Drittlands-Übermittlungen – neue EU-Klauseln
Vor wenigen Tagen hat die EU-Kommission neue sogenannte Standard-Vertragsklauseln verabschiedet, die zukünftig für Übermittlungen in Länder außerhalb der EU (hier: in Drittländer ohne festgestelltes angemessenes Datenschutzniveau) die vertragliche Grundlage bieten sollen, um Garantien für dieses Datenschutzniveau entsprechend Art. 46 DSGVO zu gewährleisten.
Das dürfte wohl in Kürze nicht nur z.B. USA, sondern auch UK betreffen, sofern die EU-Kommission der Ablehnung des Angemessenheitsbeschlusses durch das EU-Parlament folgt.
Übergangsfrist
Bis zum 27. Dezember 2022 gibt es eine Übergangsfrist für bestehende Übermittlungen auf Basis der bisherigen SCC. Neue Verträge müssen ab sofort auf Basis der neuen Vertragsklauseln geschlossen werden.
Das beinhaltet einige Herausforderungen für Verantwortliche und Fachleute.
Bisher gab es zwei fixe Versionen der SCC, die durch die neue – modular aufgebaute Version – ersetzt werden. Aktuell gibt es für vier „Anwendungsfälle“ Module im Text:
MODUL EINS:
Übermittlung von Verantwortlichen an Verantwortliche
z.B. Verantwortlicher in der EU übermittelt Daten an Verantwortlichen in der USA oder anderes Drittland
MODUL ZWEI:
Übermittlung von Verantwortlichen an Auftragsverarbeiter (AV)
z.B. Verantwortlicher in der EU übermittelt Daten an einen Auftragsverarbeiter in der USA oder mit Sitz in UK (also auch anwendbar, wenn die Server in Europa stehen)
MODUL DREI:
Übermittlung von Auftragsverarbeitern (AV) an Auftragsverarbeiter (AV)
Dieses Modul deckt nun die Übermittlung zwischen AV in EU und AV in Drittland ab
MODUL VIER:
Übermittlung von Auftragsverarbeitern (AV) an Verantwortliche
Dieses Modul ist auch neu und etwas ungewöhnlich, da es den Fall abdecken soll, dass der AV in der EU sitzt und der Verantwortliche in einem Drittland.
Warum der Modulare Ansatz?
Der Beschluss der EU-Kommission sagt:
"… um verschiedenen Datenübermittlungsszenarien und der Komplexität moderner Verarbeitungsketten Rechnung zu tragen.
Zusätzlich zu den allgemeinen Klauseln sollten Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen; auf diese Weise können sie ihre Pflichten gemäß den Standardvertragsklauseln auf ihre jeweilige Rolle und jeweiligen Verantwortlichkeiten hinsichtlich der betreffenden Datenverarbeitung zuschneiden.
Mehr als zwei Parteien sollten sich an die Standardvertragsklauseln halten können.
Darüber hinaus sollten weitere Verantwortliche und Auftragsverarbeiter den Standardvertragsklauseln während der gesamten Laufzeit des Vertrags, der diese Klauseln als Bestandteile enthält, als Datenexporteure oder Datenimporteure beitreten dürfen.
Die modularen Texte können z.B. in Verträge mit aufgenommen werden oder aber als eigenständige Zusatzvereinbarungen geschlossen werden.“
Einige Praxisfragen offen
Noch finde ich es ziemlich unklar, wie welche Module zukünftig korrekt miteinander kombiniert werden können, und welche Vertragsparteien sich z.B. einem dann bestehenden Vertrag wie genau anschließen können, um ein rechtssicheres Vertragswerk zu schaffen bzw. zu erweitern.
Unsicherheiten
Es bleibt abzuwarten, ob es noch klarere Praxisanweisungen zu den neuen SCC geben wird, die von Verantwortlichen mit Hilfe ihrer DSBs einfach umzusetzen sein werden, oder ob Drittlands-Übermittlungen zukünftig zum rechtsanwaltlichen Beratungsfall werden.
Zusätzliche Sicherheitsmaßnahmen
Als Verantwortlicher kommt man weiterhin nicht daran vorbei, sich um zusätzliche Sicherheits-Maßnahmen zu kümmern. Ein Transfer Impact Assessment (speziell zum jeweiligen Drittland und dessen Rechtslage bezüglich Datenschutz) ist also notwendig.
Sowohl beim Vertragspartner als auch – soweit die Theorie – bei dessen Subunternehmern. Zumindest muss man sich die zusätzlichen Sicherheits-Maßnahmen, die dort vorhanden sind, nachweisen lassen.
Und dann soll man diese bewerten und die Entscheidung treffen, ob diese ausreichend für ein angemessenes Datenschutzniveau sind.
Wenn nicht – Dienstleister wechseln oder zusätzliche technische Maßnahmen wie z.B. Verschlüsselung anwenden, sofern das überhaupt sinnvoll und möglich ist.
Rechenschaftspflicht
Nicht zu vergessen, dass man all das nachweisen können muss, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.
Was ein fetter Brocken!
Mal ganz ehrlich – damit wird die Umsetzung von Datenschutz bei Drittlandstransfers nicht gerade unkomplizierter.
Mit den neuen Klauseln und der „Möglichkeit“, sich diese modular selbst zusammenzustellen, zusammen mit der schon bestehenden Verpflichtung, die ganzen in der Praxis vor allem für kleinere und mittlere Unternehmen schwer durchführbaren Bewertungen vorzunehmen wird ein enormer Aufwand produziert.
Meine Meinung:
Das trägt nicht zur Akzeptanz von Datenschutz bei und auch nur vorgeblich zu mehr Sicherheit bei Drittlands-Transfers. Weiterhin - Schrems II in allen Ehren und auch nachvollziehbar. Aber der ganze "Papierkram" wird die (stark vernetzte) Welt nicht besser machen.