Zurück zur Übersicht
24.02.2022

Internationaler Datentransfer

Internationaler Datentransfer – „Schrems II“ und Standarddatenschutzklauseln

Am 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln für den Drittstaatentransfer (Standarddatenschutzklauseln nach Artikel 46 Abs. 2 Buchstabe c DSGVO) erlassen, um den Änderungen durch die DSGVO Rechnung zu tragen. Zudem sollen die neuen Standarddatenschutzklauseln im Unterschied zu den bisherigen auch für den Fall der Beteiligung einer Vielzahl von Importeur_innen und Exporteur_innen und lange und komplexe Verarbeitungsketten gelten. Die neuen Standarddatenschutzklauseln sind modular aufgebaut und gelten für Übermittlungen zwischen einem Verantwortlichen oder Auftragsverarbeiter, der der DSGVO unterliegt, und einem Verantwortlichen oder Auftragsverarbeiter, der nicht der DSGVO unterliegt. Insgesamt gibt es also vier Module. Erfasst ist damit auch ein Transfer innerhalb eines Drittstaats oder von einem Drittstaat an einen anderen Drittstaat, wenn der „Exporteur“ gemäß Artikel 3 Absatz 2 der DSGVO dieser unterfällt. Bei den Modulen ist allerdings Obacht geboten: Einige (Teil-)Klauseln gelten für alle Modulvarianten, während bei anderen Klauseln jeweils zu prüfen ist, ob sie für das gewünschte Modul einschlägig sind.

Die neuen Standarddatenschutzklauseln enthalten eine Übergangsregelung, wonach Übermittlungen auf der Grundlage der alten Standardvertragsklauseln 2001/497/EG und 2010/87/EU noch bis zu einem Jahr nach Inkrafttreten der neuen Standardverträge möglich sind. In dieser Zeit sind nachträgliche Vertragsänderungen – mit Ausnahme der Vereinbarung notwendiger zusätzlicher Maßnahmen zur Erreichung eines angemessenen Schutzniveaus im Sinne von Artikel 45, 46 der DSGVO – für die bereits vor Inkrafttreten der neuen Standarddatenschutzklauseln abgeschlossenen Verträge allerdings ausgeschlossen. Die alten Standardvertragsklauseln dürfen neue abzuschließenden Vereinbarungen jetzt auch nicht mehr zugrunde gelegt werden.

Neben den Modulerweiterungen enthalten die neuen Klauseln auch weitere inhaltliche Neuerungen. Die neuen Standarddatenschutzklauseln setzen dabei – jedenfalls zum Teil – einige der Forderungen um, die in der Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ bereits kurz nach dem Schrems- II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 aufgestellt hatten. Daher stellen die neuen Klauseln aus Sicht des LfDI bereits eine Verbesserung dar. Es wird empfohlen, baldmöglichst auf die neuen Klauseln umzusteigen. Der Erlass der neuen Standarddatenschutzklauseln wurde auch zum Anlass genommen, die Orientierungshilfe zu aktualisieren.

Darin rät die Aufsichtsbehörde, die neuen Klauseln zum Teil zu ergänzen (ab S. 9 der 4. Auflage der Orientierungshilfe detailliert beschrieben). Außerdem weist sie darauf hin, dass bei Klausel 14 im höchsten Maße Vorsicht geboten ist. Diese sieht die Möglichkeit vor, zur Bestimmung des Datenschutzniveaus im Drittland auch dortige Gepflogenheiten heranzuziehen. Laut EU-Kommission können dazu auch (einschlägige und dokumentierte) praktische Erfahrungen herangezogen werden, ob es in der Vergangenheit Ersuchen um Offenlegung personenbezogener Daten seitens öffentlicher Drittlandsbehörden gab. Wir empfehlen Datenexporteuren aber, sich nicht nur auf solche praktischen Erfahrungen zurückzuziehen, sondern sich an praktischen Beispielen zu möglichen zusätzlichen Garantien zu orientieren und diese umzusetzen. Solche praktischen Beispiele sind in der Empfehlung des Europäischen Datenschutzausschusses in Anhang 2 enthalten.

Hinweis – nicht verwechseln: Neben den Standarddatenschutzklauseln für den Drittstaatentransfer hat die EU-Kommission auch Standardvertragsklauseln gemäß Artikel 28 Abs. 7 DSGVO als Alternative zur individuellen Auftragsverarbeitungsvereinbarung erlassen. Diese gelten für den Datenverkehr innerhalb der EU.

Quelle: LfDI Baden-Württemberg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks