Am 04.06.2021 veröffentlichte die EU-Kommission neue sogenannte Standardvertragsklauseln (SVK) für den Transfer personenbezogener Daten in Drittstaaten. Für den Transfer personenbezogener Daten an Stellen (Unternehmen, inklusive Auftragsverarbeiter und Unterauftragnehmer) in Drittstaaten außerhalb des EWR bzw. der EU („Datenimporteur“) sind gem. Kapitel V der DSGVO angemessene Garantien durch die Stelle zu treffen, die die Daten in das Drittland übermittelt („Datenexporteur“). Ein mögliches Werkzeug für diese Garantien sind die von der EU-Kommission bereitgestellten SVK.
Die neuen SVK ersetzen mit einer Übergangsfrist (siehe hierzu näher Informationen unten) die bisherigen SVK, welche noch auf der Datenschutz-Richtlinie, welche 2018 durch die DSGVO ersetzt wurde, basierten.
Was ist neu?
Hier geben wir Ihnen einen Überblick über wesentliche Neuerungen, welche sich durch die Anwendung der neuen SVK ergeben.
Vereinheitlichung:
Je nach Konstellation des Datentransfers waren bisher verschiedene „Sets“ der SVK anzuwenden. Für den Datentransfer eines Verantwortlichen innerhalb der EU an einen Verantwortlichen außerhalb der EU war ein anderes Set des SVK (sog. Controller to Controller) zu nutzen als für einen Datentransfer eines Verantwortlichen innerhalb der EU an einen Auftragsverarbeiter außerhalb der EU (sog. Controller to Processor). Die neuen SVK sind modular aufgebaut, sodass mit der Nutzung der neuen SVK, unter Auswahl der zutreffenden Konstellation(-en), diese Konstellationen mit einem einheitlichen SVK abbildbar sind.
Abbildung AV-Vertrag gem. Art. 28 DSGVO:
Da die alten SVK noch auf der Datenschutzrichtlinie vor Inkrafttreten der DSGVO basierten, waren die Kriterien des Art. 28 DSGVO an einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) nicht vollständig erfüllt. Dies führte dazu, dass bei Einsatz von Auftragsverarbeitern außerhalb der EU ein AV-Vertrag und die alten SVK abgeschlossen wurden. Mit den neuen SVK sind nun auch die Anforderungen des Art. 28 DSGVO erfüllt, sodass nur noch die neuen SVK (mit Auswahl der entsprechenden Module) abgeschlossen werden muss.
Neue Konstellationen:
Die alten SVK bildeten lediglich die Konstellationen Verantwortlicher innerhalb EU übermittelt personenbezogene Daten an Verantwortlichen außerhalb der EU (sog. Controller to Controller) sowie Verantwortlicher innerhalb EU übermittelt personenbezogene Daten an Auftragsverarbeiter außerhalb der EU (sog. Controller to Processor) ab. Dies sorgte in Konstellationen, in welchen ein Auftragsverarbeiter innerhalb der EU einen Subunternehmer außerhalb der EU einsetzt oder in welchen ein Auftragsverarbeiter innerhalb der EU-Daten an einen Verantwortlichen außerhalb der EU übermittelt, für Umsetzungsprobleme. Durch die neuen SVK können diese Konstellationen nun abgedeckt werden.
Beitrittsmöglichkeit:
Durch Ergänzung des Anhangs der neuen SVK können nun Parteien als Datenimporteur oder Datenexporteur den SVK vergleichsweise unkompliziert (auch im Nachhinein) beitreten. Die entsprechenden Rechte und Pflichten gelten nach Beitritt auch für die beitretende Partei.
Fristen zur Umsetzung:
Für die Fristen zur Umsetzung ist die Berücksichtigung von zwei Daten relevant:
27.09.2021:
Neue Transfers personenbezogener Daten an Stellen außerhalb der EU können bis zum 26.09.2021 noch auf Grundlage der alten SVK legitimiert werden. Ab dem 27.09.2021 sind für neue Datentransfers die neuen SVK abzuschließen. Selbstverständlich können schon jetzt die neuen SVK angewendet werden.
27.12.2022:
Bis zum 27.12.2022müssen alle bestehenden Datentransfers in Drittstaaten, welche auf Grundlage der alten SVK erfolgten, auf die neuen SVK umgestellt werden. Ein Datentransfer in Drittstaaten, welcher ab dem 27.12.2020 auf Grundlage der alten SVK erfolgt, ist nicht mehr rechtmäßig.
Auswirkungen der neuen SVK auf die Rechtsprechung des EuGH vom 16.07.2020 („Schrems II“):
Mit dem Urteil des EuGH vom 16.07.2020 („Schrems II“) definierte der EuGH Rahmenbedingungen, unter welchen ein Datentransfer in Drittstaaten unter der DSGVO zulässig ist.
Die neuen SVK berücksichtigen die Anforderungen des Urteils sowie der Empfehlungen des Europäischen Datenschutzausschusses, jedoch gelten die Kriterien und die damit verbundenen Aufgaben zur Bewertung von Datentransfers in Drittstaaten im Wesentlichen unverändert. Hierauf weist auch die Datenschutzkonferenz in einer Pressemitteilung am 21.06.2021 hin (https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf). Dementsprechend ist auch mit Abschluss der neuen SVK eine Prüfung des Datenschutzniveaus beim Datenempfänger außerhalb der EU erforderlich.
