Neue Standarddatenschutzklauseln
Die EU-Kommission hat am 04.06.2021 neue Standarddatenschutzklauseln veröffentlicht. Diese können hier aufgerufen werden.
Die alten Standardvertragsklauseln waren nur in zwei verschiedenen Versionen verfügbar. Die neuen Klauseln sind dagegen wie ein Baukasten bestehend aus folgenden Modulen aufgebaut:
- Modul 1 Controller-to-Controller (Übermittlung an einen eigenständigen Kooperationspartner)
- Modul 2 Controller to Processor (Übermittlung an einen weisungsgebunden Dienstleister)
- Modul 3 Processor to Processor (Übermittlung vom EU-Dienstleister an einen Subdienstleister im Drittland)
- Modul 4 Processor to Controller (Übermittlung vom EU-Dienstleister an den Auftraggeber im
Drittland)
Der modulare Aufbau macht die künftige Verwendung ein wenig kompliziert. Die Verträge sind händisch anzupassen und die richtigen Module und Optionen auszuwählen. Bei größeren Dienstleistern ist jedoch zu erwarten, dass diese die Arbeit übernehmen.
Bei neuen Verträgen dürfen ab dem 27.09.2021 nur noch die neuen Klauseln benutzt werden. Die bestehenden alten Standardvertragsklauseln können noch bis zum 27.12.2022 verwendet werden.
Risikoprüfung trotz neuer Standarddatenschutzklauseln
Der EuGH hatte bereits in seiner Entscheidung vom 16.07.2020 festgestellt, dass Standarddatenschutzklauseln grundsätzlich wirksam sind, da sie wirksame Mechanismen zur Sicherung eines angemessenen Schutzniveaus beim Datenimporteur enthalten. Allerdings reicht der Abschluss der Klauseln nicht in den Fällen, wo im Drittland kein gleichwertiges Schutzniveau gewährleistet werden kann.
Nach der Rechtsprechung des EuGHs müssen Verantwortliche bei der Verwendung der Klauseln daher eine Prüfung der Rechtslage im Drittland durchführen und auch klären, ob zusätzliche Maßnahmen ergriffen werden müssen. Die Vorgaben des EuGH wurden von der Kommission dabei in den Klausel 14 und 15 umgesetzt.
In Ihrer Pressemitteilung vom 21.06.2021 weist nun die Datenschutzkonferenz (DSK) noch einmal darauf hin, dass sich an der generellen Prüfpflicht, also einer Risikoprüfung trotz neuer Standarddatenschutzklauseln, nichts ändert.
Umfang der Prüfung
Weitere Informationen zum Umfang der Prüfung und zu möglichen Maßnahmen finden Sie in meinem Beitrag Maßnahmen bei Standardvertragsklauseln und in den entsprechenden Empfehlungen des Europäische Datenschutzausschusses (EDSA).
Stellungnahmen der Aufsichtsbehörden
Die Hessische Beauftragte für Datenschutz weist in seiner Pressemitteilung in diesem Zusammenhang noch einmal darauf hin, dass ohne zusätzliche Schutzmaßnahmen ein Transfer von personenbezogenen Daten in Drittländer wie die USA nicht zulässig ist. Er erwartet konkret, dass Verantwortliche
- nachweisen können, dass sie die erforderlichen Prüfungen durchgeführt haben und
- erste Schritte eingeleitet haben, um betreffende Verfahren DSGVO-konform zu gestalten,
- umgehende Wechsel von Dienstleistern/ Verfahren durchführen, wo funktional gleichwertige, datenschutzgerecht einsetzbare Alternativen existieren,
- für den Fall komplexerer Verfahren ein Fahrplan für die Umsetzung erstellen.
Auch von der bayerischen Aufsicht (BayLDA) wird die Erwartungshaltung formuliert, dass Übermittlungen ins Drittland, welche nicht die Anforderungen der DSGVO erfüllen, beendet werden müssen. Dies kann vor allem in den Fällen erforderlich sein, wo der Datenempfänger in den Anwendungsbereich des US-Gesetzes FISA 702 fällt und nicht garantiert werden kann, dass US-Behörden keinen Zugang erhalten können.
Verwandte Beiträge
Neue StandarddatenschutzklauselnZur Erinnerung: Der EuGH hatte am 16.07.2020 den Privacy Shield und damit einer der wichtigsten…
Maßnahmen bei StandardvertragsklauselnNach dem Wegfall des Privacy-Shields bleibt in der Praxis eine große Verunsicherung, wie mit US-Dienstleistern…
Privacy Shield ist ungültigÜberraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“…