7 datenschutzrechtliche Herausforderungen beim Einsatz von...
Erhalten Sie Tipps zu einer rechtskonformen Nutzung und datenschutzrechtlichen Herausforderungen im Zusammenhang mit dem Einsatz von KI.
Inhaltsverzeichnis:
1. Was sind Standardvertragsklauseln und warum brauche ich sie?
2. Wann kommen diese Musterverträge zum Einsatz?
3. Welche Fristen müssen eingehalten werden?
4. Welche Dienste sind betroffen?
5. Wie funktioniert die Daten-Transfer-Folgenabschätzung?
6. Unser Tipp
Diesen Artikel jetzt als Podcast anhören
Die Aufhebung des EU-US Privacy Shield durch das Schrems II – Urteil des Europäischen Gerichtshofs (EuGH) im Sommer letzten Jahres führt bei vielen Unternehmen weiterhin zu großen Unsicherheiten, ob ein rechtssicherer Datentransfer in Drittländer wie die USA noch möglich ist. In seinem Urteil hielt der EuGH dabei fest, dass die Übermittlung personenbezogener Daten auf Basis vertraglicher Maßnahmen in Form von Standardvertragsklauseln weiterhin möglich sei, jedoch einer vorherigen Prüfung der gegebenen gesetzlichen Lage in dem zugrundeliegenden Drittland bedarf. Gelangt dabei der Datenexporteur zu dem Ergebnis, dass die Standardvertragsklauseln keinen ausreichenden Schutz der zu transferierenden personenbezogenen Daten (z. B. gegen drittstaatliche Zugriffe von Geheimdiensten) gewährleisten können, so sind „zusätzliche Maßnahmen“ zu ergreifen, um ein der EU gleichwertiges Datenschutzniveau zu garantieren.
Soweit so gut. In der Praxis gestaltet sich diese Vorabprüfung und die Festlegung etwaiger Maßnahmen allerdings als schwierig und ähnelt eher dem Blick in eine trübe Glaskugel.
Seit dem letzten Sommer hat sich jedoch einiges getan. Zum einen hat der Europäische Datenschutzausschuss (EDSA) eine Empfehlung bezüglich der zu ergänzenden Maßnahmen veröffentlicht. Zum anderen war auch die Europäische Kommission nicht untätig.
Um ein angemessenes Datenschutzniveau im Kontext des internationalen Datentransfers zu schaffen, die Standardvertragsklauseln (oder auch Standarddatenschutzklauseln) an die DSGVO anzupassen und den Unsicherheiten der datenexportierenden Unternehmer entgegenzukommen, verabschiedete die EU-Kommission eine Überarbeitung der Standardvertragsklauseln, mit welchen ein rechtsicherer Datentransfer in die USA möglich sein soll.
Wir haben für Sie zusammengefasst, was Sie über die neuen Standardvertragsklauseln wissen müssen und welche Schritte Sie nun zu beachten haben, um rechtsicher Daten in die USA transferieren zu können.
Was sind Standardvertragsklauseln und warum brauch ich sie?
Möchten Sie personenbezogene Daten in Länder außerhalb der EU übermitteln, brauchen Sie zunächst eine geeignete Rechtsgrundlage gemäß der DSGVO. Zudem muss jedoch auch die Einhaltung des europäischen Datenschutzstandards gewährleistet werden.
Liegt kein Angemessenheitsbeschluss vor, in welchem die EU-Kommission anderen Ländern (bspw. Israel und Kanada) ein angemessenes Datenschutzniveau attestiert, darf der Datenexporteur (z. B. Verantwortlicher oder auch ein Auftragsverarbeiter) die Daten an ein Drittland nur übermitteln, sofern er geeignete Garantien vorweisen kann. Zu dem Katalog an geeigneten Garantien gehören dabei insbesondere die Standardvertragsklauseln. Der Knackpunkt ist hierbei, dass es sich um einen Vertrag zwischen Datenexporteur und einem Datenimporteur in einem Drittland handelt. Dieser kann zwar die Vertragsparteien verpflichten ein der EU gleichwertiges Datenschutzniveau zu schaffen, jedoch u.a. keine Zugriffe von drittstaatlichen Behörden (z. B. US- amerikanische Geheimdienste) unterbinden. Die jeweilige Ausgestaltung der rechtlichen Lage im Drittland ist vor Anwendung der Standardvertragsklauseln zu überprüfen und in die vertragliche Gestaltung mit einzubeziehen (siehe unten).
