Die EU hat nun die Standardvertragsklauseln zum Datentransfer mit der USA aktualisiert. In diesem Beitrag gehen wir näher auf den Datentransfer zwischen unterschiedlichen Datenverarbeitern ein. 

Alles was Sie zu diesem Thema wissen müssen, erfahren Sie in diesem Beitrag!

Datentransfer innerhalb und außerhalb der EU 

Innerhalb der EU ist der Datentransfer grundsätzlich unproblematisch, da er in der EU einheitlich geregelt ist. 

In den Nicht- EU-Staaten ist der Datentransfer nicht nach EU-Standards geregelt, daher benötigen Datenverarbeiter eine in der DSGVO verankerte Erlaubnis – die sog. Standardvertragsklauseln. 

Was sind Standardvertragsklauseln?

Die Auftragsverarbeitung richtet sich nach Art. 28 DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

In der Praxis erfolgt eine Übermittlung personenbezogener Daten häufig auf der Grundlage sogenannter Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 Buchstabe c DS-GVO. 

Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart. 

Sonderfall: USA

Der Datentransfer in die USA unterliegt Sonderregelungen. Vorher ließ er sich noch auf den sog. Privacy Shield stützen. Jetzt wurde er aber für unwirksam erklärt, da die Roller der US-Geheimdienste nicht geklärt werden konnte. 

Wer personenbezogene Daten außerhalb der EU transferieren möchte, darf dies nur aufgrund eines sog. Angemessenheitsbeschlusses. Damit stellt die EU-Kommission fest, dass im Zielland ein der EU vergleichbares Datenschutzniveau gegeben ist. 

Rechtstipp: Die Europäische Kommission hat bisher die Regelungen in Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay als angemessenen Schutz anerkannt. Für die USA hat sie das bisher geltende EU-US-Privacy Shiel aber für unwirksam erklärt.

Neue Standardvertragsklauseln 2021

Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Die neuen Standardvertragsklauseln sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden: Verantwortlicher an Verantwortlichen, Verantwortlicher an Auftragsverarbeiter, Auftragsverarbeiter an (Unter-)Auftragsverarbeiter und die Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland.

Rechtstipp: Die neuen Standardvertragsklauseln sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.

Fazit

Durch die neuen Standardvertragsklauseln werden die Anforderungen des Art. 28 DSGVO mit abgedeckt. Das bedeutet, dass der Abschluss eines zusätzlichen Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO entfällt. 

Dabei sollten Sie beachten, dass die Genehmigungsfreiheit bei der Verwendung der Standardvertragsklauseln nur gilt, wenn diese unverändert verwendet werden. 

Rechtstipp: Vertragsparteien können die Standardvertragsklauseln auch in einen umfangreicheren Vertrag mit aufnehmen. Sofern jedoch weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, dürfen diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Wir raten Ihnen daher: 

Prüfen Sie, ob es einen Datentransfer in Länder außerhalb der EU gibt. Sollte es keinen Datentransfer in ein Nicht-EU-Land geben, dann müssen Sie nichts weiter tun. Ist das nicht der Fall, sollten Sie prüfen, ob es einen Angemessenheitsbeschluss gibt und ob die Standardvertragsklauseln verwendet werden können. 

Achtung: Stützen sich die Datenschutzhinweise weiterhin auf den verhaltenen Privacy Shield, muss das geändert werden, da es ab jetzt rechtswidrig ist. Es gibt aber eine Übergangsfrist von 18 Monaten, in der Sie die Klauseln durch die neuen Klauseln ersetzen müssen. 

Sie haben Fragen zum Thema Datenschutz und die neuen Standardvertragsklauseln? Melden Sie sich bei uns! Unser spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.