Die EU hat neue Standarddatenschutzklauseln für die Datenverarbeitung im In- und Ausland verabschiedet. Erstmals wurden nicht nur Vertragsklauseln für die Übermittlung personenbezogener Daten in Drittstaaten, sondern auch für die datenschutzkonforme Auftragsverarbeitung veröffentlicht.

Neue Standardklauseln für internationale Datentransfers…

Am 4. Juni 2021 hat die EU-Kommission neue Standarddatenschutzklauseln als Grundlage für die datenschutzkonforme Übermittlung personenbezogener Daten in Drittstaaten veröffentlicht. Die neuen Standarddatenschutzklauseln ersetzen die bisher gültigen Standardvertragsklauseln. 

Diese Klauseln kommen üblicherweise zum Einsatz, wenn personenbezogene Daten von einem europäischen Unternehmen an einen Empfänger (bspw. einen Cloud-Dienstleister) im Ausland übermittelt werden.

Erste Hinweise auf eine Novellierung der EU-Standardvertragsklauseln haben sich bereits im vergangenen Jahr ergeben. Anfang 2021 kommentierten der Europäische Datenschutzausschuss (EDSA) und der Bundesbeauftragte für den Datenschutz BfDI den vorliegenden Entwurf: "Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen, ohne Einschränkungen beim Datenschutz zu machen".

Zuvor hatte der EuGH am 16. Juli 2020 den sogenannten "Privacy Shield" in einem vielbeachteten Urteil ("Schrems II", C-311/18) gekippt. Eine wesentliche Rechtsgrundlage für Transfers von personenbezogenen Daten in die USA war damit entfallen, wodurch die EU-Standarddatenschutzklauseln - welche nun in novellierter Form vorliegen - zum zentralen Instrument der Regelung von Übertragungen in Drittländer wurden.

Ziel der neuen Standarddatenschutzklauseln ist es, internationale Datenströme datenschutzkonform abzubilden. Schon jetzt zeichnet sich aber ab, dass die Verwendung der neuen Standarddatenschutzklauseln allein kaum genügen wird, um etwa bestehende Probleme mit Datentransfers in die USA vollständig zu lösen. Vielmehr setzt die Anwendung der neuen Standardvertragsklauseln voraus, dass eine eigenständig durchzuführende und zu dokumentierende Risikobewertung zu dem Ergebnis führen muss, dass die jeweilige Rechtslage im Drittland die angemessene Umsetzung der Vereinbarungen aus den neuen Standardvertragsklauseln ermöglicht (und diesen insbesondere nicht entgegensteht). Für die USA deutet sich bereits an, dass es schwierig sein wird, dieses mit der aktuellen Rechtslage in Einklang zu bringen.

… und erstmals für die Auftragsverarbeitung

Darüber hinaus macht die EU-Kommission erstmals Gebrauch von der Option gemäß Art. 28 Abs. 7 DSGVO, Standardvertragsklauseln für die Regelung von Auftragsverarbeitungen zu verabschieden. 

Es besteht damit eine vereinheitlichte Vertragsvorlage für Auftragsverarbeitungen innerhalb der EU als Alternative zu den bereits einhellig bekannten Auftragsverarbeitungsverträgen zur Verfügung. Auftragsverarbeitungsverträge werden üblicherweise zwischen Auftraggeber und Auftragnehmer abgeschlossen, wenn die weisungsgebundene Verarbeitung personenbezogener Daten Gegenstand der Beauftragung ist.

Handlungsbedarf

Der Beschluss der EU-Kommission zu den neuen Vertragsklauseln sieht eine Übergangsfrist von insgesamt 18 Monaten vor, so dass bis spätestens Ende 2022 alle bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer durch die neue Fassung ersetzt sein müssen. Zu beachten ist zudem, dass in neuen Verträgen mit außereuropäischen Dienstleistern ab dem 27. September 2021 nur noch die neu veröffentlichten Standardvertragsklauseln zum Einsatz kommen dürfen.

Unternehmen sollten insofern prüfen, ob sie Datenverarbeitungen auf Basis der Standardvertragsklauseln durchführen und diese rechtzeitig aktualisieren.

Darüber hinaus sollte geprüft werden, ob die durch die Standarddatenschutzklauseln und das Schrems II-Urteil begründeten Anforderungen an internationale Datentransfers, bspw. in die USA, eingehalten werden können.