Standardvertragsklauseln sind als Mustervorlagen für den Datentransfer zu verstehen. Aus diesen Klauseln können sich Anwendende einen Datenschutzvertrag zusammenstellen. So müssen unterschiedliche Klauseln verwendet werden, je nachdem, ob der Verwender Auftragsverarbeiter ist oder selbst als Datenschutzverantwortlicher handelt.
Wann kommen diese Musterverträge zum Einsatz?
Die Standardvertragsklauseln sind modular aufgebaut und ähneln einem Baukastensystem, mit welchem Unternehmen unterschiedliche Übermittlungskonstellationen abbilden können. Im Gegensatz zu den alten Standardvertragsklauseln bilden die neuen Musterverträge zusätzliche Verarbeitungs- und Übermittlungsszenarien ab, um den komplexen Entwicklungen des digitalen Marktes gerecht zu werden.
Modul 1: Gilt für die Übermittlung von Verantwortlichen an Verantwortliche
Beispiel: Ein europäisches Unternehmenhat Forderungen gegenüber der Kundschaft aus einem Drittland. Diese Forderung tritt das Unternehmen an ein Inkasso-Unternehmen aus diesem Drittland ab.
Modul 2: Gilt für die Übermittlung von Verantwortlichen an Auftragsverarbeiter.
Beispiel: Ein europäisches Unternehmen beauftragt einen E-Mail-Service aus einem Drittland (Auftragsverarbeiter) mit dem Versand seines Newsletters.
Modul 3: Gilt für die Übermittlung von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter.
Beispiel: Ein Auftragsverarbeiter in der EU, beauftragt ein weiteres Unternehmen (Subauftragnehmer) außerhalb der EU.
Modul 4: Gilt für die Übermittlung von (EU-) Auftragsverarbeitern an Verantwortliche in einem Drittland
Beispiel: Ein US-amerikanisches Unternehmen beauftragt ein Unternehmen mit Sitz in der EU mit der dortigen Kundenbetreuung von EU-Bürgern.
Die aktuellen Musterklauseln bringen frischen Wind in den Datentransfer. So kann bei Einsatz von Modul 2 oder 3 die zusätzliche Erstellung eines Auftragsverarbeitungsvertrags gänzlich entfallen. Es bleibt abzuwarten inwiefern diese Möglichkeit durch digitale Dienstleister in Anspruch genommen wird.
Welche Fristen müssen eingehalten werden?
Ab dem 27.09.2021 gelten die neue Standardvertragsklauseln für alle Verträge, die neu abgeschlossen werden. Die Verwendung der alten Standardvertragsklauseln ist für Neuverträge daher nicht mehr zulässig.
Für Altverträge, die vor dem 27.09.2021 abgeschlossen wurden, ist eine Übergangsfrist von 15 Monaten vorgesehen und müssen damit bis spätestens 27.12.2022 aktualisiert werden. Der Schein einer allzu langen Übergangsfrist trügt, denn der Einsatz der neuen Klauseln ist komplex, sodass der Aufwand der Änderung nicht unterschätzt werden darf.
Welche Dienste sind betroffen?
