CEDPO bewertet neue Standardvertragsklauseln

Am 12. November 2020 hat die Europäische Kommission Entwürfe für Durchführungsbeschlüsse für Standardvertragsklauseln für Auftragsverarbeiter in der Europäischen Union und für Empfänger in Drittländern veröffentlicht.

Der auf Initiative der GDD gegründete Datenschutz-Dachverband CEDPO (Confederation of European Data Protection Organisations) bewertet diese Entwürfe in einer aktuellen Stellungnahme.

Insbesondere der Entwurf für einen Durchführungsbeschluss zu den Standardvertragsklauseln für Datenempfänger in Drittländern enthält nach der Bewertung der CEDPO zahlreiche Änderungen mit Blick auf die bestehenden Regeln. Nach Ansicht der CEDPO können folgende Punkte hervorgehoben werden:

Verfolgung eines modularen Ansatzes. Die neuen Standardvertragsklauseln berücksichtigen verschiedene Konstellationen einer Datenweitergabe in einem Vertragswerk. So sind nunmehr nicht nur Übermittlungen an Verantwortliche sowie Auftragsverarbeiter im Drittland hiervon abgedeckt, sondern auch Weitergaben von einem Auftragsverarbeiter in der EU an einen Auftragsverarbeiter im Drittland. Letztere Konstellation ist vom bestehenden Vertragsset nicht abgedeckt.

Due-Diligence-Prüfungen der Vertragsparteien. Als Folge des Urteils des EuGH in Sachen Schrems II wird die Pflicht beider Vertragsparteien betont, sich mit der Rechtslage im Drittland hinsichtlich der Vereinbarkeit mit den Vertragsklauseln auseinander zu setzen und dies entsprechend zu dokumentieren. Dies gilt auch für die Vertragslaufzeit, einhergehend mit entsprechenden Informationspflichten des Datenimporteurs gegenüber dem Datenexporteur.

Überprüfung behördlicher Anfragen. Hinsichtlich behördlicher Datenzugriffe werden erweitere Transparenzvorgaben für den Datenimporteur formuliert, sollte es zu einer solchen Anfrage kommen. Diese Pflicht adressiert auch eine Information von Betroffenen, soweit dies in der jeweiligen Vertragskonstellation möglich ist. Ferner sollen Datenimporteure solche Anfragen hinsichtlich ihrer Rechtmäßigkeit überprüfen, was auch die Prüfung des angeforderten Datenumfangs einschließt.

Stärkung der Betroffenenrechte. Das neue Vertragsset enthält an verschiedensten Stellen Regeln zugunsten der von der Verarbeitung betroffenen Personen. Neben den bereits erwähnten Transparenzvorgaben für behördliche Datenzugriffe finden sich Regelungen für Schadenersatzansprüche von Betroffenen, ebenso wie obligatorische Entschädigungsklauseln unter den Vertragsparteien, sollte es zu einer Schadenersatzzahlung an Betroffene kommen. Auch an Datenimporteure sollen sich Betroffene jederzeit wenden können, indem diese eine Kontaktmöglichkeit publik zu machen haben.

CEDPO sieht in den Entwürfen für neue Standardvertragsklauseln ein großes Potenzial für eine einheitliche Anwendung der DS-GVO und begrüßt die Konsistenz der Vertragsklauseln mit der DS-GVO sowie den Vorgaben des EuGH an den Datentransfer in Drittländer. Nichtsdestoweniger sieht CEDPO auch an einigen Stellen Verbesserungspotenzial der Klauseln, um die Interessen der Datenexporteure sowie der Datenimporteure in einen ausgewogenen Einklang zu bringen.

Die CEDPO-Stellungnahme kann in englischer Sprache hier abgerufen werden.

(ipopba – stock.adobe.com)