Neue Standarddatenschutzklauseln (I)

Beitrag verfasst von Dr. Rainer Knyrim, Dr. Gerald Trieb, LL.M. und Denise Stahleder, LL.B. – KTR-Newsletter August 2021

Am 4. Juni 2021 hat die Europäische Kommission (Publications Office (europa.eu) neue Standarddatenschutzklauseln (im Text der Kommission entgegen der Bezeichnung in Art 46 Abs 2 lit c DSGVO allerdings Standardvertragsklauseln genannt) angenommen, die im Fall von Datentransfers in Drittländer angewendet werden können. Um mehr Rechtssicherheit zu schaffen, wurden die neuen Anforderungen der DSGVO und die Vorgaben aus dem Schrems II-Urteil einbezogen.

Die neuen Standarddatenschutzklauseln sehen einen modularen Ansatz vor: Neben der Anwendung zwischen (1) Verantwortlichem und Verantwortlichem und (2) Verantwortlichem und Auftragsverarbeiter können die neuen Standarddatenschutzklauseln nun auch zwischen (3) Auftragsverarbeiter und Unterauftragsverarbeiter sowie zwischen (4) Auftragsverarbeiter und Verantwortlichem angewendet werden. Während es sich bei den alten Standardvertragsklauseln um zwei separate, vollständige Vertragsmuster für die beiden geregelten Szenarien von Datenübermittlungen gehandelt hat, enthalten die neuen Klauseln einerseits Inhalte, die für alle Übermittlungsszenarien gelten, andererseits modulare Inhalte, die nur auf bestimmte Arten der vier Datentransferszenarien anwendbar sind. Es müssen daher entweder aus dem Entwurf der Kommission zunächst die für das im konkreten Fall jeweils vorliegende Szenario anwendbaren Passagen ausgewählt und zusammengefügt werden (was einen erheblichen Aufwand und hohe Aufmerksamkeit erfordert) oder muss festgehalten werden, für welches Szenario die Klauseln abgeschlossen werden sollen. Zudem muss an mehreren Stellen eine Auswahl zwischen verschiedenen Textoptionen getroffen werden. Für die Praxis besonders relevant ist das neue Modul 3 für die Übermittlung von einem innerhalb der EU ansässigen Auftragsverarbeiter an einen Unterauftragsverarbeiter im Drittland; die bisherige „Hilfskonstruktion“ für den Fall, dass der Auftragsverarbeiter innerhalb der EU sitzt, Standardvertragsklauseln zwischen dem Verantwortlichen und dem Unterauftragsverarbeiter abzuschließen, ist nun nicht mehr nötig. Die neuen Standarddatenschutzklauseln lösen dieses Problem nun, im Unterschied zu den alten Standardvertragsklauseln, durch Abschluss des entsprechenden Moduls der neuen Klauseln.

Im Gegensatz zu den alten Klauseln können die neuen auch von Verantwortlichen oder Auftragsverarbeitern verwendet werden, die nicht im EWR ansässig sind, sofern deren Verarbeitung unter die DSGVO fällt und auch diese folglich geeignete Garantien für internationale Datentransfers vorsehen müssen.  Ein weiterer Unterschied zu den alten Klauseln besteht darin, dass nach dem Wortlaut der Entscheidung der Kommission jedenfalls zwischen Verantwortlichem und Auftragsverarbeiter bzw. zwischen Auftragsverarbeiter und Unterauftragsverarbeiter kein separater Auftragsverarbeitervertrag abgeschlossen werden muss, da die neuen Klauseln den Anforderungen an einen Auftragsverarbeitungsvertrag nach Art 28 Abs 3 lit f DSGVO entsprechen. Nur so lässt sich auch erklären, dass die Kommission ihre Entscheidung nicht nur auf Art 46 Abs 1 lit c, sondern auch auf Art 28 Abs 7 DSGVO stützt, nach denen sie zur Erlassung von  – richtig – Standarddatenschutzklauseln (Art 46) und Standardvertragsklauseln (Art 28) ermächtigt ist.

Sehr praktisch ist, dass die neuen Standarddatenschutzklauseln auch den Beitritt Dritter erlauben und damit auch nach Erstabschluss später von zusätzlichen Parteien mitgenutzt werden können.

Im Zusammenhang mit der Umsetzungsfrist ist zwischen Neu- und Altverträgen zu unterscheiden: Die alten Standardvertragsklauseln können nur noch bis 27. September 2021 verwendet werden; für danach neu geschlossene Verträge sind die neuen Klauseln anzuwenden. Die alten Standardvertragsklauseln müssen aber bei Änderung des Verarbeitungsvorgangs und jedenfalls binnen 18 Monaten durch die neuen ersetzt werden. Die Übergangsfrist endet am 27. Dezember 2022. Bitte beachten Sie aber, dass ein Drittlandstransfer auch aktuell schon durch die alten Standardvertragsklauseln nur gerechtfertigt werden kann, wenn diese – allenfalls durch zusätzliche, ergänzende Maßnahmen – unter Berücksichtigung des Rechts des Drittlandes und des konkreten Verarbeitungsvorgangs auch tatsächlich geeignete Garantien gewährleisten. Eine dokumentierte „Datentransfer-Folgenabschätzung“ wird in den neuen Klauseln beiden Vertragsparteien verpflichtend vorgeschrieben. Ein unterschiedsloser, gleichförmiger Abschluss ist daher in Zukunft schon nach dem Wortlaut der Klauseln nicht möglich, vielmehr muss die Erforderlichkeit von auf die konkrete Verarbeitungssituation und das Recht im Drittland abstellenden zusätzlichen, ergänzenden Maßnahmen zumindest geprüft und diese allenfalls dementsprechend vereinbart werden. In ihrer Entscheidung hält die Kommission ausdrücklich fest, dass ergänzende Vertragsklauseln erwünscht und zulässig sind, sofern sie den im Entwurf enthaltenen Klauseln nicht widersprechen; letztere gehen diesen jedenfalls vor.

