Anzeige
Anzeige
Ratgeber
Artikel merken

Datentransfer: Das bedeuten die neuen EU-Standardvertragsklauseln

Seit dem 4. Juni gibt es neue Standardvertragsklauseln für den Datentransfer innerhalb und außerhalb der EU. Unsere Gastautoren erklären, was es damit auf sich hat und was die Europäische Kommission damit bezwecken möchte.

7 Min. Lesezeit
Anzeige
Anzeige

(Foto: jorisvo / shutterstock)


Anfang Juni hat die Europäische Kommission neue Standardvertragsklauseln für den Datentransfer innerhalb und außerhalb der EU veröffentlicht. Die grenzüberschreitende Verarbeitung von personenbezogenen Daten soll damit flexibler gehandhabt und sicher abgewickelt werden können. Die Kommission reagiert damit auf die technologischen und rechtlichen Entwicklungen in der digitalen Wirtschaft.

Die Europäische Kommission stellt mit zwei Durchführungsbeschlüssen unterschiedliche Muster für die verteilte Datenverarbeitung zur Verfügung. Zum einen gibt es jetzt Standardvertragsklauseln für EU-interne Auftragsverarbeitungen, nennen wir sie der Einfachheit halber in Anlehnung an die englische Terminologie Standard Contractual Clauses einmal SCC-EU. Es handelt sich dabei um ein Muster für die Auftragsverarbeitung innerhalb der EU, angesichts der in der Praxis existierende Vorlagen also eher ein nice-to-have mit amtlichem Stempel. Als zweites Instrument werden die bereits angekündigten neuen Standardvertragsklauseln für internationale Datentransfers (SCC-INT) eingeführt. Nach dem Urteil des EuGH in Sachen „Schrems II“ bestanden Hoffnungen, ob damit wieder eine praktikable und rechtsichere Alternative zum einkassierten Privacy Shield besteht, um personenbezogene Daten insbesondere in den USA verarbeiten zu können. Dem ist nicht so: Auch weiterhin wird man für einen Datenexport in unsichere Drittländer wie die USA zusätzliche, zu dokumentierende Maßnahmen ergreifen müssen.

SCC-EU: Neues Standard-Muster mit amtlichem Stempel

Anzeige
Anzeige

Wer sich regelmäßig mit Auftragsverarbeitungen befasst, kennt mittlerweile die gefühlt acht Muster beinahe auswendig, die für die entsprechenden Vereinbarungen gem. Art. 28 DSGVO immer wieder aus der Schublade gezogen werden. Damit ist jetzt vielleicht bald Schluss, denn mit den SCC-EU gibt es ein von höchster Ebene erlassenes, amtliches Muster für Vereinbarungen zur Auftragsverarbeitung (AV-Vereinbarungen), das sich schon bald als der neue EU-weite Standard durchsetzen dürfte. Prüfungs- und Anpassungsaufwand, aber auch gegebenenfalls notwendige Nachverhandlungen, werden deutlich reduziert.

Die Handhabung der SCC-EU ist denkbar einfach: Der amtliche Text wird übernommen und nicht abgeändert, die zutreffenden bzw. gewünschten Optionen werden ausgewählt, sowie die Angaben in den Anhängen zu den Vertragsparteien, Beschreibung der Verarbeitung (Kategorien betroffener Personen, Kategorien personenbezogener Daten, angewandte Garantien, bei sensiblen Daten, Art der Verarbeitung, Verarbeitungszwecke und Dauer der Verarbeitung), technische und organisatorische Maßnahmen und Unterauftragsverarbeiter ergänzt. In Anhang 2 sowohl der SCC-EU als auch der SCC-INT führt der Gesetzgeber zudem Beispiele für mögliche technische und organisatorische Maßnahmen an, die über die Detailtiefe schlagwortartiger Überschriften aber nicht hinausgehen.

Anzeige
Anzeige

Bei ordnungsgemäßer Verwendung der SCC-EU erfüllt man insoweit die Anforderungen an eine AV-Vereinbarung gemäß Art. 28 DSGVO. Man kann die SCC-EU aber auch in einen umfangreicheren Vertrag aufnehmen, weitere Klauseln hinzufügen oder zusätzliche Garantien ergänzen, solange sich das nicht widerspricht. Insbesondere wird an dieser Stelle die weitere Diskussion spannend, ob Haftungsbegrenzungen im Rahmen von Art. 28 DSGVO zulässig sind; zumindest bei Unterverarbeitern verlangen die SCC-EU eine vollumfängliche Haftung (SCC-EU 7.7 d).

