Seit der Schrems II Entscheidung im Juli 2020 besteht bei Datenübermittlungen an Empfänger in Drittstaaten, allen voran in den USA, große Rechtsunsicherheit. Diese wird durch die zahlreichen von noyb initiierten Verfahren noch weiter befeuert. Sehnlichst wurden daher die Ende letzten Jahres schon angekündigten, neuen Standarddatenschutzklauseln zur Sicherstellung der geeigneten Garantien nach Art 46 DSGVO erwartet.

Das lange Warten hat nun ein Ende: Die EU-Kommission hat am Freitag, dem 4.6., die Finalfassung der Standardvertragsklauseln (SCC) veröffentlicht. Im Vergleich zum vorläufigen Entwurf aus November 2020, den Mitarbeiter der DORDA Rechtsanwälte GmbH hier zusammengefasst haben, hat sich inhaltlich nur wenig geändert. Der modulare Aufbau, das längst fällige Mapping auf die DSGVO (statt Abstellen auf die Datenschutz-RL) und Erweiterungen der Verpflichtungen beider Parteien führen in Summe zu einem höheren Schutzniveau als das bisher weit verbreitete Muster. Die wichtigsten Neuerungen zum Letztentwurf 2020 haben unsere DORDA Datenschutzexperten gerne gleich für Sie zusammengetragen:

Risikoabwägung und Einzelfallbeurteilung werden auch weiterhin das Thema Datenschutz begleiten. (Bild: pexels.com / Montage)

Hard Facts – was hat sich geändert?

Die Übergangsfristen wurden in beide Richtungen angepasst:

  • Die neuen SCCs gelten nicht ab sofort, sondern erst 20 Tage nach ihrer formellen Veröffentlichung im Amtsblatt der EU. Letztere soll „in den kommenden Tagen“ rasch erfolgen.
  • Die bisher geltenden SCC dürfen noch weitere drei Monate nach Veröffentlichung im Amtsblatt verwendet werden.
  • Für bestehende Verträge – also überall dort wo auf die bisher geltenden SCC abgestellt wurde – greift zusätzlich eine Übergangsfrist von 15 statt den bisher avisierten 12 Monaten.

Weiters wurden die Pflichten des Datenimporteurs im Fall des gerade rund um Schrems II ausschlaggebenden Datenzugriffs durch Behörden präzisiert. So erfasst zB die Pflicht zur Bekämpfung von Anordnungen/Entscheidungen öffentlicher Behörden auch schon die Erhebung von Rechtsmitteln in der Instanz.

Zudem wurde – zB deutlich in ErwG 20 – ausdrücklich festgehalten, dass auch die neuen SCCs nicht in jedem Fall ausreichende geeignete Garantien bieten. Vielmehr sei in jedem Einzelfall eine Gesamtbeurteilung erforderlich, um zu eruieren, ob allenfalls zusätzliche Klauseln oder Maßnahmen erforderlich sein können. Dabei sind zB zuverlässige Informationen über die Anwendung der Rechtsvorschriften im Drittstaat (Rechtsprechung, Berichte unabhängiger Aufsichtsgremien), die Häufigkeit von Behördenanträgen auf Offenlegung der Daten innerhalb eines Sektors oder die dokumentierte Erfahrung der Vertragsparteien heranzuziehen.

In der Berichterstattung über weite Strecken untergegangen ist, dass neben den SCC auch ein europäisches Muster einer Auftragsverarbeitungsvereinbarung nach Art 28 DSGVO veröffentlicht wurde. Dieses kann sowohl als stand-alone Vereinbarung verwendet oder in bestehende Verträge integriert werden. Da aus Erfahrung ohnedies eine laufende Aktualisierung der unternehmenseigenen Dokumente erforderlich ist, ist dies ein guter Anlass für eine Evaluierung des Anpassungsbedarfs und Abgleich mit den lessons learned aus den letzten drei Jahren.

Fazit
Auch der Abschluss der neuen Standardvertragsklauseln alleine ist zukünftig kein Garant für einen sicheren Drittstaatendatentransfer. Insofern ist die EU Kommission daher dem strengen Ansatz des EDSA gefolgt. Für die Praxis bedeutet dies, dass uns die Risikoabwägung und Einzelfallbeurteilung noch weiter begleiten wird. Neben den gegebenenfalls erforderlichen zusätzlichen vertraglichen Zusicherungen wird den in Annex II beispielhaft aufgelisteten technischen Begleitmaßnahmen wie zB Verschlüsselungsmechanismen zentrale Bedeutung zur Absicherung eines rechtskonformen Datentransfers zentrale Bedeutung zukommen.

Durch die nun erlassenen neuen SCC besteht jedenfalls dringender Handlungsbedarf und endet hoffentlich auch die bei US Providern teilweise eingetretene Schockstarre bzw Wartemodus. Nunmehr ist klar, welches Minimum Set-Up für einen rechtmäßigen Datentransfer jedenfalls notwendig ist und wie die bisherigen Rechtsgrundlagen angepasst werden müssen. Die Übergangsfrist ist für bestehende Vereinbarungen einerseits zwar großzügig bemessen, andererseits besteht aber für Neuabschlüsse sehr zeitnaher, und daher dringender Anpassungsbedarf.

8.6.2021 / Autoren: Dr. Axel Anderl, MMag. Dr. Felix Hörlsberger, Mag. Nino Tlapak, Mag. Alexandra Ciarnau, Alona Klammer, Mag. Sarah Pichler, Mag. Michael Hardt, Mag. Sabine Hedl / DORDA Rechtsanwälte GmbH / www.dorda.at