IT & Datenschutz
Vorheriger Beitrag

Europäische Kommission veröffentlicht Entwürfe zu neuen Standardvertragsklauseln

20. November 2020 von Robert Faußner, M.A.

Im „Schrems II“-Urteil vom 16.07.2020 (siehe auch Blogbeitrag vom 17.07.2020) wurde der Privacy Shield durch den EuGH für ungültig, die sog. Standardvertragsklauseln (SCC) jedoch für weiterhin gültig erklärt.

Die SCC allein reichen nach dem Urteil des EuGHs aber nicht mehr aus, wenn das Recht des Empfängerlandes dem Datenimporteur Verpflichtungen auferlegt, die den Verpflichtungen aus den SCC widersprechen. In diesem Fall sind zusätzliche Garantien zu den SCC nötig.

Die EU-Kommission hat nun am 12.11.2020 Entwurfe für neue SCC veröffentlicht.

Folgende Arten von Standardvertragsklauseln sind geplant:

  • Modul 1: Übermittlung Verantwortlicher – Verantwortlicher
  • Modul 2: Übermittlung Verantwortlicher – Auftragsverarbeiter
  • Modul 3: Übermittlung Auftragsverarbeiter – Auftragsverarbeiter
  • Modul 4: Übermittlung Auftragsverarbeiter – Verantwortlicher

Die wichtigsten Aspekte sind folgende:

1. Nachdem es zwei unterschiedliche Sets bezüglich der Datenübermittlung zwischen zwei Verantwortlichen gab, gibt es künftig nur noch ein Dokument (Modul 1)

Dies ist zu begrüßen, denn bezüglich der Wahl des Standardvertragsklausel zwischen Verantwortlichen gibt es bisher die Schwierigkeit, dass es zwei Sets von Standardvertragsklauseln gibt (Set 1 von 2001 und Set 2 von 2004). Die alternative Klausel (Set 2) trägt zwar den Erfordernissen der Wirtschaft besser Rechnung, aber die Datenschutzkonferenz (DSK) erachtet das Set 2 für die Übermittlung von Beschäftigtendaten als nicht ausreichend. Folglich ist derzeit eine Ergänzungsvereinbarung erforderlich. Diese Problematik stellt sich nun nicht mehr.

2. Es gibt nun Standardvertragsklauseln für die Datenübermittlung zwischen zwei Auftragsverarbeitern (Modul 3)

Das Modul 3 (Übermittlung Auftragsverarbeiter – Auftragsverarbeiter) sieht nun die Konstellation vor, dass nicht der Auftragsverarbeiter, sondern dessen Unterauftragnehmer seinen Sitz in einem Drittland hat.

Dies ist beispielsweise dann der Fall, wenn ein deutsches Unternehmen mit einem europäisch ansässigen Auftragsverarbeiter zusammenarbeitet (z.B. Google Ireland Limited) und dieser als Unterauftragnehmer seine nicht europäische ansässige Konzernmutter einsetzt (Google LLC).

3. Die Konstellation der Datenübermittlung eines in der EU ansässigen Auftragsverarbeiters an einen außerhalb der EU ansässigen Verantwortlichen ist nun geregelt (Modul 4)

Diese Konstellation liegt beispielsweise dann vor, wenn ein US-amerikanisches Unternehmen ein deutsches IT-Unternehmen mit der Erbringung von Dienstleistungen beauftragt. Für diesen Drittlandtransfer kann nun das Modul 4 verwendet werden.

4. Inhaltliche Regelungen

  • Abschnitt II, Klausel 1 enthält detaillierte Verpflichtungen zur Einhaltung der Datenschutz-Grundverordnung (DS-GVO) wie beispielsweise zur Transparenz, Datenminimierung, Speicherbegrenzung und IT-Sicherheit.
  • Die Vertragsparteien müssen nun vorab die Kriterien für Drittlandtransfers prüfen (Abschnitt II, Klausel 2 b) und dies dokumentieren. Auf Verlangen der zuständigen Aufsichtsbehörde ist diese Dokumentation der Behörde vorzulegen (Abschnitt II, Klausel 2 d).
  • Abschnitt II, Klausel 3 legt umfassende Pflichten für den Datenimporteur fest.
    Der Vertragspartner muss, sofern eine öffentliche Behörde den Datenimporteur dazu auffordert, personenbezogene Daten des Datenexporteurs offenzulegen, diesen informieren. Ist eine Benachrichtigung seitens der Behörde verboten, muss der Vertragspartner weitere Schritte unternehmen, wie z.B. versuchen, eine Verzichtserklärung zu erhalten, und dies ebenfalls dokumentieren.
  • Die Verpflichtungen der neu aufgenommenen Unterauftragsverarbeiter analog zu
    Art. 28 Abs. 4 DS-GVO sind in Klausel 4 des Abschnittes II festgehalten.
  • Abschnitt II, Klausel 5 regelt den Umgang mit Betroffenenrechten sowie den Ablauf von Beschwerdeverfahren bei Aufsichtsbehörden.
  • Die Klauseln 7 und 8 enthalten Regelungen zur Haftung und Haftungsbefreiung analog zu Art. 82 DS-GVO sowie zur Überwachung durch Aufsichtsbehörden.
  • Klausel 9 regelt, dass die Datenschutzaufsichtsbehörde des Datenexporteurs für die Sicherstellung der Einhaltung des Datenschutzes zuständig ist und der Datenimporteur diesbezüglich einzuwilligen hat.
  • Klausel 1 des Abschnitt III enthält ein Kündigungsrecht für den Fall, dass der Datenimporteur den Verpflichtungen der DS-GVO nicht nachkommt.
  • Klausel 2 und 3 des Abschnitt III bestimmen das geltende Recht und den Gerichtsstand bei Rechtstreitigkeiten bezüglich der Standardvertragsklauseln

So gilt als das Recht des Mitgliedstaats der Europäischen Union (somit die DS-GVO zuzüglich abweichender Regelungen durch das Datenschutzrecht des EU-Mitgliedstaates. Bei Rechtstreitigkeiten bezüglich der Standardvertragsklauseln sind ausschließlich die Gerichte des EU-Mitgliedstaates zuständig.