Beratung Standarddatenschutzklauseln

Wir beraten Sie bei der Gestaltung von Standarddatenschutzklauseln

Wie in unserer Übersicht dargestellt, spielen in der Praxis bei der Übermittlung von personenbezogenen Daten in die USA Standarddatenschutzklauseln (SDK), auch Standardvertragsklauseln (Standard Contractual Clauses, SCC) genannt, die wichtigste Rolle. Dabei handelt es sich um von der EU Kommission verabschiedete Vertragsmuster. Inhaltlich werden dabei europäische Datenschutzstandards vertraglich zwischen Datenexporteuren in der EU und Datenimporteuren in den USA oder anderen Drittstaaten vereinbart.

 

Der Vorteil dieser Regelung liegt unter anderem darin, dass bei der Verwendung der Vertragsmuster die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen kann.

 

Neue Version ab Juni 2021

Mit Beschluss vom 4. Juni 2021 hat die EU Kommission die lang erwartete neue Version der Standarddatenschutzklauseln verabschiedet. Diese sind nunmehr modular aufgebaut und decken damit vier typische Szenarien des Datentransfers ab. Zudem sind umfangreiche Anhänge auszufüllen.

 

Die SDKs können bei folgenden Konstellationen eingesetzt werden:

  • Verantwortlicher an Verantwortlichen
  • Verantwortlicher an Auftragsverarbeiter
  • Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland

 

Übergangsfristen beachten!

Ab dem 27.9.2021 dürfen für neue Datenübermittlungen ausschließlich die neuen SDKs genutzt werden, Verträge nach der alten Vorlage sind nicht mehr gültig. Bereits abgeschlossene Vereinbarungen dürfen jedoch für eine Übergangsfrist weiter genutzt werden.

 

Wichtig: Bis zum Stichtag am 27. Dezember 2022 müssen sämtliche Verträge, also auch die bestehenden (!),  auf die neue Vorlage umgestellt werden!

 

Auftragsverarbeitungsvertrag schon enthalten

Die Verwendung von SDKs hat einen weiteren Vorteil: Bei Auftragsverarbeitungsverträgen decken die neuen Klauseln für den internationalen Datentransfer die Anforderungen aus Art. 28 DSGVO mit ab. Es besteht daher keine Notwendigkeit zum Abschluss eines zusätzlichen Auftragsverarbeitungsvertrags.

 

Risikoabschätzung für die Datenübermittlung ("Transfer Impact Assessment")

Die DSGVO hat einen risikobasierten Ansatz. Dieser zeigt sich auch in den neuen SDK. Danach müssen die Parteien eine Risikoabschätzung hinsichtlich des geplanten Datenexports vornehmen, das "Transfer Impact Assessment" (TIA). Ein zentraler Punkt sind dabei die rechtlichen Vorgaben des Ziellandes.

 

Ausgehend von dem Urteil des EuGH zum Privacy Shield muss dabei dokumentiert werden, dass der Datenimporteur in der Lage ist, seinen Verpflichtungen aus der Vereinbarung nachzukommen und ihm dafür keine rechtlichen Vorgaben in diesem Land im Wege stehen. Zu berücksichtigen sind auch die Umstände der Datenübermittlung, wie etwa die Art der übermittelten Daten, der Zweck der Verarbeitung oder die Dauer der geplanten Nutzung der Informationen.

 

Schließlich sind im Rahmen des TIA auch die getroffenen technischen und organisatorischen Schutzmaßnahmen einzubeziehen, die zum Schutz der EU-Bürger durch den Empfänger zu treffen sind.

 

Zusätzliche technische und organisatorische Schutzmaßnahmen

Der Grundgedanke hinter den SDK liegt darin, dass die Parteien untereinander die Einhaltung datenschutzrechtlicher Vorgaben vereinbaren und auch für deren Einhaltung sorgen. Das Problem dabei: Natürlich kann auch ein solcher Pakt amerikanische Behörden nicht davon abhalten, in den Daten der europäischen Nutzer herumzuschnüffeln. Das kann realistischerweise auch kein US-Unternehmen garantieren.

 

Diese Problematik hat auch der EuGH in seiner Entscheidung zum Privacy Shield gesehen. Er entschied, dass die Klauseln zwar grundsätzlich weiter genutzt werden können, diese aber insbesondere bei einem Export in die USA allein nicht ausreichen. Vielmehr sind zusätzlichen technische und organisatorische Maßnahmen zu ergreifen und im Bereich der TIA zu dokumentieren, um ein angemessenes Schutzniveau sicherzustellen.

 

Mögliche technische Schutzmaßnahmen als Ergänzung zu Standardvertragsklauseln können beispielsweise sein:

  • Ende-zu-Ende-Transportverschlüsselung
  • Verschlüsselung der Daten „on rest“
  • Alleinige Verwaltung der Schlüssel beim europäischen Vertragspartner oder beim Nutzer
  • E-Mail-Verschlüsselung
  • Ablage von Daten on premise oder auf Geräten des Endnutzers
  • Treuhandlösungen zwischen amerikanischen und europäischen Unternehmen
  • Exklusiv für den Auftraggeber gehostete Server
  • Nutzung von Zwei-Faktor-Authentifizierung

 

Was Heidrich Rechtsanwälte für Sie tun kann!

Wir unterstützen Sie bei der Gestaltung und Nutzung von Standarddatenschutzverträgen ebenso wie bei der Ausarbeitung und Formulierung von TIAs. Sprechen Sie uns gerne an!

 

Einwilligungserklärung Datenschutz

Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt.

Pflichtfeld*