Mitarbeiterdatenschutz bei Datenübermittlungen in Drittl ... / 4 (Neue) Standardvertragsklauseln

Für zahlreiche Drittstaaten (z. B. China, Indien, Russland) besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Aus diesem Grund stellen die Standarddatenschutzklauseln ("Standardvertragsklauseln") ein wichtiges Instrument für Verantwortliche dar, um personenbezogene Daten von Mitarbeitern rechtswirksam ins Ausland übermitteln zu können.

4.1 Hintergrund

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden^[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Drittland auf die personenbezogenen Daten müssen andernfalls zusätzliche Maßnahmen ergriffen werden, um die Einhaltung der Standardvertragsklauseln und damit ein angemessenes Datenschutzniveau sicherzustellen.^[2] In Umsetzung des Schrems-II-Urteils hat die Europäische Kommission am 7.6.2021 im Amtsblatt neue Musterklauseln veröffentlicht, die Verantwortliche als Unterstützung heranziehen können, um sicherzustellen, dass aus dem EWR übermittelte personenbezogene Daten angemessen geschützt sind. Tatsächlich hat die Kommission zwei verschiedene Klauselwerke publiziert: das erste sind die für Verantwortliche und Datenverarbeiter anzuwendenden Musterklauseln.^[3] Das zweite Werk bietet geeignete Absicherungen für die internationale Übermittlung personenbezogener Daten^[4] ("Neue Standardvertragsklauseln"). Die Klauseln ersetzen die bestehenden Standardvertragsklauseln (zuletzt aktualisiert 2010, unter der alten Datenschutzrichtlinie von 1995) und wurden aktualisiert, um der DSGVO und dem Schrems-II-Urteil Rechnung zu tragen, insbesondere im Hinblick auf die Bedeutung des nationalen Rechts und die Überwachungsrechte in manchen Empfängerländern.

Die EDSA hat ergänzend Empfehlungen publiziert, um Unternehmen dabei zu unterstützen, die Risiken, die mit der Übermittlung von personenbezogenen Daten außerhalb der EU einhergehen, zu bewerten und geeignete ergänzende Maßnahmen zu identifizieren, die bei Bedarf umgesetzt werden müssen.^[5]

Sofern diese zusätzlichen Maßnahmen nicht ausreichen, um einen angemessenen Schutz der personenbezogenen Daten sicherzustellen, ist die Übermittlung in das Drittland zu unterlassen.

[1] EuGH, Urteil v. 16.7.2020, C-311/18 (Schrems II).

[2] So auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ("DSK") in ihrer Pressemitteilung v. 21.6.2021.

[3] Art. 28 Abs. 7 DSGVO.

[4] Art. 46 Abs. 2 Buchst. c DSGVO.

[5] Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten v. 18.6.2021.

4.2 Verantwortlichkeit für Datenübermittlungen

Die Neuen Standardvertragsklauseln sind für Arbeitgeber dann relevant, wenn

1. der Arbeitgeber (entweder direkt oder indirekt) der DSGVO unterliegt; und
2. der Arbeitgeber personenbezogene Daten in Länder übermittelt oder übermitteln wird, die keine EU-Länder sind oder nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügen.

Die Neuen Standardvertragsklauseln sind auch dann maßgeblich, wenn der Arbeitgeber personenbezogene Daten von einer Organisation außerhalb der EU empfängt, er also Datenimporteur ist. Die Verantwortung für Datenübermittlungen liegt nicht allein beim Datenexporteur, sondern auch dem Importeur können durch die Standardvertragsklauseln Pflichten auferlegt werden.

Sofern der Arbeitgeber nicht der DSGVO unterliegt, weil er seinen Sitz z. B. im Vereinigten Königreich hat und daher nur dem Recht des Vereinigten Königreiches unterliegt, so sind die Neuen Standardvertragsklauseln derzeit nicht von Bedeutung. An dieser Stelle ist jedoch darauf hinzuweisen, dass die britische Datenschutzbehörde ICO im August 2021 eigene Klauseln für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich publiziert hat, die nach einem Konsultationsverfahren im März 2022 in Kraft getreten sind.

4.3 Anpassungen durch Neue Standardvertragsklauseln

Die Neuen Standardvertragsklauseln enthalten ähnliche Pflichten und Einschränkungen wie die bestehenden Standardvertragsklauseln. Allerdings regeln die Neuen Standardvertragsklauseln einige Anforderungen, die sich bisher nur aus der Rechtsprechung des EuGH ergeben haben, nunmehr ausdrücklich. Daraus ergeben sich einige Unterschiede. Die wichtigsten Änderungen werden nachfolgend zusammengefasst.

4.3.1 Erweiterter Anwendungsbereich

Die Neuen Standardvertragsklauseln decken einen breiteren Bereich ab. Sie sind modular aufgebaut, sodass Importeur und Exporteuer diejenigen Klauseln auswählen können, die im Hinblick auf die für sie relevante(n) Art(en) der Datenübermittlung einschlägig sind.

Während zuvor nur Übermittlungen von Verantwortlichen an Verantwortliche und Übermittlungen von Verantwortlichen an Datenverarbeiter abgedeckt wurden, enthalten die Neuen Standardvertragsklauseln vier Module, die sämtliche der folgenden Übermittlungsszenarien erfassen:

• Verantwortlicher an Verantwortlichen
• Verantwortlicher an Da...