Die EU-Kommission hat die Standarddatenschutzklauseln überarbeitet, die etwa beim Übermitteln von Daten in Drittländer (Länder außerhalb der EU/EWR) angewendet werden können. Hiermit soll eine rechtssichere Möglichkeit geschaffen werden, auf die sich Unternehmen im internationalen Wirtschaftsverkehr verlassen können… leider mit Ausnahmen. Was ist nun zu beachten?
Seit längerer Zeit gilt in der EU der Grundsatz, dass eine Übertragung personenbezogener Daten in Drittländer nur stattfinden darf, wenn im importierenden Land ein der EU gleichwertiges Datenschutzniveau gilt. Diese Regelung wurde mit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) fortgeführt. Insbesondere bei der Beurteilung des Datenschutzes in den USA kam es in der Vergangenheit zu vielen Konflikten, da es eine umfassende rechtliche Regelung dort nicht gibt und die bestehenden Vorschriften europäischem Recht widersprechen. Hierbei sei nur das sog. Schrems-II-Urteil genannt (die UIMC berichtete).
Streitpunkt waren immer wieder die Zugriffsrechte von US-Behörden auf in den USA gespeicherte Daten, die genutzt werden können, ohne dass betroffene Personen überhaupt informiert werden. Um trotz aller Unterschiede weiterhin Datenverkehr mit den USA zu ermöglichen, hat die EU in der Vergangenheit versucht, über verschiedene Abkommen eine Sicherheit für Unternehmen zu erreichen. Diese wurden aber alle vom Europäischen Gerichtshof mit dem Hinweis auf das mangelhafte Datenschutzniveau in den USA wieder einkassiert (Safe Harbor und Privacy Shield).
Die Übermittlung personenbezogener Daten kann aber dennoch gemäß Artikel 46 der DSGVO möglich sein. Hierbei müssen geeignete Garantien des Datenempfängers (z. B. Auftragsverarbeiter im Rahmen von SaaS oder Cloud-Diensten) vorgesehen werden und durchsetzbare Rechte und Rechtsbehelfe betroffenen Personen zur Verfügung stehen. Die Standarddatenschutzklauseln der EU-Kommission sollen solche geeigneten Garantien nun darstellen und wurden in Folge des Schrems-II-Urteils des EuGHs angepasst.
Die Vertragsmuster, die in vier Module für unterschiedliche Einsatz-Szenarien aufgeteilt sind, können von Unternehmen genutzt werden und sollen sicherstellen, dass Daten international unter Einhaltung der Datenschutzvorschriften übermittelt werden können. Insbesondere soll nun vorab geklärt werden, wie mit Auskunftsersuchen von Behörden umgegangen wird. Der Datenimporteur muss zusagen, dass Betroffene unmittelbar benachrichtigt werden, wenn ein rechtsverbindlicher Antrag einer Behörde auf Herausgabe vorliegt. Außerdem sollen Maßnahmen angegeben werden, durch die die Menge der transferierten Daten möglichst geringgehalten oder diese sogar verschlüsselt werden.
„Die zwischenzeitlich aufgekommene Forderung, Unternehmen sollten Daten dann eben nur innerhalb der EU verarbeiten, sollte zwar – soweit möglich Berücksichtigung finden; ist aber als generelle Forderung weltfremd. Unsere Wirtschaft ist mittlerweile so vernetzt, dass die Datenverarbeitung in Drittländern auch für kleine und mittlere Unternehmen keine Seltenheit mehr ist,“ berichtet der langjährige Datenschutzfachmann Dr. Jörn Voßbein aus seinen Erfahrungen aus unzähligen Kundenprojekten. „Mit der Überarbeitung bietet die EU-Kommission eine Möglichkeit, hier möglichst rechtssicher zu agieren. Allerdings gilt hier nach wie vor der Grundsatz der Einzelfallprüfung, so dass eine kompetente Beratung unerlässlich ist.“ Die neuen Vertragsklauseln müssen in größerem Umfang als bisher angepasst werden und erfordern weitgehendere Prüf- und Dokumentationsschritte. Auch sollte stets vorab ein sog. „Data Transfer Impact Assessment“ zur Risikoprüfung durchgeführt werden.
Wichtig zu beachten: Bereits abgeschlossene Standarddatenschutzklauseln müssen binnen 18 Monaten erneuert bzw. neu abgeschlossen werden.
Zusatz-Hinweis: Bei den Standarddatenschutzklauseln handelt es sich um jene Regelungen des Artikel 46 Absatz 2 lit. c DSGVO, welche in den Beschlüssen aber oftmals „Standardvertragsklauseln“ genannt werden. Diese sind nicht zu verwechseln mit jenen in Artikel 28 Absatz 7 DSGVO genannten Standardvertragsklauseln, bei denen es sich um Muster-Verträge der EU-Kommission zur Auftragsverarbeitung handelt, die keinen Verbindlichkeitscharakter haben.
