Standarddatenschutzklauseln

Wie in unserer Übersicht dargestellt, spielen in der Praxis bei der Übermittlung von personenbezogenen Daten in Drittländer Standarddatenschutzklauseln (SDK), auch Standardvertragsklauseln (Standard Contractual Clauses, SCC) genannt, die wichtigste Rolle. Dabei handelt es sich um von der EU Kommission verabschiedete Vertragsmuster. Inhaltlich werden dabei europäische Datenschutzstandards vertraglich zwischen Datenexporteuren in der EU und Datenimporteuren den Drittstaaten vereinbart. Hierzu können abhängig von dem Dienst der verwendet werden soll auch noch die USA gehören, denn der neue Angemessenheitsbeschluss der EU für den Datentransfer in die USA gilt ausschließlich für Dienstenabieter, welche sich danach zertifiziert haben.
Der Vorteil dieser Regelung liegt unter anderem darin, dass bei der Verwendung der Vertragsmuster die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen kann.
Inhaltsübersicht
AUFTRAGSVERARBEITUNGSVERTRAG SCHON ENTHALTEN
RISIKOABSCHÄTZUNG FÜR DIE DATENÜBERMITTLUNG
ZUSÄTZLICHE TECHNISCHE UND ORGANISATORISCHE SCHUTZMAßNAHMEN
Neue Version ab Juni 2021
Mit Beschluss vom 4. Juni 2021 hat die EU Kommission die lang erwartete neue Version der Standarddatenschutzklauseln verabschiedet. Diese sind nunmehr modular aufgebaut und decken damit vier typische Szenarien des Datentransfers ab. Zudem sind umfangreiche Anhänge auszufüllen.
Die SDKs können bei folgenden Konstellationen eingesetzt werden:
- Verantwortlicher an Verantwortlichen
- Verantwortlicher an Auftragsverarbeiter
- Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
- Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Übergangsfristen beachten!
Ab dem 27.9.2021 dürfen für neue Datenübermittlungen ausschließlich die neuen SDKs genutzt werden, Verträge nach der alten Vorlage sind nicht mehr gültig. Bereits abgeschlossene Vereinbarungen dürfen jedoch für eine Übergangsfrist weiter genutzt werden.
Wichtig: Bis zum Stichtag am 27. Dezember 2022 müssen sämtliche Verträge, also auch die bestehenden (!), auf die neue Vorlage umgestellt werden!
Auftragsverarbeitungsvertrag schon enthalten
Die Verwendung von SDKs hat einen weiteren Vorteil: Bei Auftragsverarbeitungsverträgen decken die neuen Klauseln für den internationalen Datentransfer die Anforderungen aus Art. 28 DSGVO mit ab. Es besteht daher keine Notwendigkeit zum Abschluss eines zusätzlichen Auftragsverarbeitungsvertrags.
Risikoabschätzung für die Datenübermittlung
Die DSGVO hat einen risikobasierten Ansatz. Dieser zeigt sich auch in den neuen SDK. Danach müssen die Parteien eine Risikoabschätzung hinsichtlich des geplanten Datenexports vornehmen, das "Transfer Impact Assessment" (TIA). Ein zentraler Punkt sind dabei die rechtlichen Vorgaben des Ziellandes.
Ausgehend von dem Urteil des EuGH zum Privacy Shield muss dabei dokumentiert werden, dass der Datenimporteur in der Lage ist, seinen Verpflichtungen aus der Vereinbarung nachzukommen und ihm dafür keine rechtlichen Vorgaben in diesem Land im Wege stehen. Zu berücksichtigen sind auch die Umstände der Datenübermittlung, wie etwa die Art der übermittelten Daten, der Zweck der Verarbeitung oder die Dauer der geplanten Nutzung der Informationen.
Schließlich sind im Rahmen des TIA auch die getroffenen technischen und organisatorischen Schutzmaßnahmen einzubeziehen, die zum Schutz der EU-Bürger durch den Empfänger zu treffen sind.
Zusätzliche technische und organisatorische Schutzmaßnahmen
Der Grundgedanke hinter den SDK liegt darin, dass die Parteien untereinander die Einhaltung datenschutzrechtlicher Vorgaben vereinbaren und auch für deren Einhaltung sorgen. Das Problem dabei: Natürlich kann auch ein solcher Pakt amerikanische Behörden nicht davon abhalten, in den Daten der europäischen Nutzer herumzuschnüffeln. Das kann realistischerweise auch kein US-Unternehmen garantieren.
Diese Problematik hat auch der EuGH in seiner Entscheidung zum Privacy Shield gesehen. Er entschied, dass die Klauseln zwar grundsätzlich weiter genutzt werden können, diese aber allein nicht ausreichen. Vielmehr sind zusätzliche technische und organisatorische Maßnahmen zu ergreifen und im Bereich der TIA zu dokumentieren, um ein angemessenes Schutzniveau sicherzustellen.
Mögliche technische Schutzmaßnahmen als Ergänzung zu Standardvertragsklauseln können beispielsweise sein:
- Ende-zu-Ende-Transportverschlüsselung
- Verschlüsselung der Daten „on rest“
- Alleinige Verwaltung der Schlüssel beim europäischen Vertragspartner oder beim Nutzer
- E-Mail-Verschlüsselung
- Ablage von Daten on premise oder auf Geräten des Endnutzers
- Treuhandlösungen zwischen Unternehmen aus Drittländern und europäischen Unternehmen
- Exklusiv für den Auftraggeber gehostete Server
- Nutzung von Zwei-Faktor-Authentifizierung
Was Heidrich Rechtsanwälte für Sie tun kann!
Wir unterstützen Sie bei der Gestaltung und Nutzung von Standarddatenschutzverträgen ebenso wie bei der Ausarbeitung und Formulierung von TIAs. Sprechen Sie uns gerne an!