Die Europäische Kommission hat am gestrigen Freitag neue EU-Standardvertragsklauseln (SVK) veröffentlicht. Die EU-Standardvertragsklauseln, welchen ich mich näher widmen möchte, beziehen sich auf die Übermittlung von personenbezogenen Daten in (unsichere) Drittländer. Weitere SVK können im Verhältnis zwischen den Verantwortlichen (für die Datenverarbeitung) und deren Auftragsverarbeitern angewandt werden - auf diese gehe ich nicht näher ein.
Der EU-Kommissar für Justiz, Didier Reynders, sagte, dass es "mit diesen überarbeiteten Klauseln, (...) mehr Sicherheit und Rechtssicherheit für Unternehmen bei Datenübertragungen" geben wird. Tatsächlich kann sowas nur ein Politiker sagen, ohne rot zu werden. Denn absolut sicher werden Datenübertragungen in Drittländer mit diesen neuen SVK nicht. Dazu bedarf es weiterer Maßnahmen, sogenannter "zusätzlicher Garantien", welche ein gleichwertiges Schutzniveau für die personenbezogenen Daten in dem Drittland gewährleisten müssen.
Arbeit verursachen werden die neuen SVK auf jeden Fall, denn sie müssen nun mit den Auftragsverarbeitern abgeschlossen werden. Dabei werden nicht alle Auftragsverarbeiter derart schnell reagieren wie Microsoft, welche die Anwendung der neuen SVK unverzüglich gezwitschert haben.
Die neuen EU-Standardvertragsklauseln (deutsche Fassung) bestehen - wie der Name schon sagt - aus Klausel. Innerhalb einiger Klauseln (unter anderem 8, 10, 13, 14, 18) gibt es sogenannte Module, welche je nach Anwendungsfall genutzt werden können:
- Modul 1: Übermittlungen zwischen Verantwortlichen
- Modul 2: Übermittlungen an Auftragsverarbeiter
- Modul 3: Übermittlungen von Auftragsverarbeitern an weitere (Unter-)Auftragsverarbeiter
- Modul 4: Übermittlungen von Auftragsverarbeitern an Verantwortliche (wenn der in der EU ansässige Auftragsverarbeiter die von dem im Drittland ansässigen Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)
Die SCC sind als Mustervertragsklauseln für alle möglichen Konstellation ausgelegt. Entsprechend können sie rechtliche Unsicherheiten in Bezug auf ein nationales Recht in Drittstaaten nicht abschließend lösen. Konkret bedeutet das, dass weiterhin durch die Verantwortlichen bei allen Datenverarbeitungen im Einzelfall geprüft werden muss, ob eine Datenübermittlung rechtens ist.
Für diese Prüfung schreiben die SVK nun die weithin schon bekannte Methode des Transfer-Impact-Assessments (Transfer-Folgenabschätzung) vor.
Übrigens dürfen die alten SVK nur drei (!) Monate nach dem Inkttrafttreten des sogenannten Implementierungsrechtsaktes für Neuverträge genutzt werden. Alle SVK müssen bis zum 04.12.2022 auf die neuen SVK umgestellt worden sein.
Treten Sie gerne mit mir in Kontakt, falls Sie Fragen zu den neuen EU-Standardvertragsklauseln haben.
Viele Grüße aus Bad Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
Photo by Ernesto Velázquez on Unsplash. Thank you!