Die neuen EU-Standardvertragsklauseln sind da – Was ist jetzt zu tun?

Unser Partner Jens Nebel hat bereits mehrfach über die Auswirkungen der Schrems II Entscheidung des EuGH auf internationale Datentransfers berichtet, First-Aid-Musterverträge ausgearbeitet und früh vorhergesehen, was nun in den neuen Standarddatenschutzklauseln von der EU-Kommission umgesetzt wurde.

Modularer Aufbau der neuen Standardvertragsklauseln

Wie bereits von Jens Nebel im November beschrieben, folgen die  neuen Standardvertragsklauseln einem modularen Ansatz und halten Lösungen für Datentransfers

  • zwischen mehreren Verantwortlichen (Modul 1),
  • von Verantwortlichen an Auftragsverarbeiter (Modul 2),
  • von Auftragsverarbeitern an Auftragsverarbeiter (Modul 3) und
  • von Auftragsverarbeitern an Verantwortliche (Modul 4)

bereit, an denen jederzeit auch Dritte beteiligt werden können. Gerade für Datenimporteure bestehen weitereichende neue Pflichten, die amerikanische Big-Data-Riesen nur zähneknirschend hinnehmen werden. Zum Beispiel scheint Google sich schwer zu tun und setzt bei Analytics und Co. weiterhin auf die alten Standarddatenschutzklauseln.

Was müssen datenexportierende Unternehmen jetzt zu tun?

Auch den Datenexporteur treffen empfindliche Pflichten, wie etwa jene, zu garantieren, dass kein Grund zu der Annahme besteht, Rechtsvorschriften und Gepflogenheiten im Empfängerland hielten den Datenimporteur von der Erfüllung seiner vertraglichen Pflichten ab. Aufgrund der vom EuGH kritisierten erheblichen Datenzugriffsbefugnisse US-amerikanischer Sicherheitsbehörden, die auch beim Einsatz von Standardvertragsklauseln nicht von der Hand zu weisen sind, ist eine solche Garantie selten guten Gewissens zu erteilen.

Trotz dieser Bedenken sind Unternehmen gut beraten, nicht den Kopf in den Sand zu stecken, sondern schnell zu handeln. Spätestens jetzt empfiehlt sich folgendes Vorgehen:

  • Bestandsaufnahme sämtlicher drittstaatenbezogener Datenverarbeitungsvorgänge,
  • Vereinbarung der neuen Standardvertragsklauseln,
  • Prüfung des Datenschutzniveaus im Empfängerland,
  • Prüfung möglicher technischer, vertraglicher und organisatorischer Zusatzmaßnahmen,
  • Prüfung von europäischen Alternativen,
  • Strenge Dokumentation aller Maßnahmen.

Wie viel Zeit bleibt?

Schon jetzt verschicken zahlreiche Datenschutzbehörden (Berlin, Hamburg, Brandenburg, Bremen, Niedersachsen, Rheinland-Pfalz, Baden-Württemberg, Bayern und das Saarland) Fragebögen an Unternehmen, wie diese mit dem Thema internationaler Datentransfers nach der Schrems-II-Entscheidung des EuGH umgehen. Dabei wollen die Behörden zumindest sehen, dass sich die Unternehmen mit dem Thema intensiv befasst und erste Maßnahmen getroffen haben. Die Datenschutzaufsicht aus Baden-Württemberg will etwa davon überzeugt werden, dass sich Verantwortlichen intensiv um zumutbare Alternativangebote ohne Transferproblematik bemüht haben.

Davon abgesehen können die alten Standarddatenschutzklauseln noch bis zum 27.09.2021 eingesetzt werden, um laufende Vertragsverhandlungen nicht zu torpedieren. Ab diesem Stichtag dürfen Neuverträge nur noch mit den neuen Klauseln abgeschlossen werden. Ab dem 28.12.2022 muss vollständig umgestellt sein. Es bleibt turbulent.