Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Zwei Neuigkeiten aus Brüssel: EU-Kommission beschließt neue Standardvertragsklauseln für Datentransfers innerhalb und außerhalb der EU

PrintMailRate-it

veröffentlicht am 30. Juni 2021

 

Die Nutzung von Clouddiensten ist auch in der Gesundheits- und Sozialwirtschaft aus dem IT-Alltag kaum wegzudenken. Datenschutzrechtlich gesehen handelt es sich dabei fast immer um Auftragsverarbeitung. Wenn der Clouddienstleister auch außerhalb der EU Daten oder Backups speichert oder Supportleistungen erbringt, greifen die Regelungen zum sog. Drittstaatentransfer. In Reaktion auf das Schrems-II-Urteil des Europäischen Gerichtshofes (EuGH) hat die EU-Kommission neue Standardvertragsklauseln vorgelegt. Zeitgleich ist auch ein Musterdokument für Auftragsverarbeitung innerhalb der EU veröffentlicht worden.

 

Neue Standardvertragsklauseln für internationale Datentransfers außerhalb der EU

Die Europäische Kommission hatte bislang seit der Geltung der Datenschutz-Grundverordnung (DSGVO) noch keine Standarddatenschutzklauseln erlassen. Vielmehr galten die unter der früheren europäischen Datenschutzrichtlinie beschlossenen „alten” Standardvertragsklauseln (Entscheidung 2001/497/EG sowie Beschluss 2010/87/EU) gemäß Artikel 46 Absatz 5 DSGVO weiter.

 

Am 16. Juli 2020 hatte der Europäische Gerichtshof mit dem vielbeachteten „Schrems-II-Urteil” (C-311/18) das „Privacy Shield-Abkommen” zwischen der EU und der USA „gekippt” und zudem festgestellt, dass internationale Datentransfers zwar weiterhin auf die „alten” Standardvertragsklauseln gestützt werden können, jedoch der Verantwortliche in der Pflicht ist, zu prüfen, ob Standardvertragsklauseln angesichts der konkreten Rechtssituation im betreffenden Zielland nicht durch zusätzliche Maßnahmen ergänzt werden müssen. Da es bei Clouddienstleistungen der großen IT-Dienstleister sehr häufig zu einer Datenübertragung in Drittstaaten kommt, ist diese Änderung auch für Pflegebetreiber, Sozialunternehmen, Krankenhäuser, Universitäten und Forschungseinrichtungen von unmittelbarer praktischer Bedeutung. Als Problem wurden und werden insbesondere Zugriffsmöglichkeiten von staatlichen Behörden in den Drittländern auf die personenbezogene Daten angesehen. Spätestens mit dem „Schrems-II-Urteil” mehrten sich die Stimmen in Wirtschaft und Rechtsliteratur, die eine Modernisierung der Standardvertragsvertragsklauseln forderten.

 

Zur Anpassung der Standarddatenschutzklauseln an die Anforderungen der DSGVO sowie zur Berücksichtigung einiger Vorgaben aus dem Schrems-II–Urteil hat nun die Kommission am 4. Juni 2021 neue Standardvertragsklauseln beschlossen (Durchführungsbeschluss (EU) 2021/914 der Kommission, veröffentlicht im Amtsblatt der Europäischen Union am 7.6.2021, L 199/31).

 

Rechtlicher Hintergrund

Eine Übermittlung personenbezogener Daten an ein Drittland ist nur zulässig, wenn der Verantwortliche - neben den sonstigen Bestimmungen der DSGVO - die Vorschriften des 5. Kapitels der DSGVO, d.h. die Vorschriften gem. Art. 44 ff. DSGVO einhält.

 

Eine Drittlandsübermittlung ist danach zum einen zulässig, wenn ein sog. Angemessenheitsbeschluss der EU-Kommission zu dem Drittland, in das personenbezogene Daten übermittelt werden, vorliegt. Das vom EuGH „gekippte” Privacy Shield war ein solcher Teil-Angemessenheitsbeschluss in Bezug auf Datentransfers in die USA.

 

Falls kein Angemessenheitsbeschluss vorliegt, darf ein Verantwortlicher personenbezogene Daten an ein Drittland zum anderen übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Diese geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, auch in den Standarddatenschutzklauseln bestehen.

