Standarddatenschutzklauseln: EU-Kommission veröffentlicht neue Basis für internationalen Datentransfer

Stefan Hessel

Nach der "Schrems II"-Entscheidung des Europäischen Gerichtshofs (EuGH) und der bereits angelaufenen koordinierten Prüfung durch die Datenschutzbehörden der Länder hat die EU-Kommission vergangene Woche neue Standarddatenschutzklauseln angenommen und veröffentlicht.

Ziel und Zweck der Standarddatenschutzklauseln

Die Standarddatenschutzklauseln sollen sicherstellen, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden. Die EU-Kommission reagiert damit auf die "Schrems II"-Entscheidung, durch die der EuGH nicht nur das EU-US Privacy Shield als Angemessenheitsbeschluss für einen Datenaustausch zwischen der EU und den USA für ungültig erklärt hat, sondern zugleich auch hohe Anforderungen an den Einsatz von Standarddatenschutzklauseln als Grundlage für eine Datenübermittlung in Drittstaaten gestellt hat.

Eckpunkte der bisher veröffentlichten Standarddatenschutzklauseln

Die neuen Standarddatenschutzklauseln sind modular aufgebaut und dienen allgemein dem internationalen Austausch von Daten. Erfasst werden die Module:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe nach der DSGVO in Bezug auf Datenübermittlungen von Verantwortlichen an andere Verantwortliche, Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter. Die Parteien werden jedoch nicht gehindert, einzelvertraglich einen umfangreicheren Schutz zu regeln, sofern diese Vereinbarungen weder unmittelbar noch mittelbar im Widerspruch zu den Standarddatenschutzklauseln der EU-Kommission stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Darüber hinaus hat die EU-Kommission auch Standardvertragsklauseln zur Auftragsverarbeitung für den Datenaustausch zwischen Verantwortlichen und Auftragsverarbeitern innerhalb der EU veröffentlicht. Für den Einsatz dieser Standardvertragsklauseln besteht jedoch keine Verpflichtung. Sie sind vielmehr als Vorschlag der EU-Kommission zu sehen.

Künftige Entwicklungen

Bei den veröffentlichten Dokumenten handelt es sich um finale Arbeitsdokumente. Die offizielle Version wird in den kommenden Tagen im Amtsblatt der EU veröffentlicht werden, sodass noch kleinere redaktionelle Anpassungen zu erwarten sind. Die neuen Standarddatenschutzklauseln sollen innerhalb von 18 Monaten die bisherigen Standardvertragsklauseln, die noch auf Basis der alten Datenschutzrichtlinie entstanden waren, ablösen und damit den Anforderungen der "Schrems II"-Entscheidung des EuGH gerecht werden. Gleichwohl hat die EU-Kommission bereits festgestellt, dass eine individuelle Prüfung des Datenschutzniveaus erforderlich bleibt und ein neuer Angemessenheitsbeschluss mit den USA derzeit nicht ersichtlich ist.

Melden Sie sich gerne, wenn Sie im Zusammenhang mit der Überprüfung Ihrer bestehenden Drittlandsübermittlungen oder bei der Implementierung der Standarddatenschutzklauseln Unterstützung benötigen. Gerne unterstützen wir Sie auch beim Thema Auftragsverarbeitung.

[Juni 2021]