Letztlich ist in Bezug auf die weiterhin auszufüllenden Anhänge zu den Klauseln zu beachten, dass in Annex II nicht nur jedenfalls konkrete technische und organisatorische Maßnahmen zu vereinbaren sind, sondern auch solche, die speziell auf die allfällige Verarbeitung sensibler Daten (einschließlich Art 10 DSGVO-Daten) Anwendung finden und die Einhaltung der Rechte der betroffenen Personen wahren. Auch ist eine Liste von Unterauftragsverarbeitern anzuschließen, um die Transparenz der Verarbeitungskette zu sicherzustellen. Diese und noch weitere Anforderungen an den Abschluss der neuen Klauseln – deren Besprechung den Rahmen einer Ausgabe unserer Datenschutz-Info sprengen würde – sorgen dafür, dass die neuen Klauseln vor Abschluss an den Einzelfall angepasst werden müssen, um je nach konkreter Verarbeitungssituation auch tatsächlich geeignete Garantien für den Datentransfer gewährleisten zu können. Das bereitet im Vergleich zu den bislang in Verwendung stehenden Klauseln einen erheblichen Mehraufwand und bietet Raum für Risikoabschätzungen, rechtliche Evaluierungen und nicht zuletzt auch für Verhandlungen zwischen den Vertragsparteien.

Wir haben aus der Kommissionsentscheidung bereits vier separate Texte für die vier neuen Übermittlungsszenarien erstellt, die wir Ihnen auf Anfrage gerne zusenden; weiters erarbeiten wir gerade ein Muster für eine Datentransfer-Folgenabschätzung und begleitende Klauseln.

Artikel drucken

Beiträge

Newsletter August 2021

Knyrim Trieb und Secur-Data gründen gemeinsame Zertifizierungs-GmbH

Im Juni 2021 haben wir gemeinsam mit Frau Mag. Judith Leschanz und Herrn Prof. Hans-Jürgen Pollirer von Secur-Data Betriebsberatungs GmbH die KT & SD DSGVO ZERT GmbH gegründet. Nach Akkreditierung durch die Datenschutzbehörde soll die neue Gesellschaft schon bald datenschutzrechtliche Zertifizierungen anbieten.

Neue Standarddatenschutzklauseln (I)

Am 4. Juni 2021 wurden von der EU-Kommission neue Standarddatenschutzklauseln für den internationalen Datentransfer in Drittländer angenommen. Die neuen Standarddatenschutzklauseln sehen einen modularen Ansatz vor. Die Übergangsfrist endet am 27. Dezember 2022.

Neue Standarddatenschutzklauseln (II)

Der internationale Datentransfer mit Standarddatenschutzklauseln verlangt nun ein weitaus strengeres Prüf-, Notifikations- und Überwachungskonzept!

EDSA-Empfehlungen für Prüfschritte bei Drittlandstransfers

Der Europäische Datenschutzausschuss hat am 18. juni 2021 die endgültige Fassung seiner „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ veröffentlicht. Diese Empfehlungen können und sollen bei Datentransfers in Drittländer für die Prüfung der Rechtslage herangezogen werden.

Datenschutzkonformer Betrieb einer Facebook-Fanpage unmöglich

Der deutsche Bundesschutzbeauftragte nimmt in seinem Rundschreiben vom 16.06.2021 erneut Bezug auf den nicht datenschutzkonformen Betrieb einer Facebook-Fanpage. Vergebens versuchte das Presse- und Informationsamt der Bundesregierung (BPA) eine Lösung mit Facebook zu erzielen.

Deutsche Datenschutzkonferenz veröffentlicht Übersichtsliste über Publikationen

Die vor kurzem von der deutschen Datenschutzkonferenz veröffentlichte Übersichtsliste mit Publikationen der Landes- und Bundesdatenschutzbehörden präsentiert eine Fülle an behördlichen Informationsmaterial zum Datenschutzrecht.

Beschwerdewelle gegen Cookie-Banner

Heutzutage verwendet ein Großteil der Webseiten Cookies oder Dienste von Drittanbietern. Diese erfordern eine explizite Einverständniserklärung, welche durch aufwändige Consent-Banner dargestellt wird. Zusätzlich soll dieser Banner zur konkreten Aufbereitung von Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten dienen.