 

Standarddatenschutzklauseln werden von der Europäischen Kommission erlassen und können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen in Drittländer und an internationale Organisationen genutzt werden. Voraussetzung ist, dass sie im Wesentlichen unverändert in die zugrunde liegenden Verträge übernommen werden. Allerdings enthalten die neuen Standardvertragsklauseln in Klausel 14 lit. a auch die Aussage, dass die Parteien keinen Grund zu der Annahme hätten, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten hindern. Gerade dies kann im Hinblick auf die Aussagen des EuGH im „Schrems-II-Urteil” mit Bezug auf das Zielland USA problematisch sein, ist jedoch bindender Teil der Standardvertragsklauseln.

 

Inkrafttreten der neuen Standardvertragsklauseln

Die „neuen” Standvertragsklauseln treten gem. Art. 4 Abs. 1 des Durchführungsbeschluss vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer am 27. Juni 2021 in Kraft.

 

Die bislang noch geltenden „alten” Standardvertragsklauseln werden gem. Art. 4 Abs. 2 und 3 mit Wirkung vom 27. September 2021 aufgehoben und können für neue Verträge keine wirksame Garantie für einen rechtmäßigen Drittstaatendatenverkehr mehr darstellen. Für Verträge, die vor dem 27. September 2021 auf Grundlage der alten Standardvertragsklauseln geschlossen wurden, wird gem. Art. 4 Abs. 4 eine Übergangsfrist bis zum 27. Dezember 2022 gewährt. Verträge, die die alten Standardvertragsklauseln beinhalten, stellen geeignete Garantien im Rahmen des Drittstaatenverkehrs dar, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. Die Problematik, dass ausländische Behörden im Zielland gegebenenfalls in unverhältnismäßiger Weise auf personenbezogene Daten zugreifen, wird jedoch auch durch die „neuen” Standardvertragsklauseln nicht vollständig gelöst. Diese können ausländische Behörden aufgrund ihrer Rechtsnatur als Vertrag freilich nicht binden.

 

Neue Standardvertragsklauseln auch für Auftragsverarbeitung innerhalb der EU

Während die neuen Standardvertragsklauseln für Datentransfers außerhalb der EU größere Aufmerksamkeit in der Fachpresse erfahren haben, wird der am 4. Juni 2021 gefasste zweite Beschluss der EU-Kommission über Standardvertragsklauseln für Datentransfers innerhalb der EU in den Medien kaum wahrgenommen.

 

Die EU-Kommission hat von der durch Art. 28 Abs. 7 DSGVO eingeräumten Möglichkeit Gebrauch gemacht und Standardvertragsklauseln zur Regelung der in den Art. 28 Abs. 3 und 4 DSGVO genannten Fragen festgelegt.

 

Im Unterschied zu den Standardvertragsklauseln im Rahmen von Auslandsdatentransfers müssen diese für die Auftragsverarbeitung für Datentransfers innerhalb der EU geschaffenen Standardvertragsklauseln nicht unverändert übernommen werden, um ihre datenschutzrechtliche Wirkung zu entfalten. Sie sollen lediglich eine Hilfestellung darstellen und bieten damit eine Handreichung für die Erstellung von Vereinbarungen zur Auftragsverarbeitung wie auch für die Überprüfung eines Vertragsvorschlags, den beispielsweise der Auftragsverarbeiter seinem neuen Kunden im Rahmen der Auftragsanbahnung vorlegt. Die Parteien können davon auch abweichende Regelungen treffen und die Standardvertragsklauseln ganz oder teilweise in den jeweiligen Vertrag einbinden. Die Vorgaben des Art. 28 DSGVO müssen natürlich in jedem Fall eingehalten werden.

 

 

_____________________________________

Quellen:

 Aus dem Newsletter

Kontakt

Contact Person Picture

Maximilian S. Dachlauer

Rechtsanwalt, Datenschutzbeauftragter DSB-TÜV, Datenschutzauditor (TÜV)

Senior Associate

+49 911 9193 1514
+49 911 9193 1599

Anfrage senden

Profil

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Zertifizierter Datenschutzbeauftragter, Prüfer für Interne Revisionssysteme (DIIR)

Associate Partner

+49 911 9193 3628
+49 911 9193 3579

Anfrage senden

 Wir beraten Sie gern!

Banner E-Learning

 

Deutschland Weltweit Search Menu