DSGVO

Schrems II

SDK

Neue Standarddatenschutzklauseln

Datum07. Juni 2021

Notwendigkeit für Neuerungen

Vergangenes Jahr hatte der Gerichtshof der Europäischen Union (EuGH) mit dem „Schrems II“-Urteil nicht nur die Übermittlung personenbezogener Daten in die USA auf Grundlage des sog. Privacy Shields für unzulässig erklärt, sondern auch festgestellt, dass das Instrument der Standarddatenschutzklauseln (SDK) beim Datentransfer in Drittstaaten datenschutzrechtlich nicht immer ausreichend sei.

Am 4. Juni 2021 veröffentlichte die EU-Kommission daher überarbeitete SDKs, die im Einklang mit der DSGVO und den in der Entscheidung „Schrems II“ formulierten Anforderungen stehen sollen. Gegenüber Medienvertretern gab Didier Reynders, EU-Kommissar für Justiz und Rechtsstaatlichkeit, an, dass dabei insbesondere bei den Aspekten Transparenz und Rechenschaft nachgebessert wurde. Unternehmen, die personenbezogene Daten ins außereuropäische Ausland übermitteln, sollen damit eine bessere rechtliche Handhabe und wirksamere Datenschutzmaßnahmen ermöglicht werden.

In diesem Zusammenhang stellte Reynders noch einmal heraus, dass es weiterhin der Verantwortung der Unternehmen obliege, bei der Übermittlung in Drittstaaten zu prüfen, ob Standarddatenschutzklauseln ausreichen oder ob zusätzliche Maßnahmen erforderlich sind, um ein adäquates Datenschutzniveau zu gewährleisten. Als mögliche weitere Maßnahmen, um personenbezogene Daten etwa vor dem Zugriff von Regierungen zu schützen, nannte Reynders z.B. die Verschlüsselung oder die Anonymisierung der Daten.

Blick in die neuen SDKs

Eine Neuerung der neuen SDK ist ihr modularer Aufbau, der die möglichen Konstellationen zwischen den Akteuren bei Drittstaatenübermittlungen adressiert. Waren die Vorgängerversionen noch in zwei separate Dokumentvorlagen unterteilt, müssen in den neuen SDK die entsprechenden Module verwendet werden. Insgesamt gibt es vier Module:

Modul 1: Übermittlung von Verantwortlichen an Verantwortliche

Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter

Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Innerhalb dieser Module kann es vorkommen, dass Unteroptionen getroffen werden müssen, wie es zum Beispiel in Klausel 9 (Einsatz von Unterauftragnehmern) für Modul 2 der Fall ist: Gemäß Klausel 9 lit. a der SDK kann der Verantwortliche selbst entscheiden, ob der Auftragsverarbeiter für den Einsatz von Unterauftragnehmern vorher eine Genehmigung einholen muss (Option 1) oder nicht (Option 2).

Arbeitsreiche Anhänge

Sind die Klauseln mit den richtigen Modulen und Optionen fertiggestellt, müssen noch die Anhänge ausgefüllt werden. Dort erfolgt die maßgebliche Arbeit, denn in den Anhängen müssen Informationen über die Datenverarbeitung angegeben werden (Anhang I) sowie, wenn zutreffend, eine Liste der Unterauftragsverarbeiter (Anhang III).

Besonders wichtig ist Anhang II (Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten). Für Modul 1 – 3 müssen konkrete (nicht allgemeine) technische und organisatorische Maßnahmen für jede Datenübermittlung/Kategorie von Datenübermittlung angegeben werden. In Anhang II werden dafür auch mögliche Maßnahmen gelistet. Allerdings handelt es sich hierbei nur um einen Beispielkatalog, der weder abschließend ist, noch als „ToDo-Liste“ nötiger Maßnahmen verstanden werden darf. Das bedeutet: Die Vertragsparteien müssen sich intensiv mit der Datenverarbeitung auseinandersetzen und konkrete Schutzmaßnahmen zur Gewährleistung eines angemessenen Schutzniveaus definieren. Dabei sind Art, Umfang, Umstände und Zweck der Verarbeitung sowie Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigten. Insofern wird Anhang II die Kür bei den SDKs werden.

Auswirkungen für die Praxis

Unter Personen, die in datenschutzrelevanten Bereichen arbeiten, wurde die Aktualisierung der SDK schon lange erwartet. Denn die ersten Versionen der SDK sind im Jahr 2010 unter der Datenschutzrichtlinie entstanden und hatten bisher weder eine Aktualisierung nach der DSGVO noch nach dem Schrems II-Urteil erfahren. Insofern war eine neue Version der SDK längst fällig.

Da die neue Version der SDK etwa 11 Jahre im sich rasant entwickelnden Datenschutzrecht „aufholen“ muss, war damit zu rechnen, dass sie komplexer wird. Diese Komplexität spiegelt sich bereits im Aufbau wider, der aber auch den Vorteil neuer geregelter Konstellationen mit sich bringt. Das Ausmaß an Komplexität und die Sinnhaftigkeit der einzelnen Klauseln der SDK wird die zukünftige Anwendungspraxis zeigen.

Eine Herausforderung wird die Definition geeigneter technischer und organisatorischer Maßnahmen. Die Kommission zeigt auf, dass Datenschutz ernst genommen werden muss und eine einfache Verschlüsselung oder Maßnahmen eines generischen TOM-Katalogs nicht ausreichen. Vielmehr müssen die Akteure gemeinsam die technischen und organisatorischen Maßnahmen gestalten und an einem Strang ziehen, um ein angemessenes Datenschutzniveau zu gewährleisten. Es gilt allerdings zu hoffen, dass der Europäische Datenschutzausschuss oder die nationalen Aufsichtsbehörden noch weitere Hilfestellungen geben werden.

Die ursprünglichen SDK (Entscheidung 2001/497/EG und Beschluss 2010/87/EU) werden am 27. September 2021 aufgehoben (Artikel 4 Abs. 3 des Durchführungsbeschluss über Standardvertragsklauseln).

Für bereits geschlossene SDK, die auf der ursprünglichen Vorlage der SDK basieren, wird eine Übergangsfrist von 18 Monaten von der EU-Kommission vorgegeben. (Artikel 4 Abs. 4 des Durchführungsbeschluss über Standardvertragsklauseln). Die Frist endet am 27. September 2022.

 

Quellen



Source link