Die Datenschutz-Grundverordnung (DSGVO) legt in Kapitel 5 strenge Anforderungen für den internationalen Datentransfer fest. Wenn personenbezogene Daten von Unternehmen aus der Europäischen Union (EU) in Drittstaaten übermittelt werden sollen, die nicht über ein adäquates Datenschutzniveau verfügen, muss dieser Transfer durch geeignete Garantien abgesichert sein. Zu diesen Garantien zählen unter anderem verbindliche unternehmensinterne Vorschriften, Genehmigungen durch Aufsichtsbehörden oder sogenannten Standardvertragsklauseln.

Die ersten Standardvertragsklauseln wurden im Jahr 2001 von der Europäischen Kommission verabschiedet. Diese deckten zunächst nur den Datentransfer zwischen Verantwortlichen in verschiedenen Ländern sowie von Verantwortlichen zu Auftragsverarbeitern ab. Im Jahr 2021 wurden die Standardvertragsklauseln um solche für die Datenweitergabe von Auftragsverarbeitern zu Auftragsverarbeitern erweitert. Diese Ergänzung wurde notwendig, da Unternehmen zunehmend auf externe Dienstleister angewiesen sind, die Daten in ihrem Auftrag verarbeiten, und dabei ebenfalls Subunternehmer im Drittstaat beauftragen.

Aktuelle Entwicklung seit Juli 2024

Im vergangenen Juli wurden nun die Standardvertragsklauseln erneut erweitert. In einer Anpassung an die gestiegenen Anforderungen durch die Digitalisierung und immer komplexer werdende Datenverarbeitungsketten wurden die Klauseln, die für Datentransfers von Auftragsverarbeiter zu Auftragsverarbeiter gültig sind, präzisiert und erweitert. Diese jüngste Aktualisierung der Europäischen Kommission soll dem anhaltenden Bedarf Rechnung tragen, Datenschutzgarantien für komplizierte internationale Datenverarbeitungen durch Subunternehmer zu stärken.

Die neue Regelung betont besonders, dass Unternehmen, die internationale Datentransfers durchführen, verstärkte vertragliche Verpflichtungen erfüllen müssen, wenn mehrere Sub-Auftragsverarbeiter beteiligt sind. Dies ist eine direkte Reaktion auf die Herausforderungen, die im Zusammenhang mit der Schrems II-Entscheidung und der wachsenden Besorgnis über die Rechtssicherheit bei Drittstaatentransfers steht. Es wird erwartet, dass Unternehmen nun vermehrt Audits durchführen und detaillierte Sicherheitsmaßnahmen dokumentieren, um diese Anforderungen zu erfüllen.

Relevanz für Unternehmen in Mecklenburg-Vorpommern

Unternehmen in Mecklenburg-Vorpommern, die international tätig sind oder Daten in Länder außerhalb der EU übermitteln, müssen sicherstellen, dass diese Datenübermittlungen rechtskonform und ausreichend abgesichert sind. Besonders für mittelständische Unternehmen, die vermehrt auf externe Dienstleister zur Verarbeitung ihrer Daten zurückgreifen, sind die neuen Standardvertragsklauseln von Bedeutung.

Fiktives Beispiel

Die Mecklenburgische IT-Meister GmbH hat sich auf Softwarelösungen für den Gesundheitssektor spezialisiert. Sie bietet eine Plattform für Patientenmanagement an, die personenbezogene Daten von Patienten verarbeitet. Das Unternehmen beauftragt einen Auftragsverarbeiter in den USA mit der Verarbeitung von Backup-Daten. Dieser Auftragsverarbeiter setzt wiederum einen Subunternehmer in Indien ein, um bestimmte IT-Dienstleistungen zu erbringen.

Vor Einführung der Standardvertragsklauseln von Auftragsverarbeiter zu Auftragsverarbeiter war es für die Mecklenburgische IT-Meister GmbH schwierig, den Datentransfer von ihrem US-amerikanischen Partner an den Subunternehmer in Indien rechtskonform abzusichern. Seit deren Einführung kann dieser Transfer aber rechtlich geregelt werden: Das Unternehmen kann dadurch sicherstellen, dass die Daten ihrer Kunden auch bei komplexen internationalen Verarbeitungsprozessen in Übereinstimmung mit der DSGVO behandelt werden.

Mit der im Juli 2024 erfolgten Aktualisierung wird nun außerdem sichergestellt, dass der Subunternehmer in Indien noch strengeren Sicherheits- und Compliance-Vorgaben unterliegt. Die Mecklenburgische IT-Meister GmbH muss nun zusätzlich Maßnahmen wie regelmäßige Audits und Dokumentationen der Sicherheitsvorkehrungen durchführen, um die erhöhten Anforderungen zu erfüllen.

Fazit

Die Ausweitung der Standardvertragsklauseln für Auftragsverarbeiter zu Auftragsverarbeiter Datentransfers stellt sicher, dass auch komplexe internationale Datenverarbeitungen durch umfassendere Compliance-Maßnahmen abgesichert werden. Obwohl auch diese Regelungen, wie die Standardvertragsklauseln der EU allgemein, keine direkte Garantie nach Kapitel 5 der DSGVO darstellen, können sie doch als geeignete Garantien nach Art. 46 Abs. 1 lit. c DSGVO im Rahmen internationaler Verpflichtungen verwendet werden.

Für Unternehmen in Mecklenburg-Vorpommern, die international agieren oder auf Dienstleister außerhalb der EU angewiesen sind, bieten diese neuen Klauseln eine praktikable Möglichkeit, den Anforderungen der DSGVO gerecht zu werden und gleichzeitig ihre internationalen Geschäftsprozesse abzusichern. Damit verbunden sind jedoch gestiegene Anforderungen an Audits und Dokumentation bezüglich der Verarbeitungsprozesse.

Die Experten von Datenschutz Nordost prüfen gerne für Sie, ob in Ihrem Unternehmen durch die neuen Regelungen aktuell Handlungsbedarf entsteht. Auch wenn Sie grundlegende Fragen zur Datenschutz-Konformität Ihrer internationalen Geschäftsbeziehungen haben, beraten wir Sie gerne und stellen gemeinsam mit Ihnen sicher, dass Ihre internationale Datenverarbeitung den Anforderungen der DSGVO genügt.