Am 4. Juni veröffentlichte die Europäische Kommission neue Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in andere Länder. Diese Änderung erfolgte im Anschluss an den bahnbrechenden Fall Schrems II, in dem behauptet wurde, dass frühere Praktiken die Einhaltung der Datenschutzgrundverordnung (DSGVO) beeinträchtigten. Diese Aktualisierung war definitiv fällig, da die SCCs seit dem Inkrafttreten des Gesetzes nicht geändert worden waren und den erhöhten Offenlegungsrisiken im digitalen Zeitalter nicht Rechnung trugen. Datenschutz ist ein weltweites Trendthema, nicht nur um die Privatsphäre zu schützen, sondern auch um Vertrauen in den digitalen Markt zu schaffen.

Die alten SCCs wurden am 27. September 2021 aufgehoben, und wer sie vor diesem Stichtag verwendet, kann die Klauseln bis zum 27. Dezember 2022 als wirksam betrachten. Unternehmen mit Sitz in den USA, die Daten für Rechtsstreitigkeiten oder Ermittlungen benötigen, sollten sich mit der Schrems-II-Entscheidung und den SCC-Änderungen vertraut machen, um einen rechtmäßigen und zügigen grenzüberschreitenden Datentransfer zu gewährleisten.

Schrems II Entscheidung

Im Juli 2020 fällte der Gerichtshof der Europäischen Union diese Grundsatzentscheidung, die den Anstoß für die anschließende Überarbeitung des SCC gab. Der Fall wurde ursprünglich von einem Verbraucheraktivisten eingereicht, der mit der Datenübertragungspolitik von Facebook zwischen den USA und Irland unzufrieden war. Er argumentierte, dass die Übermittlung personenbezogener Daten an den Hauptsitz des Unternehmens in den USA ein Risiko für das Abfangen von Daten oder den Zugriff durch staatliche Geheimdienste darstelle. Der Gerichtshof stimmte dem zu und befand die früheren SCCs für unzureichend und stellte fest, dass Folgenabschätzungen für Datenübermittlungen Aufschluss darüber geben werden, wann zusätzliche Maßnahmen erforderlich sind, um sensible Daten während der Übermittlung angemessen zu schützen - insbesondere dann, wenn ein Land nicht das gleiche Schutzniveau und die gleichen Verbraucherrechte bietet wie die EU. Der Gerichtshof wies insbesondere auf das Risiko hin, dass US-Behörden einen breiteren Zugang zu Daten haben, die zwischen privaten Unternehmen übertragen werden, und dass sie diese überwachen können.

Nach der Datenschutz-Grundverordnung ist die Übermittlung personenbezogener Daten nur dann zulässig, wenn angemessene Sicherheitsvorkehrungen zum Schutz der Daten getroffen wurden. Einige Länder wie Kanada und Japan haben von der Europäischen Kommission Angemessenheitsbeschlüsse erhalten, in denen ihre Datenschutzgesetze als ausreichend erachtet werden, um sichere Übermittlungen zu ermöglichen. Die USA haben diese Einstufung nicht erhalten und verließen sich auf die alten SCCs oder den EU-US-Datenschutzschildrahmen, um Übermittlungen zu erleichtern, bevor das Schrems-II-Urteil diese beiden Mechanismen außer Kraft setzte.

Seit dem Urteil im Juli 2020 gab es viele Unbekannte, und die betroffenen Unternehmen warteten darauf, wie die Europäische Kommission die seit langem bestehenden SCCs ändern würde, da dies eine der gängigsten Methoden für grenzüberschreitende Datenübertragungen aus der EU ist, nicht nur in den USA, sondern weltweit. US-Organisationen waren zusätzlich betroffen, da das Privacy-Shield-Rahmenwerk mit der Schrems-II-Entscheidung im vergangenen Juli sofort für ungültig erklärt wurde. Jetzt gibt es Antworten, und Unternehmen sollten die neuen SCC gründlich prüfen, damit sie sich entsprechend vorbereiten können.

Wichtige SCC-Überarbeitungen

Die neuen SCCs konzentrieren sich auf eine erhöhte Rechenschaftspflicht, Transparenz und die Aufrechterhaltung des GDPR-Schutzes, wenn Daten in andere Länder mit niedrigeren Datenschutzstandards fließen. Es gibt zwar einige begrenzte Ausnahmen, in denen diese Klauseln für eine Übermittlung nicht erforderlich sind, doch werden sie in der überwiegenden Mehrheit der Fälle erforderlich sein, in denen Daten an US-Organisationen und andere Länder exportiert werden, die von der Europäischen Kommission nicht als angemessen angesehen werden. Hier sind einige wichtige Änderungen:

Module: Die neuen SCCs bieten vier verschiedene modulare Klauseloptionen, um eine größere Transferspezifität zu erreichen: 1) Controller-to-Controller, 2) Controller-to-Prozessor, 3) Prozessor-to-Controller und 4) Prozessor-to-Prozessor. Die beiden letztgenannten Optionen waren in den alten Versionen nicht enthalten und bieten mehr Klarheit darüber, wie Organisationen, die diese Arten von Übermittlungen durchführen, vorgehen sollten, um die DSGVO einzuhalten. Während die Sprache in den Modulen intakt bleiben muss, können die Parteien sie in größere Verträge integrieren und zusätzliche Bedingungen hinzufügen, die im Einklang mit den neuen SCC stehen und nicht gegen den Schutz verstoßen, den die DSGVO den Verbrauchern in Bezug auf ihre personenbezogenen Daten gewährt.

