Auswirkungen des Falls Schrems II auf die Standardvertragsklauseln

Das Urteil Schrems II hat weitreichende Konsequenzen für Datenübertragungen in Länder außerhalb der EU. Im Blog Beitrag zum Urteil sind wir auf die Konsequenzen der Nichtigkeitserklärung des EU-US-Privacy-Shields eingegangen. Nun hat das Urteil jedoch noch weitere Konsequenzen.

Neben der Ungültigkeitserklärung des Privacy-Shields hat das Urteil auch Einfluss den Einsatz von Standardvertragsklauseln. Dies möchten wir im Folgenden näher ausführen.

Hintergrund: Datenübermittlung in ein Drittland

In der Datenschutz-Grundverordnung (DS-GVO) wird festgelegt, dass eine Datenübermittlung stattfindet, wenn personenbezogene Daten Dritten zugänglich gemacht werden. Dies kann zum Beispiel innerhalb eines Konzerns geschehen, wenn eine Muttergesellschaft Daten an eine Tochtergesellschaft weitergibt. Dies kann aber auch in Auftragsverhältnis geschehen.

Wenn der Auftraggeber der Datenübermittlung seinen Sitz in der EU bzw. EWR hat, dann fällt diese Datenübermittlung in den Geltungsbereich der DS-GVO. Hier muss nun unterschieden werden, wo der Datenempfänger seinen Sitz hat:

  • Sitz in der EU bzw. EWR: Beide unterliegen den Regelungen der DS-GVO und ein angemessenes Schutzniveau sollte gewährleistet sein.
  • Sitz außerhalb der EU, also in einem Drittland:
    • Liegt ein Angemessenheitsbeschluss der EU vor, dann liegt ein vergleichbares Datenschutzniveau vor. Eine Datenübermittlung darf stattfinden.
    • Liegt kein Angemessenheitsbeschluss vor, werden zusätzliche Garantien gem. Art. 46 Abs. 2 DS-GVO für ein angemessenes Datenschutzniveau nötig. Eine dieser Garantien stellen Standardvertragsklauseln dar.

Das Urteil

Mit dem Urteil wurden nun die rechtlichen Anforderungen an den Einsatz der Standardvertragsklauseln konkretisiert. Grundsätzlich ist der Einsatz dieser also weiterhin möglich. Nur müsse das Unternehmen, dass die Daten übermittelt, nun im Einzelfall prüfen, ob der Datenempfänger die Anforderungen aus den Standardvertragsklauseln auch einhalten könne. Eine vertragliche Zusicherung allein reicht nicht aus.

Beispielsweise wenn in einem Drittland durch das Recht den Behörden weitgehend uneingeschränkte Eingriffe in die Rechte der Betroffenen erlaubt sind, dann reichen die Standardvertragsklauseln nicht aus. Die Garantien in den Standardvertragsklauseln müssen hier durch weitere ergänzt werden.

Wenn keine Garantien gegeben werden könnten, dann seien Verantwortliche in der EU dazu verpflichtet, die Datenübermittlung auszusetzen oder zu beenden.

Ein Beispiel: In den USA können Behörden durch verschiedene Beschlüsse auf personenbezogene Daten zugreifen. Zudem sind dort Betroffenenrechte nicht hinreichend gewährleistet bzw. durchsetzbar. Aufgrund dieser Rechtslage ist eine Datenübermittlung in die USA nur aufgrund der Standardvertragsklauseln nicht zulässig. Somit müssen weitere Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau rechtfertigen würden.

Folgen des Urteils

Um etwaigen rechtlichen Schwierigkeiten aus dem Weg zu gehen lautet eine Empfehlung, dass Verantwortliche sich garantieren lassen sollten, dass Datenverarbeitungen nur in der EU stattfinden. Dies sollte im Rahmen der Vereinbarung zur Auftragsverarbeitung geschehen. Ist dies nicht möglich sollte der Datentransfer vertraglich abgesichert werden, indem sich der Auftragnehmer zur Einhaltung der Art. 44 ff DS-GVO verpflichtet.

Das Risiko für die Daten durch den Zugriff durch Behörden kann durch vertragliche Regelungen begrenzt werden. Ein Beispiel ist die Regelung, dass lediglich zwingende und unanfechtbare Herausgabeverlangen zu erfüllen sind und dass ansonsten Auskünfte nur nach schriftlicher Bestätigung durch den Auftraggeber erfolgen dürfen.

Durch besondere technische und organisatorische Maßnahmen kann die Einhaltung der Standardvertragsklauseln effektiv sichergestellt werden. Beispiele sind Verschlüsselungs-, Anonymisierungs- und Pseudonymisierungstechniken. Hierdurch hat der Datenempfänger quasi keinen Zugriff auf personenbezogene Daten und diese können also auch nicht an die dortigen Behörden weitergegeben werden müssen.

Insgesamt gilt: Je konkreter die vertraglichen Regelungen an die Defizite des Datenschutzniveaus im Drittstaat adressiert sind, desto eher halten sie einer aufsichtsbehördlichen bzw. gerichtlichen Überprüfung stand.

Kontaktieren Sie uns!

Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog