Wer als Unternehmen seine Daten in Drittländern, wie z.B. den USA verarbeiten lässt, setzt seine Daten unter Umständen einem hohen Risiko aus.

Denn US-amerikanische Gesetze, wie z.B. der Cloud-Act oder der Foreign Intelligence Surveillance Act (FISA) gewähren US-Behörden umfangreiche Zugriffsmöglichkeiten auf Daten, die durch US-amerikanische Unternehmen verarbeitet werden.

Aus diesem Grund werden die USA auch als unsicheres Drittland bezeichnet, denn eine sichere Datenverarbeitung, wie im Anwendungsbereich der DSGVO, ist nicht gewährleistet.

Daher bedarf die Datenübermittlung in unsichere Drittländer zusätzlicher geeigneter Garantien.

Gem. Art. 46 Abs.2 lit.c DSGVO können hierfür die Standardvertragsklauseln, die von der Europäischen Kommission als vorformulierte Vertragsklauseln zur Verfügung gestellt werden, genutzt werden.

Bereits 1996 wurden solche Standardvertragsklauseln von der Europäischen Kommission erlassen. Diese „alten“ Standardvertragsklauseln, die mehrmals über die Jahre angepasst wurden, sind jedoch nicht mehr zeitgerecht. Dies bewies zuletzt das Schrems-II-Urteil von 2020, wonach zwar die Standardvertragsklauseln weiterhin eine taugliche Rechtsgrundlage für Datentransfers in unsichere Drittländer darstellen, allerdings nicht ausreichend vor Zugriffen von ausländischen Behörden schützen.

Aus diesem Grund wurden am 04.06.2021 die neuen Standardvertragsklauseln von der Europäischen Kommission erlassen, die nun für einen sicheren Datentransfer sorgen sollen.

Neuerungen durch die neuen Standardvertragsklauseln

Die neuen Standardvertragsklauseln bringen einige Neuerungen mit sich:

Im Verhältnis zu einem Auftragsverarbeiter muss neben den neuen Standardvertragsklauseln kein Auftragsverarbeitungsvertrag mehr abgeschlossen werden. Des Weiteren dienen die neuen Standardvertragsklauseln auch dem Schutz von dritten Personen, wie etwa Nutzern oder Kunden von Unternehmen, die in die Schutzwirkung bestimmter Standardvertragsklauseln einbezogen werden. Zum anderen ist ein Beitritt von Dritten als Datenimporteure oder -Exporteure in den Vertrag möglich.

Eine weitere Neuerung ist, dass die neuen Standardvertragsklauseln modular aufgebaut sind. D.h. je nach der Konstellation der Vertragspartner sind verschiedene Module zu wählen. Neu dabei ist auch die Vertragskonstellation Auftragsverarbeiter – Verantwortlicher.

Neue Sicherheitsmaßnahmen für einen sicheren Datentransfer: Die Datentransfer-Folgenabschätzung

Nach den Klauseln 14 und 15 der neuen Standardvertragsklauseln müssen die Vertragspartner prüfen und zusichern, dass der Vertragspartner aus dem Drittland in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen. Diese Prüfung wird als sog. Datentransfer-Folgenabschätzung (im englischen Transfer-Impact-Assessment, kurz TIA) bezeichnet.

Ein offizielles Muster bzw. eine Guideline für eine solche Prüfung ist noch nicht veröffentlicht. Allerdings ergeben sich bereits sowohl aus den Klauseln als auch aus der dazugehörigen Fußnote wesentliche Eckpfeiler dieser Prüfung.

Sie sollte eine genaue Beschreibung der Datenübermittlung, also die Art von zu übermittelten Daten, die betroffenen Personenkategorien, die verwendeten Übertragungskanäle sowie den Speicherort, die Art des Empfängers, etwaige Verarbeitungsketten sowie den Zweck der Verarbeitung beinhalten.