Seit längerer Zeit gilt in der EU der Grundsatz, dass eine Übertragung personenbezogener Daten in Drittländer nur stattfinden darf, wenn im importierenden Land ein der EU gleichwertiges Datenschutzniveau gilt. Diese Regelung wurde mit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) fortgeführt. Insbesondere bei der Beurteilung des Datenschutzes in den USA kam es in der Vergangenheit zu vielen Konflikten, da es eine umfassende rechtliche Regelung dort nicht gibt und die bestehenden Vorschriften europäischem Recht widersprechen. Hierbei sei nur das sog. Schrems-II-Urteil genannt (die UIMC berichtete).
Streitpunkt waren immer wieder die Zugriffsrechte von US-Behörden auf in den USA gespeicherte Daten, die genutzt werden können, ohne dass betroffene Personen überhaupt informiert werden. Um trotz aller Unterschiede weiterhin Datenverkehr mit den USA zu ermöglichen, hat die EU in der Vergangenheit versucht, über verschiedene Abkommen eine Sicherheit für Unternehmen zu erreichen. Diese wurden aber alle vom Europäischen Gerichtshof mit dem Hinweis auf das mangelhafte Datenschutzniveau in den USA wieder einkassiert (Safe Harbor und Privacy Shield).
Die Übermittlung personenbezogener Daten kann aber dennoch gemäß Artikel 46 der DSGVO möglich sein. Hierbei müssen geeignete Garantien des Datenempfängers (z. B. Auftragsverarbeiter im Rahmen von SaaS oder Cloud-Diensten) vorgesehen werden und durchsetzbare Rechte und Rechtsbehelfe betroffenen Personen zur Verfügung stehen. Die Standarddatenschutzklauseln der EU-Kommission sollen solche geeigneten Garantien nun darstellen und wurden in Folge des Schrems-II-Urteils des EuGHs angepasst.
Die Vertragsmuster, die in vier Module für unterschiedliche Einsatz-Szenarien aufgeteilt sind, können von Unternehmen genutzt werden und sollen sicherstellen, dass Daten international unter Einhaltung der Datenschutzvorschriften übermittelt werden können. Insbesondere soll nun vorab geklärt werden, wie mit Auskunftsersuchen von Behörden umgegangen wird. Der Datenimporteur muss zusagen, dass Betroffene unmittelbar benachrichtigt werden, wenn ein rechtsverbindlicher Antrag einer Behörde auf Herausgabe vorliegt. Außerdem sollen Maßnahmen angegeben werden, durch die die Menge der transferierten Daten möglichst geringgehalten oder diese sogar verschlüsselt werden.
„Die zwischenzeitlich aufgekommene Forderung, Unternehmen sollten Daten dann eben nur innerhalb der EU verarbeiten, sollte zwar – soweit möglich Berücksichtigung finden; ist aber als generelle Forderung weltfremd. Unsere Wirtschaft ist mittlerweile so vernetzt, dass die Datenverarbeitung in Drittländern auch für kleine und mittlere Unternehmen keine Seltenheit mehr ist,“ berichtet der langjährige Datenschutzfachmann Dr. Jörn Voßbein aus seinen Erfahrungen aus unzähligen Kundenprojekten. „Mit der Überarbeitung bietet die EU-Kommission eine Möglichkeit, hier möglichst rechtssicher zu agieren. Allerdings gilt hier nach wie vor der Grundsatz der Einzelfallprüfung, so dass eine kompetente Beratung unerlässlich ist.“ Die neuen Vertragsklauseln müssen in größerem Umfang als bisher angepasst werden und erfordern weitgehendere Prüf- und Dokumentationsschritte. Auch sollte stets vorab ein sog. „Data Transfer Impact Assessment“ zur Risikoprüfung durchgeführt werden.
Wichtig zu beachten: Bereits abgeschlossene Standarddatenschutzklauseln müssen binnen 18 Monaten erneuert bzw. neu abgeschlossen werden.
Zusatz-Hinweis: Bei den Standarddatenschutzklauseln handelt es sich um jene Regelungen des Artikel 46 Absatz 2 lit. c DSGVO, welche in den Beschlüssen aber oftmals „Standardvertragsklauseln“ genannt werden. Diese sind nicht zu verwechseln mit jenen in Artikel 28 Absatz 7 DSGVO genannten Standardvertragsklauseln, bei denen es sich um Muster-Verträge der EU-Kommission zur Auftragsverarbeitung handelt, die keinen Verbindlichkeitscharakter haben.
