Die neuen Standardvertragsklauseln – Was Sie jetzt tun müssen

Wer als Unternehmen seine Daten in Drittländern, wie z. B. den USA verarbeiten lässt, setzt seine Daten unter Umständen einem hohen Risiko aus. Denn US-amerikanische Gesetze, wie der Cloud-Act oder der Foreign Intelligence Surveillance Act (FISA) gewähren US-Behörden umfangreiche Zugriffsmöglichkeiten auf Daten, die durch US-amerikanische Unternehmen verarbeitet werden. Deshalb werden die USA auch als unsicheres Drittland bezeichnet, denn eine sichere Datenverarbeitung entsprechend der DSGVO, ist nicht gewährleistet. Daher bedarf die Datenübermittlung in unsichere Drittländer zusätzlicher geeigneter Garantien. Gem. Art. 46 Abs. 2 lit. c DSGVO können hierfür die neuen Standardvertragsklauseln, die von der Europäischen Kommission als vorformulierte Vertragsklauseln zur Verfügung gestellt werden, genutzt werden.

Bereits 1996 wurden solche Standardvertragsklauseln von der Europäischen Kommission erlassen. Diese „alten“ Standardvertragsklauseln, die mehrmals über die Jahre angepasst wurden, sind jedoch nicht mehr zeitgerecht. Dies bewies zuletzt das Schrems-II-Urteil von 2020. Danach stellen die Standardvertragsklauseln zwar weiterhin eine taugliche Rechtsgrundlage für Datentransfers in unsichere Drittländer dar, schützen allerdings nicht ausreichend vor Zugriffen von ausländischen Behörden. Aus diesem Grund wurden am 04.06.2021 die neuen Standardvertragsklauseln von der Europäischen Kommission erlassen. Diese sollen nun für einen sicheren Datentransfer sorgen.

Neuerungen durch die neuen Standardvertragsklauseln

Die neuen Standardvertragsklauseln bringen einige Neuerungen mit sich. Im Verhältnis zu einem Auftragsverarbeiter muss neben den neuen Standardvertragsklauseln kein Auftragsverarbeitungsvertrag mehr abgeschlossen werden. Des Weiteren dienen die neuen Standardvertragsklauseln auch dem Schutz von dritten Personen, wie etwa Nutzern oder Kunden von Unternehmen. Sie werden in die Schutzwirkung bestimmter Standardvertragsklauseln einbezogen. Zum anderen ist ein Beitritt von Dritten als Datenimporteure oder -Exporteure in den Vertrag möglich.

Eine weitere Neuerung ist, dass die neuen Standardvertragsklauseln modular aufgebaut sind. Es können also je nach Konstellation der Vertragspartner verschiedene Module gewählt werden. Neu dabei ist auch die Vertragskonstellation Auftragsverarbeiter – Verantwortlicher.

Neue Sicherheitsmaßnahmen für einen sicheren Datentransfer: Die Datentransfer-Folgenabschätzung

Nach Nummer 14 und 15 der neuen Standardvertragsklauseln müssen die Vertragspartner prüfen und zusichern, dass der Vertragspartner aus dem Drittland seinen Pflichten nachkommt. Diese Prüfung wird als sog. Datentransfer-Folgenabschätzung (im englischen Transfer-Impact-Assessment, kurz TIA) bezeichnet. Ein offizielles Muster bzw. eine Guideline für eine solche Prüfung ist noch nicht veröffentlicht. Allerdings ergeben sich bereits sowohl aus den Klauseln als auch aus der dazugehörigen Fußnote wesentliche Eckpfeiler dieser Prüfung.

Sie sollte eine genaue Beschreibung der Datenübermittlung beinhalten. Das umfasst die Art der zu übermittelten Daten, die betroffenen Personenkategorien, die verwendeten Übertragungskanäle, den Speicherort, die Art des Empfängers, etwaige Verarbeitungsketten sowie den Zweck der Verarbeitung. Daneben sollte die Datentransfer-Folgenabschätzung erläutern, in welches Empfängerland man die Daten übermittelt und welche Rechtsvorschriften und Gepflogenheiten in diesem Land gelten. Bei den USA beispielsweise wäre hierbei auf die behördlichen Zugriffsmöglichkeiten durch US-Behörden einzugehen. Auch sind im Rahmen der Datentransfer-Folgenabschätzung praktische Erfahrungen des Vertragspartners im unsicheren Drittland bezüglich behördlichen Offenlegungsersuchen zu beschreiben. Diese praktischen Erfahrungen dürfen nicht durch öffentlich verfügbare bzw. zugängliche zuverlässige Informationen widerlegt worden sein.