Daneben sollte die Datentransfer-Folgenabschätzung erläutern, in welches Empfängerland die Daten übermittelt werden und welche Rechtsvorschriften und Gepflogenheiten in diesem Land gelten. Bei den USA beispielsweise wäre hierbei auf die behördlichen Zugriffsmöglichkeiten durch US-Behörden einzugehen. Auch sind im Rahmen der Datentransfer-Folgenabschätzung praktische Erfahrungen des Vertragspartners im unsicheren Drittland bezüglich behördlichen Offenlegungsersuchen zu beschreiben. Diese praktischen Erfahrungen dürfen nicht durch öffentlich verfügbare bzw. zugängliche zuverlässige Informationen widerlegt worden sein.

Weiterhin sollte festgelegt werden, für welchen Zeitraum die Datentransferfolgenabschätzung durchgeführt wird. Anhand dieses Zeitraums kann die Wahrscheinlichkeit eines behördlichen Zugriffs berechnet werden, die der Verantwortliche bereit ist, einzugehen.

Schließlich sollte die Datentransfer- Folgenabschätzung zusätzliche (vertragliche, technische oder organisatorische) Garantien und weitere Maßnahmen während der Übermittlung und Verarbeitung beinhalten, die eine sichere Datenverarbeitung gewährleisten, wie z.B. eine starke Verschlüsselung oder Pseudonymisierung der Daten.

Daneben ist in den neuen Standardvertragsklauseln die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardvertragsklauseln widersprechen, und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen verpflichtend geregelt.

Was hat man nun als Verantwortlicher bzw. Auftragsverarbeiter zu tun?

Zunächst sollte man vor jeder geplanten Datenübermittlung diese Datentransfer-Folgenabschätzung dokumentiert durchführen. Fällt sie positiv aus, sollten mit dem Vertragspartner die Standardvertragsklauseln abgeschlossen werden.

Die bestehenden Standardvertragsklauseln müssen innerhalb einer Frist von 18 Monaten, also Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden. Bei Neuverträgen dürfen seit dem 27.09.2021 nur noch die neuen Standardvertragsklauseln verwendet werden.

Diese können durch die Unternehmen entweder durch einen individuellen Vertrag oder als Bestandteil von AGB abgeschlossen werden. Sie gehen widersprechenden Vertrags- oder AGB-Klauseln vor.

Des Weiteren empfehlen wir entsprechend zu Klausel 2 der neuen Standardvertragsklauseln, dass diese vorformulierten Vertragsklauseln nicht abgeändert werden, bis auf die Auswahl der entsprechenden Module und der jeweiligen vorzunehmenden Vertragsindividualisierungen. Weitergehende Änderungen führen dazu, dass die Standardvertragsklauseln ihre Gesetzlichkeitsfiktion durch das Muster des Verordnungsgebers verlieren.

Dies hindert die Parteien jedoch nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht im Widerspruch zu diesen Klauseln stehen oder die betroffenen Personen in ihren Grundrechten oder Grundfreiheiten tangieren.

Dies bedeutet jedoch auch, dass es für eine wirksame Einbeziehung der neuen Standardvertragsklauseln nicht ausreicht, wenn der Vertragspartner in einem Datenschutzhinweis o.ä. auf diese hinweist oder das Muster der Europäischen Kommission ohne weiteres verlinkt.

Die vorformulierten Vertragsklauseln sollten durch Auswahl des Moduls und Anpassung der Vertragsparteien, etc. stets individualisiert sein und dem Vertragspartner auf diese Weise zur Verfügung gestellt werden.

Zum weiteren Umgang mit den neuen Standardvertragsklauseln und insbesondere auch zur Erstellung einer Datentransferfolgenabschätzung werden noch entsprechende Richtlinien und Empfehlungen der Aufsichtsbehörden erwartet.

Sobald solche vorliegen, werden wir Sie in unserem Blog darüber informieren.

Neben unserem Blog beraten wir unsere Kunden im Rahmen unserer gemeinsamen Fahrplanarbeit stets über die neusten Entwicklungen rund um das Thema Drittlandsdatenübermittlungen.

Sollten auch Sie Interesse an unserer Fahrplanarbeit haben oder einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung benötigen, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

11 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.