Übermittlung personenbezogener Daten in Drittländer und die neuen Standardvertragsklauseln Teil I

Rechtmäßige Übermittlung personenbezogener Daten in DrittländerAufgaben von Datenschutzbeauftragten

Für die rechtmäßige Übermittlung von personenbezogenen Daten in Länder außerhalb der EU bzw. des EWR gibt es zwei Prüfschritte:
1. Es wird eine Rechtsgrundlage benötigt. Hier kommt vorwiegend Art. 6 DSGVO (z.B. Abs. 1 a) „Einwilligung“ der betroffenen Person) in Betracht.
2. Es muss ein angemessenes Schutzniveau für den Schutz personenbezogener Daten im Drittland des Empfängers  bestehen.

Ein angemessenes Schutzniveau im Drittland besteht zunächst in Fällen, in denen die EU-Kommission einen Angemessenheitsbeschluss für das jeweilige Drittland erlassen hat.

Liegt ein solcher Angemessenheitsbeschluss nicht vor, muss ein angemessenes Schutzniveau durch geeignete Garantien gem. Art. 46 Abs. 2 DSGVO hergestellt werden.
Hierfür gibt es nun eine neue Hilfestellung der EU-Kommission im Wege von neuen Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 c) DSGVO. Hierbei handelt es sich um Musterverträge, die die Daten-übermittelnde Partei und die Daten-empfangende Partei zur Einhaltung eines mit der EU vergleichbaren Datenschutzniveaus verpflichten.

Wir erinnern uns alle an das Shrems-II Urteil vom 16.07.2020.

Nach diesem Urteil wurde den Unternehmen geraten, mit ihren Vertragspartnern aus den USA, die ja nun nicht mehr zu den sicheren Drittländern gehören (und um ehrlich zu sein, nie wirklich dazu gehört haben), unter anderem Standardvertragsklauseln abzuschließen. Allerdings waren diese Standardverträge teilweise noch mehr als 5 bzw. 10 Jahre alt und basierten noch auf altem Recht. Es wurde insofern dringend Zeit, neue Standardvertragsklauseln zu erlassen. Und diese sind nun endlich da.

Neue Standardvertragsklauseln

Die neuen Standardvertragsklauseln sind modular aufgebaut, das heißt es gibt nur noch ein Vertragswerk, aus dem Sie die für Sie einschlägige Situation auswählen können:

  • Modul 1: Übermittlung zwischen Verantwortlichen
  • Modul 2: Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter
  • Modul 3: Übermittlung von einem Auftragsverarbeiter an einen weiteren (Unter-) Auftragsverarbeiter
  • Modul 4: Übermittlung von einem Auftragsverarbeiter an einen Verantwortlichen

Beauftragen Sie also z.B. einen nichteuropäischen Auftragsverarbeiter, müssen Sie beim Einsatz der neuen Standardvertragsklauseln nur noch ein Regelwerk abschließen, da die Module 2 und 3 die Anforderungen des Art. 28 DSGVO an einen Auftragsverarbeitungsvertag erfüllen. Mit Modul 3 haben nun auch europäische Auftragsverarbeiter, die nicht europäische Subdienstleister beauftragen, ein datenschutzrechtskonformes Vertragswerk zur Verfügung. Außerdem können die neuen Standardvertragsklauseln zwischen mehr als zwei Parteien geschlossen werden oder weitere Parteien können diesen später (mit Zustimmung der Vertragsparteien) beitreten.

Sie befinden sich gerade in Vertragsverhandlungen und haben die alten Standardvertragsklauseln schon eingebracht?

Bis zum 27.09.2021 dürfen noch die bisherigen Standardvertragsklauseln vereinbart werden. Hiermit soll verhindert werden, dass Unternehmen in bereits laufenden Vertragsverhandlungen hinsichtlich der Standardvertragsklauseln wieder neu in Verhandlungen einsteigen müssen.

Ab dem 27.09.2021  dürfen bei Vertragsabschlüssen ausschließlich die neuen Standardvertragsklauseln abgeschlossen werden.

Sie haben schon Standardvertragsklauseln abgeschlossen. Müssen Sie jetzt noch etwas tun?

Ja. Sie müssen Ihre alten, bereits im Umlauf befindlichen Standardvertragsklauseln auf die neuen Vertragsklauseln umstellen. Sie haben aber Zeit bis zum 27.12.2022.

Mit der Erneuerung der Vertragswerke sollten Sie sich nicht zu viel Zeit lassen, denn die neuen Standardvertragsklauseln setzen eine vorherige Analyse möglicher Risiken im Bestimmungsland voraus. Das bedeutet für Sie, dass Sie sich mit den Rechtsvorschriften des jeweiligen Drittlandes auseinandersetzen müssen und bewerten müssen welche Auswirkung diese auf die Einhaltung der Klauseln haben können und die Übermittlung der Daten. Diese Analyse ist zu dokumentieren und auf Anfrage der Datenschutzbehörde vorzulegen.

Wenn Sie Fragen haben, sprechen Sie uns gerne an.

Weitere Beiträge

Programmieren und KI und Urheberrecht Teil II

Im Teil I hatte ich die generellen Probleme dargelegt, die sich daraus ergeben dass der Output eines KI Systems grundsätzlich nicht als urheberrechtsähiges Werk qualifiziert werden kann. Ganz konkret gehen wir in diesem Teil mal der Frage nach, was das

Mehr lesen »
Nach oben scrollen