Wie bereits in unserem Blogbeitrag „EuGH: Privacy Shield unzulässig, EU-Standardvertragsklauseln erheblich erschwert“ beschrieben, dürfen Übermittlungen von personenbezogenen Daten in ein Drittland – also jedes Land außerhalb des EWR – nur unter den drei Voraussetzungen
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
- Vorliegen geeigneter Garantien (Art. 46 DS-GVO) oder
- Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO).
übermittelt werden. Unter dem Begriff der geeigneten Garantien verbergen sich unter anderem die sogenannten Standarddatenschutz- oder Standardvertragsklauseln (Standard Contractual Clauses (SCC)) .
Diese sind ein vom EU-Gesetzgeber vorgefertigtes Vertragswerk, welches unverändert vom Datenexporteur und Datenimporteur getroffen werden muss. Eigentlich eine bewährte Methode, allerdings ist der Einsatz durch das EuGH-Urteil vom 16.07.2020, Akz. C-311/18, ECLI:EU:C:2020:559 (für die USA) erheblich erschwert worden. Die Grundlage des Privacy Shields wurde vollständig für ungültig erklärt. Vermutlich aufgrund dieser Tatsachen wurden die Standardvertragsklauseln erneuert und stehen nun nach einen Monat der Konsultationsphase zur Verfügung.
Die neuen Standardvertragsklauseln erhalten aufgrund des EuGH-Urteils eine Pflicht des Datenimporteurs, Betroffene unverzüglich zu informieren, wenn eine ausländische Behörde einen Antrag auf Herausgabe der Betroffenendaten stellt – z. B. auf Grundlage des Cloud-Acts. Sollte dem Importeur eine Benachrichtigung behördlich untersagt sein, soll er sich bestmöglich um eine Aufhebung der Untersagung bemühen und im Zweifel „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags ausschöpfen“. Ob die neuen Standardvertragsklauseln das Risiko rechtswidriger Datenübermittlungen wirksam aufheben oder ob weiterhin zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich sind, um eine „angemessene Garantie“ für EU-US-Transfers durchzuführen, bleibt abzuwarten.
Die neuen Standardvertragsklauseln für die Datenübermittlung EU-zu-Drittland sind in vier Module aufgeteilt. Zusätzlich zu den Standardvertragsklauseln die – wie bekannt – für die Übermittlung von EU-zu-Drittland gelten, gibt es nun auch Standardvertragsklauseln für die Übermittlung innerhalb der EU, die sich an Art. 28 VII DSGVO orientieren.
Hören Sie zu den neuen Standardvertragsklauseln unter diesem Link auch unsere neue Podcast-Folge.