Datenschutz

EU-Standardvertragsklauseln und Fragebögen zu internationalem Datentransfer

11.06.2021

IITR Information[IITR – 11.06.21] Die Europäische Kommission hat aktualisierte EU-Standardvertragsklauseln zum Transfer von Daten an außereuropäische Stellen veröffentlicht. Unternehmen haben 18 Monate Zeit, auf die neuen Muster zu wechseln. Die EU-Kommission setzt damit indirekt auch die Vorgaben des EuGH aus dem “Schrems II”-Urteil hinsichtlich der erweiterten Prüfpflichten der europäischen Unternehmen um. Parallel dazu haben Teile der deutschen Aufsichtsbehörden wie im März angekündigt begonnen, Fragebögen an Unternehmen zu versenden und Datentransfers insbesondere mit den USA in den Blick zu nehmen.

Was sind EU-Standardvertragsklauseln?

Mit Hilfe der EU-Standarddatenschutzklauseln soll auf vertraglicher Basis die Anwendbarkeit und Durchsetzbarkeit europäischen Datenschutzrechts auf die außereuropäische Stelle erweitert und so ein Datentransfer ermöglicht werden. Sie bilden derzeit die Basis für eine Vielzahl von Auslagerungsvorgängen europäischer Unternehmen an außereuropäische (insbesondere amerikanische) IT-Unternehmen.

Wechsel auf neue EU-Standardvertragsklauseln

Unternehmen haben nun 18 Monate Zeit, die Verträge mit den außereuropäischen Anbietern auf die neuen Muster zu aktualisieren. Neu sind – neben den variableren Einsatzmöglichkeiten bei unterschiedlichen Verarbeitungsszenarien – insb. auch eine erweiterte Prüfung des Datenschutzniveaus bei der außereuropäischen Stelle durch das europäische Unternehmen. Dies dürfte gerade kleinere Unternehmen in der Praxis vor größere Probleme stellen.

Weitere Informationen:

EU-Standarddatenschutzklauseln und US-Transfer: technische Zusatz-Maßnahmen vs. Risiko-Gesamtschau

Bis zuletzt gerungen wurde um eine gemeinsame Position zwischen EU-Kommission und Europäischem Datenschutzausschuss, inwieweit bei Datentransfers in die USA regelmäßig technische Zusatz-Maßnahmen zu ergreifen seien oder ob auch ein risikobasierter Ansatz hinsichtlich der Zugriffswahrscheinlichkeit durch US-Geheimdienste zulässig sei.

Dazu heißt es nun in einer Fußnote der EU-Standardvertragsklauseln (zur weiteren Einordnung Dr. Ulrich Baumgartner auf Twitter):

“As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame.”

Stellungnahme zu Schrems II-Urteil auf Agenda des Europäischen Datenschutzausschusses

Für kommende Woche steht die Verabschiedung der Empfehlungen für Unternehmen im Umgang mit der “Schrems-II”-Rechtsprechung des EuGH auf der Agenda des Europäischen Datenschutzausschusses. Es wird erwartet, dass diese Stellungnahme auch Anhaltspunkte für zu ergreifende zusätzliche technische Maßnahmen beinhalten wird. Mit Spannung wird zu beobachten sein, ob diese Stellungnahme auch weitere Ausführungen zu dem oben erwähnten risikobasierten Ansatz beinhalten wird.

EU und USA vertiefen zugleich Technologie-Partnerschaft gegen China

Unterdessen werden die Gespräche zwischen der Europäischen Union und den USA zur Lösung der Datentransfer-Problematik (dazu vertiefend hier) auf politischer Ebene weitergeführt. Während Vertreter der Europäischen Seite auf der Fachebene derzeit von eher stockenden Verhandlungen berichteten wurde zeitgleich anlässlich der aktuellen G7-Treffen eine europäisch-amerikanische Technologie-Initiative vorgestellt.

Teile der deutschen Datenschutz-Aufsichtsbehörden beginnen mit Prüfungen

Unterdessen haben – zeitlich auf die Veröffentlichung der EU-Kommission abgestimmt – Teile der deutschen Aufsichtsbehörden begonnen, Fragebögen an die Unternehmen zu versenden und den aktuellen Status hinsichtlich außereuropäischer Datentransfers und dem Umgang mit der EuGH-Rechtsprechung zu eruieren. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. hat Praxishinweise zur Beantwortung des Fragebogens veröffentlicht.

Weitere Informationen:

Was sollten Unternehmen tun?

Unternehmen sind gehalten, ihre außereuropäischen Datentransfers zu analysieren und Abhängigkeiten – ggfs. durch Wechsel auf europäische Anbieter soweit verfügbar – zu reduzieren. Ferner sollte geprüft werden, ob zusätzliche technische oder organisatorische Maßnahmen (wie zum Beispiel Datenlokalisierung, Verschlüsselung, Logfile-Kontrolle) ergriffen werden können. Eine substantielle Lösung der zu Grunde liegenden Datentransfer-Fragen mit den USA ist aus unserer Einschätzung indes allein auf politischer Ebene möglich.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

1 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot