Datentransfer in Länder außerhalb der EU/des EWR vereinfacht
Die EU-Kommission hat die Anforderungen an internationale Datenschutzverträge (Standardvertragsklauseln) mit neuen Inhalten veröffentlicht (www.siehe.eu/4001).
1. Internationaler Datentransfer muss aufwendig geregelt werden
Wenn Unternehmen und Behörden personenbezogene Daten nicht nur in der EU/dem EWR verarbeiten, sondern auch in ein Land außerhalb dieser Grenzen übertragen, wird es aufwendig. Schon die Nutzung eines US-Cloudanbieter, wie Microsoft, Google, Oracle usw., kann genügen. Mit einer solchen Einschaltung und dem Zugriff aus dem Drittland muss datenschutzrechtlich eine weitere Prüfung vollzogen werden. Es ist vom Unternehmen/von der Behörde festzustellen, dass durch diesen Datentransfer für die Betroffenen keine Datenschutznachteile entstehen (angemessenes Datenschutzniveau im Drittland). Eine Möglichkeit liegt darin, mit dem Übermittlungsempfänger der Daten einen Datenschutzvertrag zu schließen.
Diese Angemessenheitsprüfung positiv abzuschließen ist mitunter fast unmöglich. Denn auch ein Vertrag muss auf seine Wirksamkeit überprüft werden. So können beispielsweise Geheimdienstzugriffe im Widerspruch zur europäischen Grundrechtecharta stehen und damit der Angemessenheit des Datenschutzniveaus entgegenstehen. Per Vertrag lässt sich ein Geheimdienst nicht einschränken. Mit Verschlüsselungstechniken lässt sich der Drittlandzugriff theoretisch vermeiden. Häufig stehen jedoch praktische Wünsche einer vollständigen Verschlüsselung entgegen. Über die Details hat der Europäische Gerichtshof im Juli 2020 entschieden (EuGH, 16. Juli 2020, C 311/18, Schrems II, www.siehe.eu/k3008).
2. Vereinfachte modulare und flexible Anforderungen an internationale Datenschutzverträge durch Entscheidung der EU-Kommission
Eine gewisse Erleichterung verschaffen die neuen vereinfachten Anforderungen der EU-Kommission an den Datenschutzvertrag zwischen EU-Unternehmen/Behörde und Drittlandunternehmen (www.siehe.eu/k3099). Mit diesen Anforderungen vom 04.06.2021 (genannt „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“) schafft die EU-Kommission benutzerfreundlichere Musterinhalte für Datenschutzverträge. Diese liegen modular in einem Dokument vor. Mit Klausel 14 „Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“ versucht das Regelwerk, einer Lösung für die Geheimdienstzugriffe durch eine Risikobewertung und vertragliche Pflichten des Drittlandunternehmens näher zu kommen.
3. Erneut kommt erhebliche Arbeit auf die Datenschützer zu
Der neue modulare Aufbau wird es dem Praktiker anfangs schwerer machen, für seinen Bereich Verträge auf Basis des Musters vom 04.06.2021 vorzubereiten. Die Vielfalt internationaler Datenschutzverträge wird zunehmen. Denn die Anforderungen an internationale Datenschutzverträge, die Standardvertragsklauseln 2021, dürfen in einen umfangreicheren Vertrag aufgenommen und um weitere Klauseln und zusätzliche Garantien ergänzt werden, wenn diese nicht im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden (siehe dazu ErwGr. 6 Durchführungsbeschluss der EU-Kommission (www.siehe.eu/k3098).