Anzeige
Anzeige

SCC-INT: Rechtsicherheit mit größerer Flexibilität

Die Europäische Kommission kommuniziert die neuen SCC-INT als Tool für mehr Rechtsicherheit und Flexibilität für den internationalen Datentransfer. Tatsächlich legt der Durchführungsbeschluss (EU) 2021/914 in Artikel 1 fest, dass die SCC-INT als geeignete Garantien für Drittlandstransfers gelten. Wer sich also ab dem 27. Juni 2021 auf die SCC-INT beim internationalen Datentransfer stützt, ist – wie bei den alten SCC auch – grundsätzlich auf dem richtigen Weg.

Die neugewonnene Flexibilität entsteht insbesondere durch den modularen Aufbau der SCC-INT, mit dem alle heutzutage üblichen Konstellationen abgebildet werden können. Während die alten SCC sich nur für die Übertragung von einem Verantwortlichen an einen anderen Verantwortlichen oder an einen Auftragsverarbeiter eigneten, eröffnen die SCC-INT die folgenden Möglichkeiten:

Anzeige
Anzeige
  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Für mehr Spieltraum sorgt nun auch die Möglichkeit, dass der Vereinbarung auf beiden Seiten mehrere Parteien – auch nachträglich – beitreten können. Das gilt ebenso für die SCC-EU und soll in beiden Fällen komplexere Verarbeitungskonstellationen und -ketten abbilden können.

Soweit die guten Nachrichten.

Doch nicht die Lösung für die USA

Die große Frage, die nun mit den SCC-INT einhergeht, ist, ob denn nun auch wieder Datentransfers in die USA ohne weiteres möglich werden. Im Juli 2020 hatte der EuGH in seinem „Schrems II“-Urteil das Privacy-Shield-Abkommen für Datenübermittlungen in die USA für unwirksam erklärt. Die dortigen Überwachungsmöglichkeiten würden Grundrechte verletzen, ein ausreichendes Schutzniveau der Betroffenen sei nicht sichergestellt. Trotzdem auf dieser Grundlage durchgeführte Datentransfers seien rechtswidrig.

Anzeige
Anzeige

Die Kommission verkauft jetzt die SCC-INT als Instrument, mit dem internationale Datentransfers rechtsicher durchgeführt werden und gleichzeitig das europäische Datenschutzniveau auch im Ausland aufrechterhalten wird. Der zuständige EU-Justizkommissar Didier Reynders lässt sich bezüglich der SCC-INT zitieren: „Sie erfüllen die Ansprüche der europäischen Datenschutz-Grundverordnung und die Anforderungen des Schrems-2-Urteils vollständig.“

Dem ist nicht so, wie sowohl die europäischen wie auch die hiesigen Aufsichtsbehörden unisono betonen. Das nicht von der Hand zu weisende Kernargument lautet: Ein Vertrag zwischen zwei Unternehmen bringt rein gar nichts, wenn sich das Drittland, also der Staat nicht darum schert.

Die SCC-INT lassen zwar die Anforderungen und Grundsätze des „Schrems II“-Urteils wiedererkennen. So sehen die SCC-INT vor, dass der Datenexporteur in der EU und der Datenimporteur im Drittland zuvor alle relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes sowie die geltenden Beschränkungen und Garantien berücksichtigt und ggf. entsprechende vertragliche, technische oder organisatorische Garantien implementiert haben. Der Datenimporteur wird zudem auf einen bestimmten Umgang mit Offenlegungsersuchen der Behörden des Drittlandes verpflichtet. Das alles sei zudem zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.

Anzeige
Anzeige

Das Ergebnis der Beurteilung der relevanten Rechtsvorschriften und Gepflogenheiten in den USA hat der EuGH im „Schrems II“-Urteil bereits vorweggenommen: Ein adäquates Datenschutzniveau ist aufgrund der unverhältnismäßigen behördlichen Befugnisse in den USA mit Standardvertragsklauseln allein nicht herzustellen; zusätzliche vertragliche und technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung seien erforderlich.

