Nach langem Warten ist es soweit: Neue Standardvertragsklauseln für internationale Datentransfers stehen zur Verfügung. Die finalen Texte hat die EU-Kommission am 4. Juni veröffentlicht, am 7. Juni folgte die formale Verkündung im Amtsblatt der EU. Die Texte bringen einige Neuerungen mit sich, mehr Aufwand in der Anwendung, aber auch mehr Rechtssicherheit etwa für US-Transfers. Nun gilt es, bestehende Verträge anzupassen und die geforderten Prüfungen und Dokumentation dafür zu erstellen. Das kostet Ressourcen, bringt aber auch die Chance auf einen sichereren Datentransfer und vielleicht sogar eine Lösung für die Nutzung einiger US-Tools mit sich … Wir stellen Ihnen in diesem Beitrag den wesentlichen Inhalt der Neuregelungen vor und erläutern, was jetzt zu tun ist.
Werden personenbezogene Daten in ein Drittland außerhalb der EU und des EWR übermittelt, haben Verantwortliche bzw. Auftragsverarbeiter dort ein angemessenes, den Gegebenheiten in der EU gleichwertiges Schutzniveau abzusichern. Art. 44 ff. DSGVO enthalten dafür diverse Instrumente, u.a. die sog. Standardvertragsklauseln. Bislang galten die alten Klauseln aus 2001 bzw. 2010 fort. Endlich hat die EU-Kommission nun neue Klauseln erlassen: Ganz offiziell ersetzen diese ab dem 28.09.2021 die alten Klauseln, spätestens zum 27.12.2022 müssen alle alten Vertragsklauseln durch die neuen ersetzt sein.
Sind aktuell Drittstaatentransfers nicht hinreichend abgesichert – wie in vielen Fällen bei US-Transfers derzeit der Fall – lohnt sich eine zügigere Umstellung auf die neuen Klauseln. Denn diese enthalten eine Reihe zusätzlicher Absicherungen, wie diese von den Datenschutzaufsichtsbehörden nach der EuGH-Entscheidung „Schrems II“ zum US-Transfer im letzten Sommer gefordert wurden. Und mehr noch: Die neuen Standardvertragsklauseln greifen den in der Praxis viel diskutierten, von den Aufsichtsbehörden bislang aber abgelehnten Gedanken einer Risikoabwägung auf (Abschnitt III, insb. Fn. 12): Wenn nationale Behörden qua Rechtslage zwar auf personenbezogene Daten in unverhältnismäßigem Umfang und ohne wirksame Rechtsbehelfe zugreifen dürften, dies aber aus dokumentierten Gründen praktisch quasi ausgeschlossen ist, kann u.U. doch ein angemessenes Schutzniveau angenommen werden …
Und auch weitere hilfreiche Anpassungen sind in den neuen Klauseln enthalten: Mehrparteienverhältnisse sind – endlich – konkret mit erfasst und auch die Option einer „Drittbegünstigung“ ist – praxisnah – vorgesehen. Hierüber können etwa internationale Produktangebote abgesichert und ggü. den Kunden als „Drittbegünstigte“ bereitgestellt werden. Abgedeckt werden nunmehr auch die unterschiedlichen Rollenkonzepte, etwa die Datenübermittlung von Auftragsverarbeitern an Verantwortliche im Drittstaat.
Nicht mehr möglich sein wird indes der in der Vergangenheit oft praktizierte schlichte Abschluss der Klauseln, ohne diese tatsächlich mit Leben zu füllen. Denn eine Prüfpflicht wird nun ebenso expressis verbis etabliert wie teils umfangreiche Dokumentations- und Informationspflichten etwa des Datenimporteurs im Drittland. Eine schlichte Unterschrift unter den Klauseln wird daher künftig nicht mehr ausreichen.
Dies bedeutet – zusammengefasst: Unsichere Datentransfers sollten möglichst zügig daraufhin geprüft werden, ob ein Abschluss der neuen Standardvertragsklauseln hier für eine verbesserte Situation sorgen kann. Alle übrigen auf Standardvertragsklauseln aufbauende Prozesse sollten im Verlauf der kommenden Monate überprüft und auf die neuen Klauseln umgestellt werden. Handlungsbedarf besteht hier in jedem Fall – spätestens bis Ende 2022.
Doch nun zu den Hintergründen:
Drittstaatentransfer – Modernisierungsbedarf und Schrems II-Urteil
Die alten Standardvertragsklauseln zum Drittstaatentransfer von 2001/2010 waren in zweierlei Hinsicht überarbeitungsbedürftig: Zum einen stammen die bisherigen Klauseln (Beschlüsse 2001/497/EG und 2010/87/EU) noch aus Zeiten vor Erlass der DSGVO. Deshalb war – so die EU-Kommission in ihrer Pressemitteilung – eine Anpassung an die Realitäten der modernen Datenübertragung und internationalen Interaktion von Unternehmen erforderlich. Besonders der zunehmende Einsatz von Verarbeitungsvorgängen mit mehreren Importeuren und Exporteuren und langen, komplexen Verarbeitungsketten musste abgebildet werden.
