Die alten EU-Standarddatenschutzklauseln, die noch bis Ende September 2021 abgeschlossen werden können, verlieren ihre Wirksamkeit bis Ende des Jahres 2022. Unternehmen, die gerade im Begriff sind mit Dienstleistern in den USA EU-Standarddatenschutzklauseln abzuschließen, sind gut beraten, wenn sie bereits die neuen Klauseln nutzen. So vermeiden sie doppelten Aufwand.

EU-Standarddatenschutzklauseln mit modularem Aufbau

Dabei sind diese Klauseln – ebenso wie die alten Klauseln – grundsätzlich nicht veränderbar und haben Vorrang vor anderen Vereinbarungen zwischen den Parteien. Sie können als individueller Vertrag aber auch als Bestandteil von AGB abgeschlossen werden.

Neu ist der modulare Aufbau der Klauseln. Die Parteien müssen die Klauseln auf ihren konkreten Datentransfer zuschneiden. Folgende Konstellationen bilden die Module ab:

  • Modul 1: Verantwortlicher – Verantwortlicher
  • Modul 2: Verantwortlicher – Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter – (Unter)Auftragsverarbeiter
  • Modul 4: Auftragsverarbeiter – Verantwortlicher

Das letzte Modul soll den Fall eines Datentransfers von einem Verantwortlichen in einem unsicheren Drittland zu einem Auftragsverarbeiter innerhalb der EU abdecken. Inwieweit dieses Modul praxisrelevant wird, bleibt abzuwarten.

Soweit der Datentransfer eine Auftragsverarbeitung darstellt, können die neuen EU-Standarddatenschutzklauseln einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ersetzen. Der Abschluss eines separaten Vertrages nach Art. 28 DSGVO ist dann nicht mehr erforderlich. Dies ist durchaus eine sinnvolle Erleichterung!

EuGH-Entscheidung zu Schrems II wird in den neuen Klauseln berücksichtigt

Die neuen Klauseln berücksichtigen auch die EuGH-Entscheidung zu Schrems II. So sieht Klausel 14 vor, dass die Parteien zusichern, keinen Grund zur Annahme zu haben, dass der Datenimporteur die Klauseln nicht einhalten kann. Um dies beurteilen und zusichern zu können, müssen die Parteien jedoch eine Datentransfer-Folgenabschätzung (DTFA) durchführen. Solch einen Mechanismus sah schon die Aufsichtsbehörde Baden-Württemberg in ihrer Orientierungshilfe zum Datentransfer nach der EuGH-Entscheidung zu Schrems II vor.

Nach der neuen Klausel 14 müssen die Vertragsparteien vor dem Datentransfer im Rahmen der DTFA folgendes prüfen, bewerten und dokumentieren, um es auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen zu können:

  • Umstände der Übermittlung (bspw. Länge der Verarbeitungskette, beteiligte Akteure, Übertragungskanäle, Zweck der Verarbeitung, Kategorien und Format der übermittelten Daten, Speicherort)
  • Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes unter ausdrücklicher Berücksichtigung der Offenlegung von Daten gegenüber Behörden
  • vertragliche, technische oder organisatorische Garantien zur Ergänzung von Garantien in den Klauseln zum Schutze der personenbezogenen Daten

Die DTFA bildet die vom EuGH geforderten „zusätzlichen Maßnahmen“ zur Absicherung des Datenschutzniveaus ab. Sie muss in regelmäßigen Abständen wiederholt werden.

Genau hier wird in Zukunft für Datenexporteure und -importeure die Hauptarbeit liegen. Nunmehr reicht die Unterzeichnung der Klauseln nicht mehr aus. Vielmehr ist vor jeder Unterzeichnung die Durchführung einer konkreten DTFA notwendig. Ohne diese ist ein Datentransfer in unsichere Drittstaaten trotz Abschlusses der neuen EU-Standarddatenschutzklauseln nicht datenschutzkonform.

Daneben sieht Klausel 15 vor, dass der Verantwortliche (Datenexporteur) und wenn möglich die betroffene Person unverzüglich benachrichtigt werden, wenn Behörden im Drittland die Offenlegung von Daten des Verantwortlichen fordern oder er Kenntnis davon erlangt, dass eine Behörde direkten Zugang zu den personenbezogenen Daten hat. Sollte dem Datenimporteur eine Mitteilung untersagt sein, so soll er sich nach besten Kräften um eine Aufhebung der Untersagung bemühen.

Auch diese Bedingungen finden sich schon in der Orientierungshilfe der Aufsichtsbehörde Baden-Württembergs und sind als direkte Reaktion auf die Schrems II-Entscheidung des EuGHs zu verstehen.

Was betroffene Unternehmen als nächstes tun sollten:

Mit den neuen EU-Standarddatenschutzklauseln haben Unternehmen von der EU-Kommission ein Instrument an die Hand bekommen, in dem die Vorgaben aus der Schrems II-Entscheidung schon mitberücksichtigt wurden.

Seit dem Schrems II-Urteil haben viele Unternehmen bereits Listen mit Dienstleistern in unsicheren Drittstaaten erstellt. Diese gilt es auf Aktualität zu prüfen und ob noch weitere Datenübermittlungen in unsichere Drittstaaten erfolgen. Hilfreich ist dabei, den Datentransfer anhand von Fallkonstellationen zu verdeutlichen – auch um feststellen zu können, welche Module der neuen EU-Standarddatenschutzklauseln geschlossen werden müssen.

Bei diesem Prozess und dem anschließenden Kontakt mit dem Dienstleister ist die Unterstützung durch externe Datenschutzberater sinnvoll. Nachdem mit dem Dienstleister der Inhalt und die Durchführung der DTFA erörtert wurde, sollte das Ergebnis dokumentiert und direkt mit dem Dienstleister ein Turnus für die nächste Prüfung festgelegt werden.