Neue Standarddatenschutzklauseln für internationalen Datentransfer und Standardvertragsklauseln für die Auftragsverarbeitung
14. Juni 2021 | IT- und Datenschutzrecht
Am 04.06.2021 hat die Europäische Kommission neue Standarddatenschutzklauseln für Übermittlungen personenbezogener Daten in Drittländer sowie Standardvertragsklauseln für Auftragsverarbeitungsverträge für Verarbeitungen in der Europäischen Union veröffentlicht.
Neue Standardvertragsklauseln
Die EU-Kommission macht mit den neuen Klauseln für Auftragsverarbeitungsverträge erstmalig von ihrem in Artikel 28 Abs. 7 DSGVO eingeräumten Gestaltungsspielraum Gebrauch und schafft damit eine EU-weit einheitliche Vertragsvorlage für Auftragsverarbeitungskonstellationen in der EU.
Internationaler Datentransfer
Die neuen Standarddatenschutzklauseln ersetzen die bislang geltenden Standardvertragsklauseln für Verantwortliche aus dem Jahr 2001 und Standardvertragsklauseln für Auftragsverarbeiter aus 2010 für Übermittlungen personenbezogener Daten in Drittländer. Die EU-Kommission hat bei den nunmehr verabschiedeten Klauseln insbesondere die Anforderungen des Europäischen Gerichtshof aus der „Schrems-II“-Entscheidung (Az. C 311/18) aus dem vergangenen Jahr berücksichtigt. Lesen Sie hierzu auch unseren früheren Beitrag: https://www.ksb-intax.de/blog/das-neue-eugh-urteil-und-seine-auswirkungen-auf-den-beschaeftigtendatenschutz-1/.
Die neuen Klauseln sollen sowohl auf Übermittlungen zwischen Verantwortlichen, als auch auf Transfers an Auftragsverarbeiter Anwendung finden. Darüber hinaus sollen die Klauseln auch für einen Weitertransfer von einem Auftragsverarbeiter an weitere Auftragsverarbeiter eingesetzt werden sowie für einen Transfer von einem Auftragsverarbeiter an einen Verantwortlichen.
Weiterhin Überprüfung des Drittlandes
Die EU-Kommission hat in ihrem Beschluss zu den Standarddatenschutzklauseln allerdings ausdrücklich darauf hingewiesen, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten. Somit scheint ein etwaiger Konflikt mit nationalem Recht von Drittstaaten trotz der neuen Klauseln nicht abschließend gelöst zu sein.
Unternehmen, die Daten exportieren, haben somit im Einzelnen weiterhin zu prüfen, welchen gesetzlichen Regelungen der Datenimporteuer im Drittland unterliegt und ob diese Gesetze in Konflikt mit den durch die Standarddatenschutzklauseln gegebenen Garantien stehen.
Eine konkrete Überprüfung der einzelnen Datentransfers bleibt somit weiterhin unabdingbar. Ebenso müssen auch weiterhin ggfs. zusätzliche Schutzmaßnahmen getroffen werden, um ein gleichwertiges Schutzniveau, wie das in der EU, zu erreichen
Die EU-Kommission hat für Verantwortliche und Auftragsverarbeiter, die aktuell die bisherigen Standardvertragsklauseln für Übermittlungen in Drittländer verwenden, eine Übergangsfrist von 18 Monaten vorgesehen. Eine Überprüfung und Aktualisierung der bestehenden Verträge sollte daher zeitnah erfolgen.
Bei Fragen rund um dieses Thema stehen wir Ihnen gerne zur Verfügung. KSB INTAX ist der Ansprechpartner für den Mittelstand in Niedersachsen. Wir unterstützen Sie gerne.