Übermittlung von Daten an Länder außerhalbe der EU/EWR
Die DSGVO stellt an die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU / des EWR – sogenannte Drittländer – gesonderte Anforderungen. Solche Übermittlungen sind nur möglich, wenn entweder
- für das jeweilige Drittland ein Angemessenheitsbeschluss der EU Kommission vorliegt oder
- die übermittelnde Partei geeignete Garantien zum Datenschutz vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen oder
- die Übermittlung durch einen der in der DSGVO festgelegten Ausnahmefälle erlaubt ist.
Geeigneten Garantien können z.B.
- verbindliche von der zuständigen Datenschutzbehörde genehmigte interne Datenschutzvorschriften oder
- Standardvertragsklauseln, die von der EU‑Kommission erlassen wurden,
sein.
Standardvertragsklauseln als geeignete Garantien
Die EU-Kommission hat in der Vergangenheit bereits mehrfach solche Standardvertragsklauseln erlassen.
So im Jahre 2001 Standardvertragsklauseln zur Übermittlung von einem Verantwortlichen, also jemanden der über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet, an Dritte in einem Drittland, die die Daten ebenfalls in eigener Verantwortung verarbeiten. Im Jahre 2004 hat die EU Kommission dann eine zweite Fassung von solchen Standardvertragsklauseln verabschiedet.
Mit Beschluss vom 5. Februar 2010 hat die EU-Kommission weiter Standardvertragsklauseln erlassen, die die Übermittlung solcher Daten an einen Dritten in einem Drittland ermöglicht, der diese Daten im Auftrag des Verantwortlichen verarbeitet, einem sogenannten Auftragsverarbeiter.
Mit Beschluss vom 4. Juni 2021 hat die EU-Kommission letztes Jahr ein Set von neuen Standardvertragsklauseln zur Verfügung gestellt, die die alten Standardvertragsklauseln ersetzen sollen.
Diese Standardvertragsklauseln bestehen aus vier Modulen, die jeweils bestimme Übermittlungsszenarien abdecken. So finden die Module wie folgt Anwendung:
- Modul 1 bei einem Datentransfer von einem Verantwortlichen in der EU / dem EWR an ein Unternehmen in einem Drittland, welches die Daten in eigener Verantwortung verarbeitet;
- Modul 2 bei einem Datentransfer von einem Verantwortlichen in der EU / dem EWR an einen Auftragsverarbeiter in einem Drittland;
- Modul 3 bei einem Datentransfer von einem Auftragsverarbeiter in der EU / dem EWR an einen Unter-Auftragsverarbeiter in einem Drittland und
- Modul 4 bei einem Datentransfer durch einen Auftragsverarbeiter in der EU / dem EWR an einen Verantwortlichen in einem Drittland.
Anwendung der Standardvertragsklauseln
Diese Standardvertragsklauseln können daher von Unternehmen grundsätzlich für die jeweilige Übermittlungssituation, für die sie erlassen wurden, zum Datentransfer in Drittländer verwendet werden.
Die Standardvertragsklauseln dürfen nicht abgeändert werden, sonst entfällt ihre Wirkung als geeignete Garantie des angemessenen Datenschutzes. Die Standardvertragsklauseln sehen im jeweiligen Text an manchen Stellen Optionen vor. Soweit die Standardvertragsklauseln solche Optionen vorsehen, können diese selbstverständlich gewählt werden, aber eigenständige Änderungen dürfen nicht vorgenommen werden, auch nicht solche, die sich gegebenenfalls in einem weiteren Vertragswerk befinden, welches auf die abgeschlossenen Standardvertragsklauseln Bezug nimmt, und diese abändert. Des Weiteren müssen die in den Standardvertragsklauseln festgelegten Pflichten beider Parteien natürlich befolgt werden.
Umsetzungsfristen für die neuen Standardvertragsklauseln
Der Beschluss der EU-Kommission zu den neuen Standardvertragsklauseln legt auch Umsetzungsfristen fest. So mussten bereits ab dem 27. September 2021 neue Verträge auf Grundlage der neuen Standardvertragsklauseln abgeschlossen werden.
Bereits vor dem 27. September 2021 abgeschlossene Verträge, bei denen sich an den Datenverarbeitungsvorgängen nichts geändert hat, genießen noch Schutz bis zum 27. Dezember 2022. Bis dahin müssen also auch diese Verträge auf die neuen Standardvertragsklauseln umgestellt werden.
Wurden Neu-Verträge nicht ab dem 27. September 2021 mit den neuen Standardvertragsklauseln abgeschlossen oder werden Altverträge nicht rechtzeitig umgestellt, stellt dies einen Verstoß gegen die DSGVO dar, der entsprechend mit Bußgeldern geahndet werden kann.
Was sollten Unternehmen tun?
Unternehmen sollte nochmals überprüfen, ob bereits alle Datentransfers in Drittländer, für die Standardvertragsklauseln verwendet werden, auf die neuen Standardvertragsklauseln umgestellt sind. Ist dies nicht der Fall, sollte dies dringend nachgeholt werden.
