Aktuelle FAQs der EU-Kommission bieten Orientierung

UIMC: Neue Standardvertragsklauseln bis spätestens Dezember 2022 umsetzen

Die Europäische Kommission hat FAQs veröffentlicht, die Antworten auf die häufigsten Fragen zu den Standardvertragsklauseln geben sollen. Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die für einen rechtskonformen Datentransfer in Länder außerhalb der EU benötigt werden. „Die FAQs sind schon als Hilfsmittel der EU zu verstehen, die alle mit den Standardvertragsklauseln berührten Unternehmen unterstützen sollen“, erklärt Dr. Jörn Voßbein von UIMC. Ein genauer Blick auf die seit Juni 2021 geltenden Standardvertragsklauseln sowie in die Kategorien der FAQ geben klare Hinweise für die involvierten Akteure.

Das Schrems II-Urteil hat zu einer erheblichen Nachschärfung der Anforderungen an die Standardvertragsklauseln geführt. Konkret: Der Datenexporteur trägt die Verantwortung für eine Prüfung des Datenschutzniveaus in einem Drittland, in das beabsichtigt ist, Daten zur Verarbeitung zu übermitteln. Es ist also eine sog. Datentransfer-Folgenabschätzung bzw. Data Transfer Impact Analyses (DTIA) erforderlich. Das Schutzniveau beim Umgang mit personenbezogenen Daten muss dabei europäischen Standards entsprechen. Zentrale Fragestellung beim Abschluss von Standardvertragsklauseln muss sein: Hindern gesetzliche Vorschriften im Drittland den Datenverarbeiter die Standardvertragsklauseln umfassend zu erfüllen? Dieser Fragestellung ist eine gewisse Komplexität nicht abzusprechen, daher sind zu den im Juni 2021 neu erlassenen Standardvertragsklauseln die nun veröffentlichten FAQs für Praktiker eine wichtige Unterstützungsleistung.

Übrigens: Die im Juni 2021 beschlossenen Standardvertragsklauseln müssen ab Ende Dezember 2022 auch in Altverträgen Berücksichtigung finden. Bereits seit September 2021 sind sie zwingend in Neuverträgen anzuwenden.

Wie schaut die FAQ-Liste der EU aus? Insgesamt werden 44 Fragen auf 24 eng beschriebenen Seiten beantwortet. Sie sind nach Kategorien geordnet und geben für Interessierte einen wichtigen Überblick. Den eigentlichen Fachfragen ist zunächst ein Kapitel mit Grundsätzlichem vorgeschaltet. Darin werden Geschichte sowie Vorteile der Anwendung von Standardvertragsklauseln ebenso wie ihr Sinn und Zweck erläutert. Danach folgen Fragen und Antworten zu beabsichtigten Änderungen der involvierten Parteien und viele Praxisbeispiele: Die Nennung des Subdienstleisters, wie geht man mit der Meldung einer Datenpanne um oder wie funktioniert die Beweisführung zur Einhaltung der Standardvertragsklauseln neben einem Review oder Audit. Auch werden die Betroffenenrechte verdeutlicht und wie ein korrekter Umgang mit dem Wunsch auf Einsicht in die Standardvertragsklauseln ausschaut.

Wem welche Rolle zufällt, wird in einem Beispiel beantwortet, in dem ein deutsches Krankenhaus Blutproben zur Analyse an ein polnisches Labor weitergibt. Dieses wiederum lagert spezifische Blutuntersuchungen an ein indonesisches Institut aus. Der Datenexporteur ist das polnische Labor und Datenimporteur das indonesische Institut. Bei den Standardvertragsklauseln ist hier ein bestimmtes Modul anzuwenden. „Die FAQs helfen die richtige Rolle der Akteure voneinander abzugrenzen und somit die richtige Vorgehensweise bei den Standardvertragsklauseln zu gewährleisten“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein, „doch werfen sie zum Teil auch mehr Fragen auf als beantwortet werden, so dass intern der Datenschutzbeauftragte oftmals noch zu Rate gezogen werden sollte.“