Extraterritoriale Anwendung: Ein Unternehmen, das Daten exportiert, muss nicht in der EU ansässig sein, um die neuen SCC anwenden zu können, was einen Unterschied zu den früheren Vorschriften darstellt. Der Datenexporteur muss lediglich der Datenschutz-Grundverordnung unterliegen, z. B. wenn er EU-Verbraucherdaten verarbeitet oder Produkte für EU-Datensubjekte anbietet. Es scheint jedoch, dass mehr Klarheit erforderlich ist, wenn es um Datenimporteure geht, da die neuen SCCs nur dann gelten, wenn ihre Verarbeitungstätigkeiten nicht in den Geltungsbereich der DSGVO fallen. Es bleibt zu hoffen, dass in Zukunft geklärt wird, ob dies bedeutet, dass Importeure, die unter den extraterritorialen Anwendungsbereich der DSGVO fallen, keine SCCs verwenden müssen, da dies von den Praktiken im Rahmen der früheren Klauseln abweicht und einen regulatorischen Konflikt darstellt.

Bewertung und Risiko: Als zusätzliche Schutzebene müssen nun beide Parteien eine Folgenabschätzung für die Datenübermittlung durchführen, um die Einhaltung der Vorschriften zu bestätigen. Es gibt Bewertungskriterien und Risikofaktoren, von denen die beiden wichtigsten die Datenschutzgesetze des Importlandes und die geplanten Übermittlungsgarantien sind. Ersucht eine öffentliche Stelle um Zugang zu personenbezogenen Daten, die der DSGVO unterliegen, muss der Importeur bestimmte Richtlinien befolgen, um eine unrechtmäßige Offenlegung zu vermeiden, die die Verbraucherrechte in der EU beeinträchtigt.

Andere wichtige Überarbeitungen: Die neuen SCC sehen einige Einschränkungen für die Weitergabe von Daten an andere Organisationen außerhalb der EU und den Einsatz von Unterauftragsverarbeitern ohne vorherige Zustimmung vor. Alle Vereinbarungen müssen ausdrücklich in die Vertragsklausel aufgenommen werden, um zukünftige Streitigkeiten zu vermeiden. Mehrparteienvereinbarungen, die die neuen SCCs nutzen, sind ebenfalls zulässig. Darüber hinaus gibt es mehr Verpflichtungen in Bezug auf Datenschutzverletzungen und Datensicherheit, um einen angemessenen Schutz bei Übermittlungen zu gewährleisten.

Denken Sie daran, dass dies nur ein Überblick über einige der wichtigsten Merkmale ist. Unternehmen, die diese Klauseln anwenden möchten, sollten den neuen Text und alle weiteren Leitlinien genau prüfen.

Beste Praktiken

Um GDPR-konform zu bleiben und eine erhöhte Haftung zu vermeiden, müssen sich Unternehmen, die Daten aus der EU übertragen müssen, mit den neuen SCC-Anforderungen vertraut machen und die notwendigen Änderungen an den Richtlinien vornehmen. Andernfalls kann es zu Verzögerungen oder zur Unmöglichkeit der Übermittlung von Daten kommen, die für Gerichtsverfahren oder Ermittlungen in den USA von entscheidender Bedeutung sind. Am wichtigsten ist es, alle Aktivitäten zu dokumentieren, um die Transparenz zu fördern. Dazu gehören schriftliche Verträge mit den entsprechenden Klauseln, alle Verarbeitungsvorgänge, Mitteilungen über Hindernisse bei der Einhaltung der Vorschriften, Abhilfemaßnahmen, Verbraucherbenachrichtigungen und Schriftverkehr. Benennen Sie geeignete Ansprechpartner für die Abwicklung von Überweisungen, Verträgen, Verhandlungen und Streitigkeiten. Heben Sie frühere Richtlinien auf, die gegen die neuen SCCs verstoßen, und bieten Sie allen an diesen Prozessen beteiligten Personen interne Schulungsmöglichkeiten an. Wenn Sie einen Drittanbieter beauftragen, stellen Sie sicher, dass dieser mit den neuen Anforderungen vertraut ist und Maßnahmen für zusätzliche Sicherheit ergreift.

Insbesondere für US-Organisationen kann es sein, dass die neuen SCCs nicht in allen Fällen ausreichen und zusätzliche Maßnahmen erforderlich sind, wie z. B. die Anfechtung von Datenzugriffsanfragen durch eine öffentliche Stelle. Es ist außerdem von größter Bedeutung, so bald wie möglich Pläne für die Folgenabschätzung von Datentransfers zu erstellen. Berücksichtigen Sie dabei alle erforderlichen Faktoren, legen Sie die Verantwortlichkeiten der Teammitglieder fest und erstellen Sie klare Prozessbeschreibungen. Auch wenn dies nicht ausdrücklich vorgeschrieben ist, da die SCC mehr Schutzmaßnahmen umfasst, sollten Organisationen auch den Abschluss separater Standard-Datenschutzvereinbarungen in Erwägung ziehen, um alle Aspekte abzudecken.

Die Befolgung der oben genannten Schritte sollte dazu beitragen, zukünftige Hindernisse zu vermeiden und den Transferprozess angesichts der jüngsten Änderungen zu vereinfachen. Es ist wichtig, alle weiteren Überarbeitungen, herausgegebenen Leitlinien oder die Rechtsprechung zu verfolgen, die die Verfahren für den grenzüberschreitenden Datentransfer ändern könnten.

Wenn Sie diesen Blog interessant fanden, lesen Sie bitte auch die jüngsten GDPR-Bußgelder gegen Amazon und WhatsApp, die neue Rekorde aufstellen.

Der Inhalt dieses Artikels dient lediglich der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.