Neue Datenschutzklauseln der Europäischen Union

Lange wurde gewartet, nun hat die Europäische Union nach einer Phase der Abstimmung und öffentlicher Kommentierung ihre neuen Datenschutzklauseln für den Transfer in Drittländer veröffentlicht. Wir erinnern uns. Die Datenschutzklauseln sind Vertragsklauseln zur Absicherung der Übermittlung personenbezogener Daten in sogenannte „Drittländer“. Sie sollen gewährleisten, dass ein der Datenschutzgrundverordnung (DSGVO) vergleichbares Datenschutzniveau auch bei Auftragsverarbeitern außerhalb des Europäischen Wirtschaftsraumes sichergestellt wird.

Diese Klauseln wurden lange vor Inkrafttreten der DSGVO, dem Wegfall des PrivacyShield-Abkommens und dem sogenannten „Schrems-II-Urteil“ des Europäischen Gerichtshofes erstellt. Letztmalig angepasst 2010 für Auftragsverarbeiter. In dem Sinne war eine Anpassung an die aktuelle Gesetzgebung und auch den aktuellen Erkenntnissen sowie Geschehnissen dringend erforderlich.

Besteht nun 100%ige Sicherheit mit Nutzung der neuen Klauseln? Eindeutig nicht. Der Verantwortliche hat nun auch neue Pflichten auferlegt bekommen. Wie beispielsweise eine sogenannte Transferabschätzung durchzuführen. Wie ist es um die lokalen Gesetzgebungen beim Datenimporteur bestellt und welche zusätzlichen Maßnahmen können hier gemeinsam ergriffen werden, um auf Datenzugriffe durch Behörden angemessen reagieren zu können. Diese zusätzlichen Maßnahmen und Empfehlungen sind so weit noch nicht durch die EU präzisiert worden. Jedoch weist die EU konkret darauf hin, dass der Transfer personenbezogener Daten gegebenenfalls nicht stattfinden sollte, weil beispielsweise der Datenimporteur durch lokales Recht gar nicht in der Lage sein könnte die vertraglichen Pflichten umzusetzen. Hier erwähnen die Klauseln erstmalig, dass solche Maßnahmen möglichst auszuschließen sind, die nicht „… in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind“. Ebenso ist der Auftragsverarbeiter verpflichtet Behördenanfragen abzulehnen oder gerichtlich sich zur Wehr zu setzen. Dies ist ein Novum, dem auch noch eine Informationspflicht an den Verantwortlichen bei derartigen Anfragen hinzukommt.

Eine Neuerung ist auch der modulare Aufbau, der die verschiedenen Konstellationen zwischen Verantwortlichem und Auftragsverarbeiter durch Weglassen von spezifischen Absätzen im Vertragstext erlaubt. Das erleichtert zum Teil die Anpassung gegenüber den vorherigen Schriftsätzen.

Die Standardklauseln werden nun nach Veröffentlichung im Amtsblatt eine Übergangsphase einläuten in denen bei Neuverträgen diese anzuwenden sind und bestehende Altverträge in den nächsten 18 Monaten aktualisiert werden müssen. Bereits erfolgte Prüfschritte zu PrivacyShield und ein aktuelles Verzeichnis der Verarbeitungstätigkeiten können die Identifikation der entsprechenden Verträge erleichtern. Hier ist ein konkreter Handlungsbedarf für alle betroffenen Unternehmen entstanden, den der Verantwortliche zusammen mit dem Datenschutzbeauftragten angehen muss.

Die Entwicklung und die aktuelle Situation zeigen wieder: Datenschutz bleibt spannend.