Nadja Bunk

Neue Standard-Klauseln der EU-Kommission

Die DSGVO gibt der EU-Kommission die Befugnis, Standardvertragsklauseln nach Art. 28 Abs. 7 für die Umsetzung der Anforderung einer Beauftragung einer Auftragsverarbeitung und Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c für den Transfer personenbezogener Daten in einem Drittland zu veröffentlichen.

Von beiden Möglichkeiten hat die EU-Kommission Gebrauch gemacht und beide wurden am 7.06.2021 im Europäischen Amtsblatt veröffentlicht.

Standardvertragsklauseln nach Art. 28 Abs. 7 DS-GVO
Der offizielle Titel des Durchführungsbeschlusses lautet DURCHFÜHRUNGSBESCHLUSS (EU) 2021/915 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates.
Im Allgemeinen werden sie aber nach der englischen Fassung Standard Contractual Clauses (SCC) abgekürzt oder künftig auch Durchführungsbeschluss 2021/915 bezeichnet. Für sie gab es keinen Vorläufer, denn bisher gab es keine „Musterformulierungen“ der EU-Kommission für die Auftragsverarbeitung. Diese SCC sind nicht zwingend, sie können als Muster herangezogen werden – müssen aber nicht.

Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit.c DS-GVO
Der offizielle Titel des Durchführungsbeschlusses lautet DURCHFÜHRUNGSBESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
Eigentlich müssten sie entsprechend dem Wortlaut in Art. 46 Abs. 2 lit. c DS-GVO mit SDPC für Standard Data Protection Clauses abgekürzt werden oder künftig auch mit Durchführungsbeschuss 2021/914, diese Transferleistung unterblieb aber im Verfahren innerhalb der EU-Kommission, so dass auch diese Klauseln im Text als Standardvertragsklauseln bezeichnet wurden. Daher immer darauf achten, ob mit „SCC“ die Musterformulierungen nach Art. 28 Abs. 7 oder die Vertragstexte zum Drittlandtransfer gemeint sind!

Die Vorlagen für die Vertragstexte zum Drittlandtransfer sind modular aufgebaut. Insgesamt werden damit vier Konstellationen abgebildet:

  1. Verantwortlicher – Verantwortlicher
  2. Verantwortlicher – Auftragsverarbeiter
  3. Auftragsverarbeiter – Auftragsverarbeiter
  4. Auftragsverarbeiter – Verantwortlicher

Auch die Aktualisierung der Texte zum Drittlandtransfer erfüllt alleine damit nicht die Anforderungen, die der EuGH mit dem Schrems II-Urteil gestellt hat. Das heißt, dass auch jeder Daten-Exportierende künftig prüfen muss, ob und welche zusätzlichen Maßnahmen er anzuwenden hat, um den Anforderungen gerecht zu werden.

Die bisherigen Standardvertragsklauseln zum Drittlandtransfer können noch bis 27.09.2021 eingesetzt werden, dann beginnt eine Frist innerhalb derer bis 27.12.2022 alle bestehenden Vereinbarungen auf die neuen Standarddatenschutzklauseln angepasst sein müssen. Natürlich können auch schon jetzt die neuen Texte eingesetzt werden, oftmals braucht es aber auch ein paar Wochen, bis neue Vorlagen in die internen Prozesse implementiert und die Abstimmungen mit dem Vertragspartner erfolgt sind.

Passenderweise hat der Europäische Datenschutzauschuss (EDSA) dieser Tage auch seine Recommendations 1/2020 in der Version 2.0 veröffentlicht (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data), in denen der EDSA seine Vorstellungen zur Umsetzung der Anforderungen des EuGH-Urteils hinsichtlich des Umfangs und Aufwands aus Sicht des daten-exportierenden Unternehmens mitteilt.

Dabei wird das Vorgehen bei den sechs Prüfungsschritten erläutert:
Step 1: Know your transfers
Step 2: Identify the transfer tools you are relying on
Step 3: Assess whether the Article 46 GDPR transfer tool you are relying on is effective in light of all circumstances of the transfer
Step 4: Adopt supplementary measures
Step 5: Procedural steps if you have identified effective supplementary measures
Step 6: Re-evaluate at appropriate intervals …

In den Erläuterungen finden sich auch Hinweise des EDSA zur Interpretation des Art. 49 DS-GVO, aber auch zu den Anforderungen an eine ausreichende Dokumentation.