Was ist jetzt zu tun?
Auch mit Abschluss der neuen SVK gelten die durch den EuGH aufgestellten Bedingungen für den Drittstaatentransfer. Folgende mögliche Vorgehensweise ist empfehlenswert:
1. Schritt: Bestandsaufnahme der Datentransfers in Drittstaaten
Im ersten Schritt sollten Sie sich einen Überblick verschaffen, an welche Stellen in Staaten außerhalb der EU/ des EWR Ihre Unternehmen/ Ihre Institution personenbezogene Daten übermittelt.
2. Schritt: Prüfung der Garantien gem. Kapitel V DSGVO (= Artt. 44 ff. DSGVO) für den Datentransfer in Drittstaaten
Es sollte geprüft werden, ob, und wenn ja welche, Garantien zum Drittstaatentransfer getroffen wurden (SVK, Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules). In der Praxis werden häufig SVK genutzt.
Sofern (noch) keine Garantien getroffen wurden, ist bis zum 26.09.2021 der Abschluss der alten oder der neuen SVK möglich. Allerdings ist es empfehlenswert, ab sofort bereits die neuen SVK einzusetzen. Sie sollten deshalb bei den jeweiligen Datenempfängern anfragen, ob diese bereits den Abschluss der neuen SVK anbieten, damit Sie sich den Aufwand der Umstellung auf die neuen SVK bis zum 27.12.2022 ersparen.
Sofern bereits alte SVK abgeschlossen wurden, haben Sie natürlich Zeit bis zum 27.12.2022, um auf die neuen SVK umzustellen. Eine Umstellung auf die neuen SVK vor dem 27.12.2022 ist jedoch natürlich auch möglich.
3. Schritt: Prüfung, ob der Datenempfänger im Drittstaat die getroffenen Garantien einhalten kann (sog. Transfer Impact Assessment oder kurz: TIA)
Im Rahmen des TIAs erfolgt unter Berücksichtigung der Rechtslage im Staat des Datenempfängers die Prüfung, ob der Datenempfänger im Drittstaat die getroffenen Garantien einhalten kann. Sofern dies nicht der Fall sein sollte, sind nach den aufgrund des EuGH-Urteils vom 16.07.2020 geltenden Kriterien weitere Maßnahmen zu treffen, um sicherzustellen, dass der Datenempfänger diese Garantien einhalten kann (z. B. Anonymisierung oder Verschlüsselung der Daten, sodass ein Zugriff des Datenempfängers und Behörden ausgeschlossen werden kann). Hierzu stellte der Europäische Datenschutzausschuss mögliche Maßnahmen bereit (https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf).
4. Schritt: Vervollständigung und Abschluss der neuen SVK
Sofern das TIA im 3. Schritt (ggf. unter Ergreifung weiterer Maßnahmen) zu einem positiven Ergebnis führte, ist die (bzw. sind die) Konstellation, im Rahmen derer personenbezogene Daten in Drittstaaten transferiert werden, jeweils in den Anhängen der neuen SVK abzubilden. Anschließend sind die neuen SVK mit dem Datenempfänger abzuschließen.
Wie hoch ist der Handlungsdruck?
Wenige Tage vor der Veröffentlichung der neuen SVK kündigten mehrere deutsche Aufsichtsbehörden für den Datenschutz in einer Pressemitteilung an, Datentransfers in Drittstaaten mittels Fragebögen zu kontrollieren (siehe beispielhaft: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/koordinierte-pruefung-internationaler-datentransfers/ – die Fragebögen finden Sie am Ende der Pressemitteilung). Die veröffentlichten Fragebögen beziehen sich auf den konzerninternen Datentransfer, auf Bewerberportale, auf Mailhoster, auf Tracking sowie auf Webhoster. Mit Hilfe der Fragebögen ermitteln die Aufsichtsbehörden unter anderem an welche Datenempfänger in welchen Drittstaaten personenbezogene Daten übermittelt werden, auf welcher Garantie gem. Artt. 44 ff. DSGVO dies geschieht, wie geprüft wurde bzw. sichergestellt wird, dass die Datenempfänger diese Garantien zum Datentransfer in Drittstaaten auch einhalten können, jedoch auch wie sichergestellt wird, dass eine Änderung der Rechtslage im Drittstaat rechtzeitig zur Kenntnis genommen werden kann. Hierfür verlangen die Aufsichtsbehörden zum Teil auch Nachweise, wie z. B. Kopien der abgeschlossenen Standardvertragsklauseln, Nachweise zur Prüfung der Einhaltung der Garantien gem. Artt. 44 ff. DSGVO durch den Datenempfänger sowie Auszüge aus dem Verzeichnis von Verarbeitungstätigkeiten (z. B. zum Tracking oder zum konzerninternen Datentransfer).
Da die Kriterien des EuGH-Urteils vom 16.07.2020 („Schrems II“) auch unter den neuen SVK gelten, erachten wir es für nicht unwahrscheinlich, dass die Aufsichtsbehörden in den nächsten Wochen und Monaten Kontrollen vornehmen werden.
Daher empfehlen wir Ihnen sich zeitnah mit der Thematik auseinanderzusetzen. Sofern Sie hierbei Unterstützung wünschen oder Fragen haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung.