Wirtschaftsrecht

Datenschutzrecht

Auftragsdatenverarbeitung

EU: Neue Standardvertragsklauseln (Model Clauses) für den internationalen Datentransfer

von Dr. Axel Spies, veröffentlicht am 13.11.2020

Die EU Kommission hat gestern einen Vorschlag zu ihren überarbeiteten Standardvertragsklauseln als Instrument zur Datenübermittlung in Drittstaaten ohne Angemessenheitsbeschluss in Englisch veröffentlicht.

Die derzeit gültigen Fassungen der EU-Standardvertragsklauseln wurden noch im Rahmen der längst beerdigten EU Datenschutzrichtlinie und damit lange vor Geltung der DS-GVO verfasst und von der EU Kommssion abgesegnet. Eine Überprüfung und Überarbeitung der Klauseln war damit bereits durch den geänderten Rechtsrahmen der DS-GVO geboten.

Eine zeitnahe Überprüfung wurde auch durch das Schrems-II-Urteil des EuGH, in dem dieser nicht nur den Angemessenheitsbeschluss mit den USA (EU-US-Privacy-Shield) für ungültig erklärte, sondern auch eine kritische Prüfung der Standardvertragsklauseln vornahm. Praktisch gesehen sind sie für den Datentransfer aus der EU heraus extrem wichtig - nicht nur für den Datenaustausch mit Unternehmen in den USA, sondern auch ab dem 01.01. wegen BREXIT wahrscheinlich für den Datentransfer aus der EU nach GB.

Die EU Kommission hat zu ihrem Entwurf in ein öffentliches Konsultationsverfahren eingeleitet. Das Verfahren endet am 10.12.2020.

Es fällt auf den ersten Blick auf, dass die neuen Standardvertragsklauseln erheblich von den seit Jahren genutzten Modellen abweichen. Es gibt neue Vertragsbestimmungen, die z.B. das nicht erst seit Schrems II heiße Thema „Überwachung“ (government access requests) abdecken sollen (im Blog hier). Er soll nunmehr vier Module mit Anhängen geben:

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

MODULE FOUR: Transfer processor to controller

Das Modul „processor“ integriert die Vorgaben für die Auftragsverarbeitung nach Art. 28 DS-GVO, was sicher ein Fortschritt ist. Die Vorgaben können von den Parteien wie bisher ergänzt, aber nicht abgeändert werden.

Haben Sie Anmerkungen zu den neuen Standardvertragsklauseln? Sind sie praxistauglich? Wie realistisch ist es, dass es noch zu Änderungen kommt.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

6 Kommentare

Kommentare als Feed abonnieren

Genau. Und weiter  heisst es dann so schön: "Jede Vertragspartei ist gegenüber der betroffenen Person haftbar, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die die Vertragspartei der betroffenen Person wegen einer Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt. Dies gilt unbeschadet der Haftung des Datenexporteurs nach der DSGVO."

Na, da werden die juristischen Messer schon gewetzt.

0

Was für ein Bürokratiemonster. Wie sollen kleine und mittlere Untrernehmen damit klar kommen? In Clause 2 (a) werden sie dann noch wie folgt belastet:

"Die Vertragsparteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die Gesetze im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur an der Erfüllung seiner Verpflichtungen aus diesen Klauseln hindern."

Mit anderen Worten, wir werden noch dann Experten im US, russischen und chinesischen Recht werden müssen. Ohje.

0

Danke. Zur Klarstellung: Die bestehenden Verpflichtungen des Datenimporteurs werden mit dieser Klausel verschärft und auf den Exporteur ausgedehnt. 

Hier ein Auszug aus den 2004 Controller Klauseln für den Datenimporteur:

"Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt."

https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32004D091...

Und hier ein Auszug aus den 2010 Processor Klauseln:

"... er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten."

https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32010D008...

 

 

Interessant dazu jetzt:

Lachenmann: Internationale Datentransfers: Die Entwürfe der EU-Kommission für neue Standardvertragsklauseln ZD-Aktuell 2020, 07417

"Als Risiko der neuen SCC erscheint, dass auch diese umfangreichen Regelungen eher großen Konzernen als kleinen KMU helfen werden. Während sich international tätige Konzerne schon lange auf die DS-GVO-Vorgaben eingestellt haben und deren Umsetzung in die Prozesse implementiert haben (das zumindest vorgeben), werden international tätig KMU geballt mit den DS-GVO-Vorgaben konfrontiert. Führt das wirklich zu mehr Datenschutz auf DS-GVO-Niveau oder dazu, dass sich kleinere Unternehmen von EU-Kunden verabschieden und den Markt den großen Spielern überlassen?"

Sehen Sie das auch so?

Absolut berechitgter Einwand. Der modulare Aufbau ist auch überkompliziert, zumal in einigen Passagen aus verschiedenen Alternativen ausgewählt werden kann. Hoffentlich verursacht dieses SCC Buffet keine Magenschmerzen.

0

Kommentar hinzufügen