Der Europäische Gerichtshof EuGH hatte 2020 mit dem «Schrems II»-Urteil nicht nur die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shields für unzulässig erklärt, sondern zusätzlich festgestellt, dass das Instrument der bisherigen SDK beim Datentransfer in Drittstaaten datenschutzrechtlich nicht immer ausreichend sei.
Mit den neuen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der DSGVO bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
Nach dem Durchführungsbeschluss 2021/914 der EU wurden die alten Standardvertragsklauseln am 27. September 2021 aufgehoben. In Bezug auf Verträge, die vor diesem Datum auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses 2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie bis zum 27. Dezember 2022 geeignete Garantien im Sinne des Art. 46 Abs. 1 DSGVO sind – vorausgesetzt, dass die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.
Die Standardklauseln
Als Datenexporteure gelten natürliche oder juristische Personen, die Daten in ein Drittland übermitteln. Als Datenimporteur gilt, wer diese Daten direkt oder indirekt erhält. Auch Datenexporteure, die im Auftrag eines Organs oder einer Einrichtung der EU als Verantwortliche handeln, können diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht der DSGVO untersteht, anwenden, weil sie den entsprechenden Vorschriften angeglichen sind.
Neu in den SDK ist der modulare Ansatz, mit dem man die Klauseln an verschiedene Übermittlungsszenarien angepasst hat. Die Verantwortlichen und Auftragsverarbeiter sollen einerseits die allgemeinen Bestimmungen beachten, aber auch für Einzelheiten das zutreffende Modul auswählen. Diese Module unterscheiden sich unter anderem durch die Weisungsberechtigung (Klausel 8.1).
- Modul eins: Übermittlung von Verantwortlichen an Verantwortliche: Für dieses Modul gibt es keine Regelungen über Weisungen bzw. Weisungsberechtigung. Zu empfehlen ist, eine gegenseitige Informationspflicht und Kontaktpersonen zu vereinbaren, für den Fall, dass Verpflichtungen nicht eingehalten werden können oder es sonstige Probleme gibt.
- Modul zwei: Übermittlung von Verantwortlichen an Auftragsverarbeiter: Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.
- Modul drei: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter: Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die ihm vom Datenexporteur mitgeteilt wurden, und allenfalls zusätzlicher Weisungen, die nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Der Datenexporteur teilt das unverzüglich dem Verantwortlichen mit.
- Modul vier: Übermittlung von Auftragsverarbeitern an Verantwortliche: Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert. Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäss der DSGVO hindern würde, auch im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden. Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, unter anderem wenn eine solche Weisung gegen Datenschutzvorschriften der EU oder eines Mitgliedstaats verstösst.
Die grundlegenden Verpflichtungen in Klausel 8.1 bis 8.9. sind im Prinzip für alle Module gleich und die Klauseln 2 bis 8 enthalten allgemeine Bestimmungen über Anwendung und Auslegung, die für alle Module gelten, siehe Kastentext. Sonst kann es innerhalb der einzelnen Module vorkommen, dass man Unteroptionen zur Auswahl hat, wie zum Beispiel in Klausel 9 über den Einsatz von Unterauftragnehmern, in den Modulen zwei und drei kann man zwischen allgemeiner und Sondergenehmigung für die Zusammenarbeit mit Unterauftragnehmern wählen.
Wichtig: Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.