Es stimmt also: Die SCC-INT sind darauf ausgelegt, die Anforderungen des „Schrems II“-Urteils formal leichter erfüllen zu können. In der Praxis ändert sich damit leider jedoch nichts für Unternehmen, die auf den Transfer in die USA angewiesen sind und bereits seit dem „Schrems II“-Urteil in einer Zwickmühle steckten. Diese dürfte nur über eine politische Maßnahme zwischen der EU und den USA aufgelöst werden können.

Die europäischen Aufsichtsbehörden geben Tipps, wie man mit dieser Situation umgehen kann. Eine Variante kann sein, zu dokumentieren, dass in den USA den personenbezogenen Daten tatsächlich gar nichts passieren kann, etwa indem das US-Unternehmen belegt, dass die maßgeblichen Vorschriften (Section 702 U.S. FISA) nicht anwendbar sind oder in der Praxis nie angewandt werden. Der administrative Aufwand bleibt dennoch enorm und in vielen Konstellationen wird das Ergebnis sein, dass der Datentransfer in die USA zu unterbleiben hat.

Anzeige
Anzeige

Handhabung der SCC-INT

Das Verfahren bis hin zum Abschluss der SCC-INT ist weitgehend identisch: Der amtliche Text wird unverändert übernommen, das entsprechende Modul und die gewünschten Optionen ausgewählt, und wie bei den SCC-EU die Angaben in den Anhängen zu den Vertragsparteien, zur Beschreibung der Verarbeitung (Kategorien betroffener Personen, personenbezogener Daten) sowie zu den Maßnahmen und (Unter-) Auftragsverarbeitern ergänzt.

Zusätzlich muss jedoch bereits vor Abschluss der SCC-INT die geschilderte Beurteilung der relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes gem. Klausel 14 lit. b der SCC-INT dokumentiert werden. Das bedeutet einen erheblichen Mehraufwand zusätzlich zu den ohnehin umfangreichen Dokumentationspflichten aus der DSGVO, um einen Drittstaatentransfer ordnungsgemäß aufsetzen zu können. Genau diese einzelfallbezogenen Prüf- und Dokumentationsanforderungen stellen sowohl die deutschen Datenschutz-Aufsichtsbehörden (DSK, Pressemitteilung vom 21. Juni 2021) als auch der Europäische Datenschutz-Ausschuss auf europäischer Ebene (Empfehlung vom 18. Juni 2021) in den Mittelpunkt.

Fristen

Sowohl die SCC-EU als auch die SCC-INT können ab dem 27. Juni 2021 verwendet werden. Die alten Standardvertragsklauseln für internationalen Datenverkehr (2001/497/EG und 2010/87/EU) können noch bis zum 27. September 2021 wirksam abgeschlossen werden. Alte Verträge, die auf Grundlage dieser beiden Entscheidungen vor dem 27. September 2021 abgeschlossen wurden, müssen bis zum 27. Dezember 2022 auf die neuen SCC-INT umgestellt werden. Bis dahin sollten Unternehmen also Altverträge mit Dienstleistern und Partnern überprüfen und entsprechend der neuen Vorgaben anpassen.

Anzeige
Anzeige

Fazit

Die Einführung eines amtlichen Musters für AV-Vereinbarung mit den SCC-EU füllt keine Lücke, die europäischen Verantwortlichen und Auftragsverarbeitern Kopfzerbrechen bereitet hätte. Eine willkommene Erleichterung für innereuropäische Auftragsverarbeitungen ist das dennoch.

Die Neufassung der Standardvertragsklauseln für Drittstaatentransfers mit den SCC-INT hingegen war überfällig und mit hohen Erwartungen versehen. Der modulare Aufbau ist tatsächlich eine sinnvolle Neuerung, eignen sich die SCC-INT nun für alle möglichen Transferkonstellationen. Wirkliche Rechtsicherheit sieht allerdings anders aus. Die Verantwortung für die Einschätzung der Rechtslage im Empfängerstaat obliegt nun dem Datenexporteur und dem Datenimporteur, also allein den beteiligten Unternehmen und Organisationen, für jeden Einzelfall. In der Folge könnten sich daher die SCC-INT, die zuvor noch aufgrund ihrer Flexibilität gefeiert wurden, als schwer handhabbares Bürokratiedickschiff herausstellen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Titus von Unhold

Schrems III incoming… :o)

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige