Neue DSGVO-Standardvertragsklauseln im Datenaustausch mit Drittland

DatenschutzrechtNeue DSGVO-Standardvertragsklauseln im Datenaustausch mit Drittland
EU-Kommission beschließt neue DSGVO-Standardvertragsklauseln im Datenaustausch mit einem Drittland, insbesondere der Datenaustausch mit den USA ist davon betroffen

EU-Kommission beschließt neue DSGVO-Standardvertragsklauseln im Datenaustausch mit einem Drittland, insbesondere der Datenaustausch mit den USA ist davon betroffen.

Der Datentransfer in die außerhalb der EU und EWR liegenden Länder hat hauptsächlich wegen des häufig stattfindenden Datentransfers in die USA zu großer Unsicherheit bei den Verantwortlichen geführt. Spätestens nach der Schrems II Entscheidung des EuGH am 16. Juli letzten Jahres, die die Anwendung des sogenannten „Privacy Shield Abkommens“ mit den USA für nichtig erklärt hat, war völlig offen, wie ein sicherer Datentransfer zukünftig in ein Drittland vertraglich abgesichert werden kann. Hintergrund der Schrems II Entscheidung des EuGH war die Tatsache, dass neben Google, Facebook, Microsoft und Newsletterdienstleistern wie z. B. MailChimp auch alle anderen Anbieter von Software oder sozialen Plattformen aus den USA aufgrund der dortigen Gesetzeslage den Zugriff von Regierungsorganisationen wie z. B. dem Geheimdienst NSA auf personenbezogene Daten der Nutzer zulassen müssen. Damit war (und ist) nicht sichergestellt, dass personenbezogene Daten von US-Regierungsorganisationen abgegriffen werden.

 

Neue Standartvertragsklauseln

Die EU-Kommission hat nunmehr mit den neuen Standardvertragsklauselen ein wichtiges Instrument für den internationalen Datentransfer in Drittstaaten außerhalb der EU eingeführt.

Um den Datentransfer außerhalb der EU/EWR ein Schutzniveau wie von der DSGVO vorgeschrieben, zu geben, hat die EU-Kommission Standardvertragsklauseln entworfen, die bei der Anwendung eine Garantie zur Einhaltung des DSGVO-Schutzniveaus darstellen.

 

Einheitliche Module

Die bisher bestehenden Klauseln werden nun zu einer modular aufgebauten Klausel zusammengeführt. Die neue Klausel enthält Regelungen zur Haftung und die Parteien können Gerichtsstand und geltendes Recht selbst festgelegen. Auch müssen die Vertragsparteien gegenseitig versichern, dass ihnen keine Rechtsvorschriften bei der Erfüllung der Pflichten aus der Klausel im Wege stehen. Dadurch sollen Erfahrungen im Umgang mit Rechtsvorschriften und Behörden eingebracht werden.

 

Handlungsbedarf

Alte Standardvertragsklauseln sind bis Ende 2022 zu ersetzen.

Bei Neuabschlüssen von Verträgen, die den Datentransfer in Drittländer beinhalten können, müssen die neuen Standardvertragsklauseln spätestens ab dem 28.09.2021 Berücksichtigung finden.

Beim Datenexport werden Unternehmen auf Grundlage der neuen Standarddatenschutzklauseln verpflichtet, sämtliche auf Standarddatenschutzklauseln gestützte Übermittlungen in Drittländer im Einzelnen zu prüfen. Es ist eine Analyse zu erstellen, die mindestens folgende Punkte umfassen:

– Bestandsaufnahme

– Prüfung technischer Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Anonymisierung, Serverstandort in der EU usw.)

– Prüfung des Datenschutzniveaus im Drittstaat

– Suche nach europäischen Alternativen

– Dokumentation der vorgenannten Schritte

 

Ausblick

Die großen US-Anbieter haben aufgrund der Übergangsfristen bisher noch nicht reagiert. Es ist aber zu erwarten, dass Alle ihre AGB und Nutzungsbedingungen anpassen werden. Diese müssen von jedem Anwender aktiv angenommen werden. Wie zuvor gezeigt, entbindet dies aber nicht von einer eigenen Prüfung. Diese erarbeiteten Prüfungsergebnisse sind zu dokumentieren.

Aufsichtsbehörden sind schon aktiv

Zahlreiche Datenschutzbehörden verschicken bereits Fragebögen zum Thema internationaler Datentransfers und der Schrems-II-Entscheidung des EuGH.

Dabei wird besonderes Augenmerk auf den sensiblen Umgang mit der aktuellen Rechtslage gelegt. Unternehmen, die zumindest keine oben beschriebene Dokumentation vorlegen können, kann der Datentransfer untersagt werden. So hat zum Beispiel die Aufsichtsbehörde aus Baden-Württemberg an Unternehmen geschrieben:

„Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.“

Entsprechend dieser Vorgehensweise der Aufsichtsbehörden sollte zumindest eine Dokumentation zur Befassung mit diesem heiklen Thema vorliegen. Zumindest schematisch sollte aufgezeigt werden, dass man sich mit dieser ernstzunehmenden Problematik befasst und Alternativen geprüft hat.

Für weitere Fragen stehe ich Ihnen gerne zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.