immer berücksichtigt werden. 

Altverträge: 

Bei bereits bestehenden Verträgen, müssen die bereits abgeschlossenen Standardvertragsklauseln bis zum 27. Dezember 2022 komplett durch die neuen Standardvertragsklauseln ersetzt werden.

Standardvertragsklauseln – oder Standarddatenschutzklauseln, wie sie in der DSGVO bezeichnet werden (Art. 46 Abs. 2c)? 

Hierbei handelt es sich um Musterverträge, die beide Parteien klar und eindeutig dazu verpflichten, ein mit der EU vergleichbares Datenschutzniveau einzuhalten. 

Sie können in folgenden Konstellationen eingesetzt werden und sind Modular aufgebaut: 

• Verantwortlicher an Verantwortlichen 
• Verantwortlicher an Auftragsverarbeiter 
• Auftragsverarbeiter an (Unter-)Auftragsverarbeiter 
• Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland 

Die neuen Standarddatenschutzklauseln schreiben damit erstmals Garantien vor, um die etwaigen Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur klar zu regeln. 

Die neuen Standardvertragsklauseln sehen hier eine obligatorische Risikoeinschätzung vor, die von den Beteiligten auch durchgeführt werden muss. Beide Parteien müssen dabei auch versichern, dass sie keinerlei Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Die Risikoeinschätzung ist selbstverständlich auch zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen. 

Wie geht es denn dann jetzt weiter? 

Die nächsten Schritte sind u. a. dann folgende: 

Erstens: Jedes Unternehmen nimmt baldigst sein Verzeichnis von Verarbeitungstätigkeiten in die Hand und untersucht genau, bei welchen Verarbeitungsvorgängen tatsächlich ein US-Datentransfer stattfindet. 

Zweitens: Soweit dabei dann festgestellt wird, dass ein US-Datentransfer auf eine gesonderte Einwilligung der Betroffenen gestützt wird, sollte es zunächst auch so bleiben. Soweit aber dabei aber festgestellt wird, dass eine Datenübermittlung in die USA auf die alten Standardvertragsklauseln gestützt wird, sollte zeitnah ein weiterer Prüfschritt erfolgen (siehe Drittens). 

Drittens: Bei allen Vorgängen, die im Moment auf den Standardvertragsklauseln beruhen, sollte zunächst auch geprüft werden, ob im konkreten Fall das jeweils geltende US-Recht die Einhaltung der neuen Standardvertragsklauseln ermöglicht oder eben nicht. Nur wenn dies bejaht werden kann sollte auf den Einsatz der neuen Standardvertragsklauseln gesetzt werden. Anderenfalls muss demnach eine Alternative gefunden werden.