Sie haben von Standardvertragsklauseln noch nie etwas gehört? Das liegt vermutlich daran, dass sich die Standardvertragsklauseln meist in den Nutzungsvereinbarungen, AGB sowie in den Auftragsverarbeitungsverträgen Ihrer Dienstleister verbergen oder darauf Bezug genommen wird. So kann bei Einsatz eines Auftragsverarbeiters eine Datenübermittlung auch durch die weitere Auslagerung der Verarbeitungsprozesse an ein Subunternehmen in Drittländern vorliegen (siehe Modul 3 oben).
Einige Unternehmen haben bereits ihre Vertragswerke aktualisiert oder einen Anpassungsprozess in die Wege geleitet, u.a.
- Google Analytics (Zustimmung via Einstellungen in Ihrem Google- Account)
- Amazon Web Services (AWS)
- Microsoft
- Atlassian
Wie funktioniert die Daten-Transfer-Folgenabschätzung
Da die bloße Verwendung der Standardvertragsklauseln nicht ausreicht, um einen rechtsicheren Datentransfer in ein Drittland zu gewährleisten, bedarf es einer Risikoprüfung Ihrerseits. Maßgeblich ist, dass Sie den Ablauf des Datentransfers prüfen, sowie die technischen und organisatorischen Maßnahmen, die der Diensteanbieter zum Schutz der Daten vorsieht.
Als kleiner Leitfaden kann folgende Liste dienen:
1. Welche Dienste verwende ich (Analyse möglicher Datentransfers)?
2. Sind davon personenbezogene Daten betroffen (u.a. Auflistung der Arten, des Zwecks und der Speicherdauer personenbezogener Daten)?
3. Auf welcher Grundlage werden die Daten übermittelt (Angemessenheitsbeschluss oder Standardvertragsklauseln)?
4. Bei Einsatz von Standardvertragsklauseln: Werden bereits die aktuellen Klauseln zugrunde gelegt (Fristen beachten, siehe oben)?
5. Welche Rechtsvorschriften und Gepflogenheiten gelten in dem Drittland?
- Liegen hierfür Rechtsvorschriften vor, die den Zugriff von Behörden gestatten (z. B. US-Sicherheitsregelungen gemäß FISA, Abschnitt 702)?
- Stehen diese Regelungen in Widerspruch zum EU-Datenschutzniveau/ handelt es sich hierbei um notwendige und verhältnismäßige Zugriffe seitens der Behörden im Drittland (z. B. pauschale Zugriffsmöglichkeit der Behörde auf Daten von EU-Bürgern ohne vorherige richterliche Genehmigung)?
- Liegen frühere Ersuchen um Offenlegung seitens einer Behörde beim Datenimporteur vor?
7. Sind weitere Schutzmaßnahmen erforderlich um ein angemessenes Schutzniveau zu garantieren (z. B. Pseudonymisierung von Daten, Verschlüsselung der übermittelten Daten, Schlüssel verbleit dabei beim Datenexporteur)?
8. Ist der Einsatz von EU-Alternativen möglich? Wenn nein warum nicht (in die Begründung sind Faktoren wie eine Kosten/Nutzen-Analyse miteinzubeziehen)?
9. Wird der Datentransfer sowie die ergriffenen zusätzlichen Maßnahmen in geeigneten Abständen überprüft und ggf. aktualisiert?
Unser Tipp
Die neuen Standardvertragsklauseln bringen mehr Klarheit in komplexe Verarbeitungs- und Übermittlungsszenarien. Eine Risikobetrachtung der Gewährleistung eines der EU-gleichwertigen Datenschutzniveaus können die Vertragsmuster jedoch in Gänze nicht erfüllen. Sprechen Sie bei Unklarheiten bezüglich der neuen Verträge und Risikobetrachtung mit Ihrem eingesetzten Dienstleistungsunternehmen.
Über den Autor
Konstantin Schröter ist Master of Laws (LL.M.), zertifizierter Datenschutzbeauftragter (TÜV) und als Produkt Manager Datenschutz bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreut er die Trusted Shops Legal Produkte und ist für die Weiterentwicklung der Legal-Tech-Produkte im Bereich Datenschutz zuständig.
07.10.21
