EU veröffentlicht – endlich – die aktualisierten Standartvertragsklauseln

Die EU meint, dass nur sie und ein paar weitere, handverlesene Länder Datenschutz können. Bei den Ländern, die durch das Raster fallen und als „unsicher“ gelten, muss etwas passieren, besonders wichtig geworden nach dem „Schrems 2 – Urteil“ des EuGH, mit dem ein zwischen EU und den USA vereinbartes Abkommen – untechnisch ausgedrückt -für unwirksam erklärt wurde.

Also was brauche ich nun gerade in Bezug auf die US-Lastigkeit meiner Software etc.?

Zunächst: Die Rechtmäßigkeit der Übermittlung von Daten in Länder außerhalb der EU bzw. des EWR wird grundsätzlich in zwei Stufen festgestellt. Auf der ersten Stufe muss eine Rechtsgrundlage wie z.B. Art. 6 Abs. 1 a) DSGVO für die Datenübermittlung vorliegen.
Dann ist zu prüfen, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Ein solches kann für ein Land ganz oder teilweise für einen Sektor mit einem Angemessenheitsbeschluss durch die EU-Kommission festgestellt werden.
Bis hierhin fragen Sie einfach uns!

Ein angemessenes Schutzniveau kann auch durch geeignete Garantien hergestellt werden (Art. 46 DSGVO). Hier kommen nun die von der EU-Kommission angenommenen Standardvertragsklauseln oder auch Standarddatenschutzklauseln wie sie im Art. 46 Abs. 2 c) DSGVO bezeichnet werden. Dabei handelt es sich um Musterverträge, die beide Parteien zum Einhalten eines mit der EU vergleichbaren Datenschutzniveaus verpflichten.

Und. Nun sind sie da, die neuen DSGVO-Standardvertragsklauseln.
Statt bisher drei unterschiedliche Sets von Standardvertragsklauseln
Set I und II für die Konstellation EU-Controller (Verantwortlicher) to Non-EU Controller und ein drittes für die Konstellation EU-Controller to Non EU Processor (Auftragsverarbeiter) gibt es nun:

Nur noch ein Klauselwerk:

Die Standardvertragsklauseln sind nun modular aufgebaut. In dem neuen Klauselwerk finden sich neben den zwei alten Konstellationen Module für die Datenübertragung Processor to Processor (Modul 3) und Processor to Controller (Modul 4).

Daneben beinhalten die Standardvertragsklauseln z.B. umfassende Haftungsregeln und die Möglichkeit den Gerichtsstand und das anwendbare Recht festzulegen. Insgesamt ermöglichen die DSGVO-Standardvertragsklauseln Unternehmen so mehr Flexibilität, aber auch Komplexität. Hinzu kommen die umfassenderen Dokumentationspflichten, die in die Standardvertragsklauseln Einzug gefunden haben und und und.

Soweit so gut!
Hier erst mal die Links zu dem „Wunderwerk“:

Beschluss zu und Erläuterungen und Standart-Vertragsklauseln deutsch

Link zu unterschiedlichen Sprachen und Dateiformaten

ACHTUNG: 20 Tage nach der Veröffentlichung, ab dem 27.06.2020, läuft gemäß Artikel 4 eine 18-monatige Übergangsfrist. An deren Ende, bis zum 27. Dezember 2022, müssen Unternehmen alle bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von Daten in Drittländer durch die neue Version ersetzt haben.

Soweit noch immer nicht geschehen, sollten Unternehmen unbedingt und zeitnah prüfen, welche personenbezogenen Daten sie aufgrund von Standardvertragsklauseln in Drittländern übermitteln. Die Vertragspartner sollte man dann darauf drängen, so schnell wie möglich, die neuen Standardvertragsklauseln abzuschließen. Einerseits, weil diese die Anforderungen des Schrems II Urteils berücksichtigen, deren Einhaltung die deutschen Aufsichtsbehörden gerade in einem koordinierten Verfahren prüfen. Anderseits, weil die geforderte Risikobewertung der Rechtslage im Drittland und die darauf basierende Verhandlung über geeignete technische und organisatorische Maßnahmen sowie die anschließende Dokumentation einiges an Zeit in Anspruch nehmen wird.

Dies alles löst nicht die Probleme, wenn Unternehmen aus unsicheren Drittländern nicht zur Zusammenarbeit bereit sind. Hier gilt: Schritt 1: Mehrfach anmahnen und dokumentieren; Schritt 2: Alternativen suchen, ggf. begründen, weshalb diese nicht in Betracht kommen, das Ganze sorgfältig dokumentieren. Schritt 3: Hoffen.

Wir helfen gerne!