Mehr Sicherheit im Datentransfer Mehr Sicherheit im Datentransfer Mehr Sicherheit im Datentransfer

Viele Unternehmen hatten sich Regeln für den Datentransfer in Drittländer als Kurzfristmaßnahme auf das Schrems II-Urteil des Europäischen Gerichtshofes im Juli 2020 gewünscht, das zur Ungültigkeit des EU-US Privacy Shields führte. Doch der Gesetzgeber ließ sich Zeit. Nun sind sie aber da: Die neuen Standarddatenschutzklauseln für internationale Datentransfers wurden am 4. Juni von der Europäischen Kommission verabschiedet. Sind diese nun ein Rettungsanker für datenschutzkonforme Drittlandübermittlungen? Die Antwort lautet: Dafür gibt es noch Einiges zu tun.

Die neuen Standarddatenschutzklauseln, die als Grundlage für die Übermittlung personenbezogener Daten außerhalb der EU bzw. des EWR gemäß Art. 46 Abs. 2 lit. c DSGVO genutzt werden können, lösen die bisher geltenden Klauseln ab und sehen weitreichende Neuerungen vor. Sie berücksichtigen neben den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) auch das Schrems II-Urteil des EuGH sowie die Stellungnahmen aus der öffentlichen Konsultation der Entwürfe der Standarddatenschutzklauseln im November 2020 (u. a. des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten).

Im Mittelpunkt der Neuerungen steht der modulare Ansatz der Standarddatenschutzklauseln für Drittlandübermittlungen. Gab es in der Vergangenheit drei Sets von Standarddatenschutzklauseln, steht Verantwortlichen nunmehr nur noch ein Set, allerdings mit vier Modulen, zur Verfügung. Möglich ist die individuelle Anwendung der neuen Standarddatenschutzklauseln für Übermittlungen zwischen Verantwortlichen (Modul 1), Übermittlungen von Verantwortlichen an Auftragsverarbeiter (Modul 2), (Weiter-)Übermittlungen von Auftragsverarbeitern an weitere (Unter-)Auftragsverarbeiter (Modul 3) sowie Übermittlungen von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4). So sollen mehr Flexibilität für komplexe Verarbeitungsketten geschaffen, die relevanten Konstellationen passgenau abgedeckt und separate Klauselsätze vermieden werden.

Auch inhaltlich haben sich die Standarddatenschutzklauseln weiterentwickelt. Neben allgemeinen Erweiterungen wie der „Kopplungsklausel“, durch die Drittparteien Vertragspartner werden können, wurden spezielle Regelungen als Reaktion auf das Schrems II-Urteil aufgenommen. So sehen die Klauseln in Abschnitt III Regelungen hinsichtlich lokaler Gesetze und Verpflichtungen bei Zugriffen durch öffentliche Behörden in Drittländern vor. In diesem Zusammenhang werden die Parteien unter anderem dazu verpflichtet, eine umfassende Analyse der Drittlandübermittlung unter Berücksichtigung der Einzelfallumstände sowie der lokalen Gesetze und Praktiken vorzunehmen. Denn die Standarddatenschutzklauseln sehen vor, dass sich die Parteien darauf verpflichten, dass der Datenimporteur nicht durch Gesetze oder Praktiken im Drittland an der Erfüllung der Standarddatenschutzklauseln gehindert wird. Die Analyse ist entsprechend zu dokumentieren und der zuständigen Datenschutzaufsichtsbehörde auf Verlangen vorzulegen. 

Darüber bestehen umfangreiche Informationspflichten des Datenverarbeiters im Drittland gegenüber seinem Auftraggeber und unter Umständen auch gegenüber betroffenen Personen, wenn er eine Anfrage einer lokalen Behörde erhält oder von einem direkten Zugriff der Behörden auf die Daten erfährt. Zudem enthalten die Klauseln nunmehr eine Pflicht des Datenverarbeiters im Drittland, staatliche Auskunftsanfragen zu prüfen, entsprechende Rechtsmittel zu ergreifen und, sofern eine Auskunft auch nach Ausschöpfung aller Rechtsmittel erforderlich ist, nur die minimale Menge an Daten zur Verfügung zu stellen. Die weitreichenden Ergänzungen führen zu einer verbindlichen Regelung der bereits zuvor (beispielsweise vom Europäischen Datenschutzausschuss und deutschen Aufsichtsbehörden) geforderten Schritte bei Drittlandübermittlungen. Auch hinsichtlich möglicher weiterer technischer Maßnahmen zum Schutz der personenbezogenen Daten geben die neuen Standarddatenschutzklauseln eine Orientierungshilfe. In Anhang II sind Beispiele für mögliche Maßnahmen aufgenommen.

Eines aber ist klar: Die neuen Standarddatenschutzklauseln ermöglichen keine vollumfassende Legitimierung internationaler Datentransfers in Länder außerhalb der EU bzw. des EWR ohne weiterführende Prüfungen und gegebenenfalls weitere Schutzmaßnahmen. Vielmehr steht weiterhin die Einzelfallprüfung im Mittelpunkt. Dies war unter Berücksichtigung des Schrems II-Urteils erwartbar. Denn ihrer Natur nach können die Standarddatenschutzklauseln die Problematik um nationale Gesetze in Drittländern, die dem europäischen Datenschutzrecht gegenläufig sind, nicht heilen. Unternehmen müssen sich deshalb mit ihren Drittlandübermittlungen im Einzelfall auseinandersetzen und unter Berücksichtigung der jeweiligen Konstellationen eine Analyse der Rechtslage durchführen, um festzustellen, ob die Rechte und Pflichten aus den Standarddatenschutzklauseln eingehalten werden können. Darüber hinaus ist es erforderlich, zu prüfen, ob weitere technische und organisatorische Maßnahmen vertraglich vereinbart und umgesetzt werden müssen.

Für die Anpassung der bestehenden Standarddatenschutzklauseln auf die neue Version gilt eine 18-monatige Übergangsfrist bis 27. Dezember 2022. Auf Grund der weitreichenden Berücksichtigung des Schrems II-Urteils ist eine schnellstmögliche Umsetzung allerdings anzustreben. Dies bedeutet konkret, dass Unternehmen, sofern noch nicht erfolgt, alle Drittlandübermittlungen, die derzeit auf Grundlage von Standarddatenschutzklauseln erfolgen, identifizieren müssen. Darüber hinaus muss eine Analyse der individuellen Drittlandübermittlung unter Berücksichtigung der lokalen Gesetze durchgeführt werden, um gegebenenfalls erforderliche weitere technische und organisatorische Maßnahmen abzuleiten.  Für neue Vertragsverhältnisse sind die neuen Standarddatenschutzklauseln ab 27. September 2021 zu verwenden.

Zu berücksichtigen ist in diesem Zusammenhang, dass deutsche Datenschutzaufsichtsbehörden bekannt gegeben haben, die Umsetzung des Schrems II-Urteils in Unternehmen mittels Fragebögen zeitnah und in koordinierter Form zu überprüfen. Der Umsetzungsdruck steigt somit merklich.

Die neuen Standarddatenschutzklauseln für internationale Datentransfers dienen zudem als Vorlage für Auftragsverarbeitungskonstellationen. Sie können nun als Grundlage für Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO verwendet werden. Unternehmen sollten in diesem Zusammenhang ebenfalls prüfen, ob ihre Muster für Auftragsverarbeitungsverträge ersetzt bzw. entsprechend ergänzt werden sollten.

Für Fragen zur Umsetzung der neuen Standarddatenschutzklauseln stehen Ihnen die Expertinnen und Experten von KPMG gerne zur Verfügung.