Können Standardvertragsklauseln auch unter der DSGVO noch verwendet werden?

Die DSGVO enthält – wie auch schon zuvor das BDSG – besondere Bestimmungen für die Übermittlung von personenbezogenen Daten in Drittländer wie die USA.

Um das Schutzniveau für natürliche Personen bei Übermittlungen ihrer Daten an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen in Drittländer, d.h. Staaten außerhalb der Europäischen Union, nicht zu untergraben, stellt Kapitel V (Art. 44–50 DSGVO) der DSGVO umfassende Anforderungen auf. Eine Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bedingungen des Kapitel V erfüllen und auch die sonstigen Bestimmungen der DSGVO eingehalten werden (Hladjk, in: Auernhammer, DSGVO/BDSG, 6. Auflage 2018, Art. 44 Rnr. 1, 5).

Eine internationale Datenübermittlung ist nach der Systematik der DSGVO zulässig, wenn entweder

  • die Europäische Kommission entschieden hat, dass ein angemessenes Schutzniveau besteht („Angemessenheitsbeschluss“, Art. 45 DSGVO) oder
  • der Verantwortliche geeignete Garantien vorgesehen hat und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 DSGVO).

Für die USA besteht z.B. aktuell nur ein Angemessenheitsbeschluss im Sinne von Art. 45 DSG-VO für Unternehmen, die unter dem EU-U.S. Privacy Shield zertifiziert sind (Amtsblatt der Europäischen Union vom 01.08.2016, Nr. L 207/1).

Geeignete Garantien im Sinne von Art. 46 DSGVO können unter anderem Standarddatenschutzklauseln sein, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden.

Aktuelle Standarddatenschutzklauseln nach Inkrafttreten der DSGVO liegen derzeit noch nicht vor. Es existieren aber nach wie vor Standardvertragsklauseln, die noch unter der Geltung der EU-Datenschutzrichtlinie 95/46/EG erlassen wurden. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben solange in Kraft, bis sie geändert, ersetzt oder aufgehoben werden, siehe Erwägungsgrund Nr. 171 DSGVO. Das betrifft auch Standardvertragsklauseln nach Art. 26 Abs. 2 der Datenschutzrichtlinie 95/46 EG. Die Standardvertragsklauseln bleiben also so lange gültig, bis sie erforderlichenfalls von der Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden, vgl. Art. 46 Abs. 5 DSGVO.

Standardvertragsklauseln können somit grundsätzlich für eine Datenübermittlung in die USA verwendet werden. Dabei ist Folgendes zu beachten:

  • Es existieren momentan zwei verschiedene Arten von Standardvertragsklauseln: Standardvertragsklauseln für reine Datenübermittlungen („controllers“) und Standardvertragsklauseln für Auftragsverarbeitungen („processors“). Es muss also geprüft werden, welche Version einschlägig ist. Das hängt davon ab, ob es sich bei dem Empfänger in den USA rechtlich gesehen um einen Auftragsverarbeiter handelt oder nicht.
  • Die Klauseln selbst dürfen nicht abgeändert werden. Sie müssen unverändert übernommen werden und dem zugrunde liegenden Vertrag hinzugefügt werden.
  • In Annex 1 müssen die erforderlichen Angaben zur konkreten Verarbeitung ergänzt werden. Es sind Angaben zu den betroffenen Kategorien von Personen und Daten sowie zu den grundlegenden Verarbeitungen erforderlich.
  • In Annex 2 müssen außerdem die technischen und organisatorischen Sicherheitsmaßnahmen, die der „Datenimporteur“ im Drittland eingeführt hat, ergänzt werden.

Wenn Sie rechtlichen Rat zu Datenschutzfragen benötigen, kontaktieren Sie mich einfach unverbindlich per Telefon oder E-Mail. Gerne bespreche ich mit Ihnen Ihre Möglichkeiten und die zu erwartenden Kosten.

Links:

https://ec.europa.eu/info/law/law-topic/data-protection_de