EU-DS-GVO

Standardvertragsklauseln - Datentransfer in Drittländer

In der internationalen geschäftlichen Zusammenarbeit werden häufig von Unternehmen personenbezogene Daten an Konzerngesellschaften, Dienstleister und andere Vertragspartner in Länder außerhalb der Europäischen Union übermittelt.
Nachdem der Europäische Gerichtshof in der Rechtssache „Schrems II“ (EuGH, Urteil vom 16. Juli 2020, C-311/18) den EU-US-Privacy Shield-Beschluss für unwirksam erklärt hat, hat die Europäische Kommission im Sommer 2021 neue Standardvertragsklauseln "Publications Office” (europa.eu) erlassen.
Bestehende Datenschutzverträge auf Basis der alten Standardvertragsklauseln zwischen Unternehmen in der EU und solchen in Drittländern mussten bis 27.12.2022 an das neue Recht angepasst werden.

Wann ist der Datentransfer in ein Drittland zulässig? 

Unternehmen aus der Europäischen Union haben bei der Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union (sogenannte „Drittländer“) die Datenschutz-Grundverordnung („DS-GVO“) zu beachten. 
Sie müssen beim Datentransfer in Drittländer insbesondere prüfen, ob ein der DS-GVO entsprechendes Schutzniveau im Drittland gewährleistet ist. Falls das nicht der Fall ist, müssen Unternehmen zusätzliche Schutzmaßnahmen sicherstellen. 
Neben der erforderlichen Rechtmäßigkeit der Datenverarbeitung (Rechtmäßigkeitsgründe nach Art. 6 DS-GVO oder für besondere personenbezogene Daten nach Art. 9 DS-GVO) muss daher insbesondere zusätzlich
  • ein Angemessenheitsbeschluss der Europäischen Kommission in Bezug auf das Drittland (Art. 45 DS-GVO),
  • eine geeignete Datenschutzgarantie (Art. 46 DS-GVO) für den Datentransfer oder 
  • eine gesetzlich zulässige Ausnahme für bestimmte Fälle nach Art. 49 DS-GVO vorliegen.  
Grundsätzliche weitere Informationen zur DS-GVO stellt die IHK Düsseldorf auf ihrer Webseite bereit.

Datentransfer auf der Grundlage eines Angemessenheitsbeschlusses

Eine Übermittlung personenbezogener Daten in ein Drittland darf vorgenommen werden, wenn die Europäische Kommission per Angemessenheitsbeschluss bestätigt hat, dass in diesem Land ein angemessenes Datenschutzniveau besteht.
Eine Datenübermittlung in dieses Land ist dann ausdrücklich gestattet und es bedarf keiner besonderen Genehmigung.
Die Liste der Länder und die jeweiligen Angemessenheitsbeschlüsse der Europäischen Kommission („adequacy decision“) können hier eingesehen werden: Adequacy decisions | EU-Kommission (europa.eu)
Informieren Sie sich frühzeitig, ob für das für Ihr Unternehmen relevante Land ein solcher Angemessenheitsbeschluss besteht. Ratsam ist auch, regelmäßig zu prüfen, ob es Änderungen in Bezug auf einen solchen Beschluss geben wird, da die Europäische Kommission das Datenschutzniveau in den relevanten Ländern regelmäßig prüft und einen Angemessenheitsbeschluss auch ändern oder widerrufen kann, wenn in dem Drittland kein angemessenes Datenschutzniveau mehr gewährleistet ist. 

Datentransfer vorbehaltlich geeigneter Datenschutzgarantien

Existiert für ein Drittland kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Es sind dann vielmehr nach Art. 46 DS-GVO andere geeignete Datenschutzgarantien notwendig, um ein angemessenes Datenschutzniveau herzustellen. Geeignete Garantien sind insbesondere:
  • interne Datenschutzvorschriften („Binding Corporate Rules“), die für alle Beschäftigten verbindlich sind,
  • von der Europäischen Kommission verabschiedete Standarddatenschutzklauseln (auch „Standardvertragsklauseln“ oder „SCC“ genannt),
  • genehmigte Verhaltensregeln,
  • genehmigte Zertifizierungsmechanismen oder 
  • genehmigte individuelle Vertragsklauseln.

Standardvertragsklauseln

In der Praxis werden häufig von Datenexporteuren in der Europäischen Union und Datenimporteuren in Drittländern von der Europäischen Kommission erlassene Standardvertragsklauseln als praktikable Lösung genutzt. Die Standardvertragsklauseln können ohne besondere weitere Genehmigung der Aufsichtsbehörde verwendet werden, vorausgesetzt sie werden nicht verändert.
Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen.
Bis zum 27.12.2022 mussten die auf der Grundlage der alten Standardvertragsklauseln abgeschlossenen Verträge auf die neuen Standardvertragsklauseln umgestellt werden.
Datentransfers dürfen nicht mehr auf der Grundlage alter Standardvertragsklauseln erfolgen, da diese ihre Wirksamkeit verloren haben.
Da die neuen Standardvertragsklauseln modular aufgebaut sind, hat das Unternehmen das für den Datentransfer richtige Modul auszuwählen.
Für jede der folgenden Situationen sehen diese ein bestimmtes Modul vor:
  • EU-Verantwortlicher - Verantwortlicher im Drittland
  • EU-Verantwortlicher - Auftragsverarbeiter im Drittland
  • EU-Auftragsverarbeiter - Auftragsverarbeiter im Drittland
  • EU-Auftragsverarbeiter - Verantwortlicher im Drittland
Lassen Sie sich im Zweifel beraten,
  • welches Modul für Sie das richtige Modul ist,
  • wie Anlagen auszufüllen sind,
  • ob etwaige weitere technische und organisatorische Maßnahmen zu ergreifen und
  • welche Rechte und Pflichten durch Sie und Ihren Vertragspartner einzuhalten sind.
Die Muster der im Juni 2021 erlassenen neuen Standardvertragsklauseln sind in verschiedenen Sprachen hier zu finden: EUR-Lex - 32021D0914 - EN - EUR-Lex (europa.eu)

Ausnahmen der Datenübermittlung für bestimmte Fälle

Für den Fall, dass kein Angemessenheitsbeschluss und auch keine geeigneten Garantien vorliegen, sieht Art. 49 DS-GVO für bestimmte wenige Fälle Ausnahmen vor.
So können Unternehmen dann eine Datenübermittlung in ein Drittland vornehmen, wenn zum Beispiel eine ausdrückliche Einwilligungserklärung der betroffenen Person vorliegt, eine Erforderlichkeit zur Vertragserfüllung gegeben ist oder Rechtsansprüche verfolgt werden. 
Stand/Letzte Aktualisierung: 8. August 2023