EU-Standarddatenschutzklauseln

Datenexporteure und Datenimporteure können die Standarddatenschutzklauseln der Europäischen Kommission vertraglich vereinbaren. Die Kommission gibt dafür unter der Bezeichnung Standardvertragsklauseln Regeln für verschiedene Situationen vor.

Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden, können die Grundlage für eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau sein, sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1, Abs. 2 Buchstabe c DS-GVO). Die Kommission gibt dafür unter der Bezeichnung Standardvertragsklauseln Vertragsmuster für verschiedene Situationen vor. Diese Klauseln werden zwischen den Datenexporteuren im Europäischen Wirtschaftsraum und den Datenimporteuren in Drittstaaten vertraglich vereinbart. Die Genehmigung einer Aufsichtsbehörde ist nicht erforderlich.

Klauseln

Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Die Vertragsmuster finden sich im Anhang dieser Entscheidung.

Diese Klauseln sind nicht zu verwechseln mit den Standardvertragsklauseln für die Auftragsverarbeitung nach Art. 28 DS-GVO, die ebenfalls von der Europäischen Kommission erlassen wurden.

In den neuen Standardvertragsklauseln werden allgemeine Klauseln mit einem modularen Ansatz kombiniert. Zusätzlich zu den allgemeinen Klauseln sollen Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen. Die Module können für folgende Konstellationen verwendet werden:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche.

Die Klauseln werden von der jeweiligen datenexportierenden Stelle (Datenexporteur) mit der datenempfangenden Stelle (Datenimporteur) abgeschlossen. Es ist auch möglich, diese Verträge als Mehrparteienvertrag zu gestalten. Dabei ist allerdings besonders darauf zu achten, dass die konkreten Datenflüsse zwischen den Vertragsparteien klar beschrieben sind. Es muss für die Betroffenen transparent bleiben, an welche Stellen zu welchen Zwecken ihre Daten übermittelt werden. Stellen Datenexporteure Schwierigkeiten bei der entsprechenden Darstellung fest, ist ein solcher Mehrparteienvertrag aufgrund zu komplizierter Strukturen und Datenflüsse nicht geeignet.

Übergangsregeln für alte Klauseln

Alte Standardvertragsklauseln (vgl. Entscheidung 2001/497/EG oder Beschluss 2010/87/EU) dürfen für eine Übergangszeit bis zum 26.09.2021 für Neuverträge verwendet werden.
Bis spätestens 27.12.2022 müssen alle Verträge, die auf Grundlage der alten Standardvertragsklauseln abgeschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt werden. Diese Übergangsfrist unterliegt der Einschränkung, dass die betroffenen Verarbeitungsvorgänge unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Ergänzende Maßnahmen

Wie bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen.

Auch bei Verwendung der neuen EU-Standardvertragsklauseln ist dies erforderlich, denn die Europäische Kommission ist in ihrem Beschluss unter anderem auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) eingegangen: Die Klauseln regeln diese Anforderungen, die sich aus der Rechtsprechung des EuGH ergeben, nun ausdrücklich (Klausel 14). Die Europäische Kommission und der Europäische Datenschutzausschuss haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt.

Mehr zu zusätzlichen Prüfungen und ergänzenden Maßnahmen

Genehmigung bei Abweichungen

Für EU-Standardvertragsklauseln ist keine besondere Genehmigung einer Aufsichtsbehörde erforderlich (Art. 46 Abs. 2 DS-GVO).
Wenn allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge oder Module miteinander vermischt werden, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Die LDI NRW hat bisher solche Verträge nicht genehmigt.

Ob im Einzelfall keine Genehmigungspflicht besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.