Neue Standarddatenschutzklauseln (II)
Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter August 2021
Am 4. Juni 2021 hat die EU-Kommission ein neues Set an Standarddatenschutzklauseln für den internationalen Datentransfer veröffentlicht (Publications Office (europa.eu)). Die neuen Standarddatenschutzklauseln sind seit 27. Juni 2021 in Kraft und können seither angewandt werden.
Im Folgenden informieren wir Sie kurz über die wesentlichen Regelungsinhalte und Neuerungen:
- Wer die neuen C2P oder P2P Standarddatenschutzklauseln vereinbart, benötigt keinen zusätzlichen Auftragsverarbeitervertrag. Die Europäische Kommission hat nämlich von ihrer Ermächtigung Gebrauch gemacht und die entsprechenden Mindestinhalte für Auftragsverarbeiterverträge in die Standarddatenschutzklauseln aufgenommen. Wir raten Ihnen dennoch zur Vereinbarung zusätzlicher Themenbereiche! Denn nur weil etwas gesetzlich nicht verlangt ist, heißt das nicht, dass es nicht wirtschaftlich sinnvoll wäre.
- Den Verantwortlichen oder Auftragsverarbeiter im EWR (Datenexporteur) trifft (nun auch offiziell) eine umfassende Vorabprüfungs- und Rechenschaftspflicht. So haben alle Parteien die Einhaltung der Standarddatenschutzklauseln durch eine geeignete Dokumentation nachweisen zu können. Für den Datenexporteur kommt hinzu, dass er die Einhaltung der Standarddatenschutzklauseln durch den Verantwortlichen oder Auftragsverarbeiter im Drittland (Datenimporteur) garantiert. Auch das mittlerweile übliche Auditrecht ist in Zukunft ein fixer Bestandteil.
- Ein Anknüpfungspunkt zum Schrems II Urteil des EuGH findet sich in Zukunft bei detaillierten Vorgaben, wie mit Geheimhaltungs- und Vertraulichkeitsverletzungen durch einen Data Breach oder durch staatliche Stellen im Drittland umzugehen ist.
- Änderungen und Erweiterungen der Vertragsparteien können in Zukunft durch eine großzügige Docking Klausel effizient erledigt werden. Hierfür bedarf es bloß einiger kleiner Ergänzungen in den bestehenden Anhängen zu den vereinbarten Standarddatenschutzklauseln und einer Unterschrift; gerade in Zeiten einer vermehrten Austauschbarkeit von Lieferanten eine sinnvolle Arbeitserleichterung.
Zusammenfassend lässt sich sagen, dass der internationale Datentransfer mit Standarddatenschutzklauseln ab sofort ein strenges Prüf-, Notifikations- und Überwachungskonzept verlangt. Im Gegenzug erhält man einen Formblattcharakter, der die tägliche Arbeit erleichtert. Dienstleister im EWR-Ausland sind vorab genau unter die Lupe zu nehmen; immerhin garantieren Sie die Eignung und Wahrung des angemessenen Schutzniveaus beim Datenimporteur. Auch haben Sie sich regelmäßig durch Überwachungen und Prüfungen von der Einhaltung und fortdauernden Eignung zu überzeugen und letztlich umgehend die Notbremse zu ziehen, sollten Sie die Information oder den Verdacht haben, dass Ihr Datenimporteur den vereinbarten Schutzrahmen nicht einhält bzw. aufgrund äußerer Umstände (bspw. Gesetze im Drittland) nicht einhalten kann. Gerade mit Blick auf die vereinbarten technischen und organisatorischen Maßnahmen sollte das Lieferantenmanagement entsprechend angepasst werden, denn Standarddatenschutzklauseln weisen auch eine Drittbegünstigtenklausel auf. Diese kann für den Datenexporteur sehr unangenehm werden: Vorgesehen ist, dass Sie betroffenen Personen – mit einigen wenigen Ausnahmen – für die Einhaltung der Standarddatenschutzklauseln haften.
Welche die entscheidenden Punkte bei der Implementierung der zusätzlichen Maßnahmen aus Sicht der Datenschutzbehörden sind erfahren Sie aus der finalen Version der Empfehlungen 1/2020 des Europäischen Datenschutzausschusses, die am 19. Juni 2021 publiziert wurden: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data | European Data Protection Board (europa.eu).