Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


23.11.2020

Neue Standarddatenschutzklauseln – Entwurf der EU-Kommission

Die EU-Kommission hat ihre Entwürfe mit neuen Standarddatenschutzklauseln veröffentlicht. Hierfür hat sie sich relativ viel Zeit gelassen. Die bislang verfügbaren Standarddatenschutzklauseln stammen aus den Jahren 2001, 2004 und 2010 und werden den tatsächlichen Gegebenheiten und Anforderungen nicht mehr gerecht. Das gilt umso mehr mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) vom 16.7.2020 (Datenschutz-News v. 17.7.2020), das die EU-Kommission in ihrem Entwurf berücksichtigt hat.

Die Entwürfe für die neuen Standarddatenschutzklauseln sind modular aufgebaut. Dabei werden folgende vier Konstellationen der Datenübermittlung unterschieden:

  • Verantwortlicher und Verantwortlicher
  • Verantwortlicher und Auftragsverarbeiter
  • Auftragsverarbeiter und Verantwortlicher
  • Auftragsverarbeiter und Auftragsverarbeiter.

Mit den neuen Konstellationen werden beispielsweise auch Fälle abgedeckt, in denen der Verantwortliche und der Auftragsverarbeiter ihren Sitz in der EU haben, ein vom Auftragsverarbeiter beauftragter Sub-Auftragsverarbeiter sich dagegen in einem Drittland befindet.

Neu sind beispielsweise auch Garantien, die auf das Schrems II-Urteil des EuGH zurückzuführen sind und die Rechte der betroffenen Personen bei staatlichen Zugriffen stärken sollen. Hierzu zählen beispielsweise die unverzügliche Information der betroffenen Personen, wenn eine Datenherausgabe an staatliche Stellen im Raum steht und die Verpflichtung des Datenimporteurs, sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen.

Hintergrund

Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland, für ein Gebiet dieses Drittlands oder für die in Frage stehenden Branchen bzw. Tätigkeitsfelder in diesem Drittland ein angemessenes Datenschutzniveau festgestellt hat. Liegt kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs. 2 DSGVO unter anderem in Standarddatenschutzklauseln bestehen.

Bislang wurden drei Arten von Standardverträgen von der EU-Kommission gemäß Art. 26 Abs. 4 der Richtlinie 95/46/EG verabschiedet:

  • „Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001“ (sog. Standardvertrag I)
  • „Alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004“ (sog. Standardvertrag II)
  • „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010“ .
Diese "Standardverträge" und "Standardvertragsklauseln" sind Standarddatenschutzklauseln i.S.d. DSGVO und können als solche solange eingesetzt werden, bis sie mit einem Beschluss der EU-Kommission geändert, ersetzt oder aufgehoben werden (Art. 46 Abs. 5 Satz 2 DSGVO).

Ausblick und Praxishinweis

 

Bei den neuen Standarddatenschutzklauseln handelt es sich um einen Entwurf. Die EU-Kommission hat dazu aufgerufen, zu ihrem Entwurf Stellung zu beziehen. Diese öffentliche Konsultation läuft bis zum 10. Dezember 2020. Sobald die neuen Standarddatenschutzklauseln ihre finale Fassung erhalten haben und in Kraft treten, müssen die alten Klauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden. Dafür gilt es, rechtzeitig entsprechende Prozesse zu planen und aufzusetzen.

Wichtig: Der Einsatz von Standarddatenschutzklauseln entbindet auch in Zukunft nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland, in das die Daten übermittelt werden sollen. Die EU-Kommission legt auch mit den neuen Standarddatenschutzklauseln lediglich fest, dass diese Klauseln bei der Übermittlung personenbezogener Daten aus EU-Staaten in Drittländer grundsätzlich ausreichende Garantien für den Schutz des Persönlichkeitsrechts und die damit verbundenen Rechte bieten können. Ob das tatsächlich der Fall ist, muss der in der EU ansässige Verantwortliche in Bezug auf das in Frage stehende Drittland selbst prüfen und entscheiden, sofern wie z.B. aktuell für die USA (Datenschutz-News v. 17.7.2020) kein (rechtmäßiger) Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO vorliegt.

Für Datenübermittlungen in entsprechende Drittländer sind neben den aktuellen Standarddatenschutzklauseln zusätzliche Maßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten. Diese ergänzenden Sicherungsinstrumente können laut EuGH neben besonderen technischen Zugangssicherungen wie eine Datenverschlüsselung auch ergänzende Regelungen zu den aktuellen Standarddatenschutzklauseln mit zusätzlichen Garantien sein (Datenschutz-News v. 17.7.2020). Diesen Punkt hat die EU-Kommission in ihrem Entwurf neuer Standarddatenschutzklauseln aufgegriffen und die eingangs genannten zusätzlichen Garantien aufgenommen. Allerdings bleibt es bei der Risikoprüfung und Entscheidung des Verantwortlichen. Dabei sollten Sie beachten, dass Regelungen in Standarddatenschutzklauseln als alleinige zusätzliche Garantien "eigentlich" gerade nicht ausreichen können, wenn hoheitliche Zugriffe und Zugriffsrechte auf die übermittelten personenbezogenen Daten zur Diskussion stehen. Eine Bindung von Behörden und anderen staatlichen Institutionen oder eine Beschränkung des Rechts des Drittlandes ist nicht möglich.

Sollten Sie Fragen zu Standarddatenschutzklauseln, zur Datenübermittlung in Drittländer wie die USA oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht