Rz. 30
Eine geeignete Garantiemaßnahme kann auch darin liegen, dass Datenempfänger und -übermittler sog. Standarddatenschutzklauseln in ihren Vertrag einbeziehen. Letztlich unterwirft sich der Datenempfänger hierdurch zentralen Vorgaben der DSGVO. Für die Annahme eines angemessenen Datenschutzniveaus i.S.v. Art. 46 Abs. 1 DSGVO kommt es maßgeblich auf die tatsächliche Umsetzung der Standarddatenschutzklausel an.[37] Ungenügend ist, wenn sich der Datenempfänger lediglich "auf dem Papier" der Standarddatenschutzklausel formell unterwirft ohne den darin festgelegten Vorgaben tatsächlich nachzukommen.
aa) Zustandekommen von Standarddatenschutzklauseln
Rz. 31
Standarddatenschutzklauseln kommen auf zwei Arten zustande: Einerseits können sie von der EU-Kommission direkt erlassen werden (Art. 46 Abs. 2 lit. c DSGVO). Andererseits können sie von nationalen Aufsichtsbehörden festgelegt und anschließend von der EU-Kommission genehmigt werden (Art. 46 Abs. 2 lit. d DSGVO). In beiden Fällen wendet die EU-Kommission das Prüfverfahren gemäß Art. 93 Abs. 2 DSGVO i.V.m. Art. 5 Verordnung (EU) Nr. 182/2011 an. Dabei werden die Begriffe Standarddatenschutzklausel und Standardvertragsklausel teilweise synonym verwendet.[38]
Rz. 32
| ▪ | Auf Grundlage von Art. 46 Abs. 2 lit. c DSGVO und Art. 28 Abs. 7 DSGVO und als Reaktion auf Schrems II hat die Europäische Kommission am 04.06.2021 neue Standarddatenschutzklauseln erlassen (abgedruckt in Kapitel E). Dabei wird zwischen vier Modulen unterschieden:[39] |
| ▪ | Modul 1: Übermittlung von Verantwortlichen an Verantwortliche |
| ▪ | Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter |
| ▪ | Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter |
| ▪ | Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche |
Derzeit basiert auf diesen Standarddatenschutzklauseln ein Großteil des europäischen Datentransfers in Drittländer. Dies betrifft die Geschäftsmodelle zahlreicher Unternehmen, deren Server sich außerhalb Europas befinden. Mit den neuen Standarddatenschutzklauseln versucht die Kommission in den Klauseln 14 und 15 dem Schrems II-Urteil des EuGH gerecht zu werden. Eine vorzeitige Prüfung des Drittlandes bleibt trotz neuer Standarddatenschutzklauseln nötig, vgl. Kap. cc) Folgen des Schrems II-Urteils des EuGH (Rdn 61 f.). Die Kommission hat die Umstellungsfrist von den alten auf die neuen Klauseln auf den 27.12.2022 gesetzt, Art. 4 Abs. 4 (EU) 2021/914.
bb) Praktische Bewertung von Standarddatenschutzklauseln als Übermittlungsgrundlage
Rz. 33
Vorteile:
| ▪ | Kurzfristiger Einsatz: Standarddatenschutzklauseln können rasch implementiert werden.[40] |
| ▪ | Keine gesonderte Genehmigung der einzelnen Datenübermittlung notwendig (Art. 46 Abs. 2 DSGVO). |
Rz. 34
Nachteile:
| ▪ | Starre Anwendungsfelder: Das Korsett der Standdatendatenschutzklausel mag im Einzelfall nicht zu den konkreten Bedürfnissen des Unternehmens passen. Wer hingegen Standarddatenschutzklauseln abändert, riskiert den Verlust ihrer Legitimierungswirkung.[41] |
| ▪ | Ständige Beobachtung der Klausel und Überblick über die eingesetzten Klauseln erforderlich: Falls Standarddatenschutzklauseln geändert werden, sollten alle betroffenen Verträge rasch angepasst werden. |
Rz. 35
Praxistipp
Unternehmen sollten bestrebt sein, die eingesetzte Standarddatenschutzklauseln[42] zu katalogisieren, nicht zuletzt, um bei Änderungen der Standarddatenschutzklauseln schnell reagieren zu können.
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen