Zusätzliche Datensicherheit für den Datentransfer Die neuen Standardvertragsklauseln der EU

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die EU-Kommission hat neue Standardvertragsklauseln (SCC) veröffentlicht. Die SCC können eine geeignete Garantie nach DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen. Das bedeutet aber nicht, dass unter den neuen SCC automatisch keine zusätzlichen Maßnahmen für die Datensicherheit mehr notwendig wären – ganz im Gegenteil.

Firmen zum Thema

Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln angenommen: einen Satz für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und einen Satz für die Übermittlung personenbezogener Daten in Drittländer.
Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln angenommen: einen Satz für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und einen Satz für die Übermittlung personenbezogener Daten in Drittländer.
(© Bernulius - stock.adobe.com)

Technisch erscheinen Datentransfers dank Cloud Computing und anderer Möglichkeiten zur Übermittlung von Daten recht einfach, rechtlich sieht es etwas anders aus. Zentral für den Datenschutz bei der Übermittlung personenbezogener Daten sind die Rechtsgrundlage (Dürfen die Daten an Dritte übermittelt werden?) und das angemessene Datenschutzniveau (Sind die Daten nach dem Transfer genauso gut geschützt wie von der Datenschutz-Grundverordnung (DSGVO) gefordert?).

Für eine Übermittlung personenbezogener Daten in die USA gibt es bekanntlich seit dem Ende von Privacy Shield keinen gültigen Angemessenheitsbeschluss der EU-Kommission mehr, auf den man sich stützen kann, um ein angemessenes Datenschutzniveau im Empfänger-Drittland nachzuweisen.

Die DSGVO sieht dann (in Artikel 46 DSGVO) vor: Falls kein Angemessenheitsbeschluss vorliegt, dürfen ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen haben und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Hier kommen insbesondere die Standardvertragsklauseln ins Spiel, die von der EU-Kommission nach einem Prüfverfahren genehmigt wurden. Die bisherigen Standardvertragsklauseln (SCC, Standard Contractual Clauses) wurde zwar im sogenannten Schrems II – Urteil des EuGH (Europäischer Gerichtshof) nicht gekippt, aber es wurde deutlich gemacht, dass auch unter Anwendung der SCC weitere Datenschutzmaßnahmen notwendig sein können, um ein angemessenes Datenschutzniveau gewährleisten zu können.

Die neuen Standardvertragsklauseln

Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln angenommen, einen Satz für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und einen Satz für die Übermittlung personenbezogener Daten in Drittländer.

Damit sollen den Anforderungen der Datenschutzgrundverordnung (DSGVO) und dem „Schrems II“-Urteil des Europäischen Gerichtshofs Rechnung getragen und ein hohes Datenschutzniveau für die Bürgerinnen und Bürger sichergestellt werden. Die neuen Instrumente bieten den europäischen Unternehmen größere rechtliche Vorhersehbarkeit, helfen insbesondere den KMU dabei, die Einhaltung der für sichere Datenübermittlungen geltenden Anforderungen sicherzustellen, und ermöglichen zugleich ungehinderte grenzüberschreitende Datenübermittlungen ohne rechtliche Schranken, so die EU-Kommission. Die neuen Standardvertragsklauseln tragen zudem der gemeinsamen Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten Rechnung.

Die für Werte und Transparenz zuständige Vizepräsidentin der Kommission, Věra Jourová, sagte hierzu: „Wir wollen in Europa offen bleiben und freien Datenverkehr ermöglichen, sofern die Daten dabei geschützt sind. Die modernisierten Standardvertragsklauseln werden dabei helfen, dieses Ziel zu erreichen. Sie geben den Unternehmen ein nützliches Werkzeug an die Hand, mit dem diese sicherstellen können, dass sie die Datenschutzvorschriften sowohl bei ihren Tätigkeiten in der EU als auch bei internationalen Datenübermittlungen einhalten. Dies ist eine notwendige Lösung in der vernetzten digitalen Welt, in der sich Daten mit nur einem oder zwei Klicks übermitteln lassen.“

EU-Justizkommissar Didier Reynders fügte hinzu: „In unserer modernen Welt kommt es darauf an, dass Daten innerhalb und außerhalb der EU mit dem erforderlichen Schutz ausgetauscht werden können. Mit diesen verstärkten Klauseln ermöglichen wir den Unternehmen mehr Sicherheit und Rechtssicherheit bei Datenübermittlungen. Nach dem ,Schrems II‘-Urteil war es unsere Pflicht und unser vorrangiges Ziel, nutzerfreundliche Instrumente auszuarbeiten, auf die sich die Unternehmen voll verlassen können. Die neuen Standardvertragsklauseln werden den Unternehmen sehr dabei helfen, die DSGVO einzuhalten.“

Wichtigste Neuerungen bei den SCC

Neuerungen der neuen Standardvertragsklauseln sind insbesondere:

  • ein übergreifendes Instrumentarium, das eine breite Palette von Transferszenarien abdeckt, anstelle separater Klauseln,
  • ein praktisches Werkzeug für die Einhaltung des „Schrems II“-Urteils,
  • eine Übersicht der verschiedenen Maßnahmen, die Unternehmen ergreifen müssen, um dem „Schrems II“-Urteil nachzukommen,
  • sowie Beispiele möglicher „zusätzlicher Maßnahmen“ wie Verschlüsselung, die Unternehmen erforderlichenfalls ergreifen können.

Für Verantwortliche und Auftragsverarbeiter, die bereits bestehende Standardvertragsklauseln verwenden, ist ein Übergangszeitraum von 18 Monaten vorgesehen.

Wer genau hinsieht, stellt fest: Die neuen SCC machen die zusätzlichen Maßnahmen für den Datenschutz nicht überflüssig, sondern sie erwähnen diese explizit und geben Beispiele. Zusätzliche Maßnahmen für die Datensicherheit können also weiterhin notwendig sein, auch mit den neuen SCC.

Was die Aufsichtsbehörden zu den neuen SCC sagen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat sich entsprechend dazu geäußert. Sie weist darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist.

An den Verpflichtungen für die Unternehmen hat sich also durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich (Klausel 14), so die Aufsichtsbehörden. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und bei Bedarf zusätzliche Schutzmaßnahmen ergreifen oder, wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.

In seinem Urteil „Schrems II“ hatte der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar, wie die Datenschutzkonferenz betont.

Fazit: Unternehmen und andere Akteure, die personenbezogene Daten in Drittländer übermitteln, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie die Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind, auch bei Anwendung der neuen Standardvertragsklauseln. Die deutschen Aufsichtsbehörden haben mit Beratungen und Prüfungen dazu begonnen, ob und wie die Anforderungen des „Schrems II“-Urteils eingehalten werden.

(ID:47509897)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research