Weiterhin sollte festgelegt werden, für welchen Zeitraum die Datentransferfolgenabschätzung durchgeführt wird. Anhand dieses Zeitraums kann die Wahrscheinlichkeit eines behördlichen Zugriffs berechnet werden, die der Verantwortliche bereit ist, einzugehen. Schließlich sollte die Datentransfer- Folgenabschätzung zusätzliche (vertragliche, technische oder organisatorische) Garantien und weitere Maßnahmen während der Übermittlung und Verarbeitung beinhalten. Diese legen dar, was eine sichere Datenverarbeitung gewährleistet, z. B. anhand einer starken Verschlüsselung oder Pseudonymisierung der Daten.

Darüber hinaus spezifizieren die neuen Standardvertragsklauseln weitere Anforderungen. So müssen z. B. Regierungsanfragen, die den Anforderungen der Standardvertragsklauseln widersprechen, verpflichtend abgewehrt werden. Aber auch die zuständigen Aufsichtsbehörden müssen über Anfragen informiert werden.

Was hat man nun als Verantwortlicher bzw. Auftragsverarbeiter zu tun?

Zunächst sollte man vor jeder geplanten Datenübermittlung diese Datentransfer-Folgenabschätzung dokumentiert durchführen. Fällt sie positiv aus, sollten mit dem Vertragspartner die Standardvertragsklauseln abgeschlossen werden. Die bestehenden Standardvertragsklauseln müssen innerhalb einer Frist von 18 Monaten, also Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden. Bei Neuverträgen sind seit dem 27.09.2021 die neuen Standardvertragsklauseln verpflichtend. Diese können durch die Unternehmen entweder durch einen individuellen Vertrag oder als Bestandteil von AGB abgeschlossen werden. Sie gehen widersprechenden Vertrags- oder AGB-Klauseln vor.

Des Weiteren empfehlen wir entsprechend zu Klausel 2 der neuen Standardvertragsklauseln, diese vorformulierten Vertragsklauseln nicht abzuändern, bis auf die Auswahl der entsprechenden Module und der jeweiligen vorzunehmenden Vertragsindividualisierungen. Weitergehende Änderungen führen dazu, dass die Standardvertragsklauseln ihre Gesetzlichkeitsfiktion durch das Muster des Verordnungsgebers verlieren. Dies hindert die Parteien jedoch nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht im Widerspruch zu diesen Klauseln stehen oder die betroffenen Personen in ihren Grundrechten oder Grundfreiheiten tangieren.

Dies bedeutet jedoch auch, dass es für eine wirksame Einbeziehung der neuen Standardvertragsklauseln nicht ausreicht, wenn der Vertragspartner in einem Datenschutzhinweis o.ä. auf diese hinweist oder das Muster der Europäischen Kommission ohne weiteres verlinkt. Die vorformulierten Vertragsklauseln sind durch Auswahl des Moduls und Anpassung der Vertragsparteien, etc. stets zu individualisieren und dem Vertragspartner auf diese Weise zur Verfügung zu stellen.

Zum weiteren Umgang mit den neuen Standardvertragsklauseln und insbesondere auch zur Erstellung einer Datentransferfolgenabschätzung werden noch entsprechende Richtlinien und Empfehlungen der Aufsichtsbehörden erwartet. Sobald solche vorliegen, werden wir Sie in unserem Blog darüber informieren.

Neben unserem Blog beraten wir unsere Kunden im Rahmen unserer gemeinsamen Fahrplanarbeit stets über die neusten Entwicklungen rund um das Thema Drittlandsdatenübermittlungen. Sollten auch Sie Interesse an unserer Fahrplanarbeit haben oder einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung benötigen, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.