Datentransfer außerhalb der EU: Standardvertragsklauseln und White-List-Countries

Datentransfer und Co.: Die EU-Kommission hat Abwandlungen zu ihren Beschlüssen über die Standardvertragsklauseln und im Hinblick auf die Angemessenheit des Datenschutzniveaus bestimmter Drittländer (sogenannter White-List-Countries) beschlossen. Im Kern bleiben sowohl die Standardvertragsklauseln als auch die Einstufung bestimmter Drittstaaten als sicher wirksam. Die EU-Kommission stärkt jedoch das Interventionsrecht der nationalen Aufsichtsbehörden.

Rechtlicher Hintergrund: Annullierung des Safe-Harbor-Abkommens

Im Rahmen des Schrems-Urteils (Urt.v. 6.10.2015 – C-362/14), im Zuge dessen der EuGH das Safe-Harbor-Abkommen für unwirksam erklärte, stellte der Gerichtshof ferner klar:

  • Die nationalen Aufsichtsbehörden sind weiterhin zuständig für die Kontrolle der Übermittlung personenbezogener Daten an ein Drittland, das Gegenstand einer Angemessenheitsentscheidung der Kommission ist.
  • Die Kommission ist nicht bevollmächtigt, die Befugnisse dieser Behörden gemäß Artikel 28 der Richtlinie 95/46/EG zu beschneiden.

Der entsprechende Angemessenheitsbeschluss der EU-Kommission zum Safe-Harbor-Abkommen sah insofern vor, dass die Ausübung der Befugnisse der nationalen Aufsichtsbehörden von bestimmten Voraussetzungen abhängig ist.

Eine entsprechende Limitierung sahen bis vor Kurzem eben auch die entsprechenden Beschlüsse hinsichtlich der Standardvertragsklauseln sowie White-List-Countries vor. Die EU-Kommission sah sich in Umsetzung der Kritik des EuGH demgemäß gezwungen, auch diese Beschlüsse entsprechend anzupassen.

Standardvertragsklauseln: Abgeschlossene bleiben wirksam

Von besonderer Praxisrelevanz ist dabei, dass der dem Beschluss zugrunde liegende Vertragstext der Standardvertragsklauseln unverändert bleibt. Dies gilt sowohl für das Controller-to-Controller- als auch Controller-to-Processor-Set. In der Vergangenheit abgeschlossene Standardvertragsklauseln bleiben demnach wirksam.

Dies gilt auch für die Klassifizierung der White-List-Countries als sicher. So können personenbezogene Daten auch zukünftig weitestgehend restriktionsfrei in diese Länder übermittelt werden. Das betrifft in der Praxis insbesondere die Schweiz und Kanada.

Keine Befugnisbeschränkung: Stärkung der nationalen Aufsichtsbehörden

Wie seitens des EuGHs gefordert, wurden die zugrunde liegenden Angemessenheitsbeschlüsse dahin gehend angepasst, dass die nationalen Aufsichtsbehörden bei der Ausübung ihrer Befugnisse in Bezug auf Drittlandstransfers personenbezogener Daten nicht mehr beschränkt werden. Insofern wurden die in der Vergangenheit hierfür erforderlichen Voraussetzungen ersatzlos gestrichen.

Nunmehr ist lediglich vorgesehen, dass der betreffende Mitgliedstaat verpflichtet ist, unverzüglich die Kommission zu informieren, sofern eine jeweils nationale Aufsichtsbehörde eine Datenübertragung aussetzt oder endgültig verbietet.

In der Praxis

Zweifelhaft scheint jedoch, ob sich die Stärkung der Aufsichtsbehörden bedeutend bemerkbar machen wird. Insofern ist in der Beratungspraxis zu beobachten, dass Aufsichtsbehörden in erster Linie gegen mangelhaft beziehungsweise intransparent ausgefüllte Standardvertragsklauseln vorgehen, weniger gegen bestimmte Empfänger in Drittstaaten oder Drittstaaten an sich.

Gerade ausländischen Stellen fehlt oftmals das Gespür für den nötigen Grad an Spezifizierung der vom jeweiligen Transfer betroffenen Datenverarbeitungsprozesse. Hierauf sollten verantwortliche Stellen in Deutschland verstärkt achten. Standardvertragsklauseln werden in aller Regel zudem parallel zu anderen Verträgen abgeschlossen. Hierbei sollte darauf geachtet werden, dass die Standardvertragsklauseln in der Vertragshierarchie ganz oben stehen und sich mithin gegen anderslautende Bestimmungen beispielsweise in den AGBs stets durchsetzen.

Sie haben Fragen zu den Themen Datentransfer in Drittländer, White-List-Countries und Standardvertragsklauseln? Unsere Experten helfen Ihnen gerne weiter.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*