Zum anderen waren die Standardvertragsklauseln spätestens seit dem berüchtigten Schrems II-Urteil des EuGH aus dem letzten Jahr heftiger Kritik ausgesetzt. In diesem Urteil erklärte der EuGH das sog. EU-U.S.-Privacy Shield, den Angemessenheitsbeschluss zur Datenübertragung in die USA, unter anderem wegen umfassenden und mit den Standards der DSGVO nicht zu vereinbarenden Datenzugriffsrechten der US-Sicherheitsbehörden für unwirksam. Zwar wurden die Standardvertragsklauseln, die bei Fehlen eines Angemessenheitsbeschlusses eine geeignete Rechtsgrundlage für den Datentransfer in ein Drittland nach Art. 46 Abs. 2 lit. c DSGVO darstellen können, ausdrücklich nicht für unwirksam erklärt. Der EuGH äußerte aber hinsichtlich des Zugriffs der Sicherheitsbehörden ähnliche Bedenken wie beim Datentransfer auf der Grundlage des Angemessenheitsbeschlusses und verordnete bei Verwendung der Standardvertragsklauseln eine umfassender Einzelfallprüfung, ob die vertraglichen Vereinbarungen auch tatsächlich durchsetzbar sind. Denn Behörden können durch einen Vertrag zwischen zwei Unternehmen regelmäßig nicht in ihren nach nationalem Recht bestehenden Zugriffsrechte beschränkt werden.
Überarbeitete Klauseln für den Drittstaatentransfer personenbezogener Daten:
- Anwendung auf und Einbindung von Verarbeitungsketten: Zudem werden nun Klauseln für die Anwendung auf unterschiedliche Verarbeitungsketten angeboten, etwa für die Beziehung zwischen Auftragsverarbeitern als Datenexporteur und Unterauftragsverarbeitern als Datenimporteur. In den bisherigen Standardvertragsklauselnwar nur das Übertragungsszenario vom Verantwortlichen zu Verantwortlichen oder Auftragsverarbeitern erfasst. Ketten, die in der Praxis häufig anzutreffen sind, waren damit kaum abzubilden. Hinzu kommt die neue Möglichkeit, dass mehrere Datenex- und -importeure während der Laufzeit eines Vertrages beitreten können.
- Klare Regelung der Weiterübermittlung: Die neuen Standardvertragsklauseln sehen Vorgaben über die Weiterübermittlung personenbezogener Daten an einen Datenimporteur in einem anderen Drittland vor. Dies soll nur zulässig sein, wenn der Empfänger ebenfalls dem Vertrag beigetreten ist, der Fortbestand des Datenschutzes etwa aufgrund eines Angemessenheitsbeschlusses der Kommission gewährleistet ist oder in bestimmten Situationen auch bei der ausdrücklichen Einwilligung des Betroffenen.
- Vorherige Zusicherung der Einhaltung des Datenschutzniveaus: Neu ist auch die Verpflichtung der Parteien, sich gegenseitig vor Abschluss des Vertrages zuzusichern, dass ihnen keine Gründe bekannt sind, aufgrund derer die vertraglichen Verpflichtungen nicht eingehalten werden können. Zu berücksichtigen haben die Vertragsparteien dabei:
- Die konkreten Umstände des Datentransfers (etwa die Kategorie der verarbeiteten Daten, den Zweck der Übermittlung etc.);
- Die Rechtslage und Behördenpraxis im Drittland vor allem hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten nach zuverlässigen Informationen und gegebenenfalls praktischen Erfahrungen;
- Ob und inwieweit zusätzliche Garantien und Maßnahmen zur Sicherstellung eines gleichwertigen Datenschutzniveaus ergriffen wurden (für diese kann sich an den Empfehlungen 01/2020 des EDSA orientiert werden).
Der Datenimporteur hat dem Exporteur für diese Beurteilung sachdienliche Informationen zur Verfügung zu stellen, die Einschätzung ist von den Parteien zu dokumentieren und auf Anfrage den Datenschutzbehörden darzulegen.
Die Beurteilung erfordert eine konkrete, dokumentierte Prüfung. Besonders deutlich wird das in Klausel 8, nach der der Datenexporteur versichern muss, „sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen“ – dies muss dokumentiert werden.
- Fortlaufende Transparenz- und Informationspflichten; Vertragslösung: Der Datenimporteur wird zudem verpflichtet, die Entwicklungen der Rechtslage in seinem Land zu beobachten, zu dokumentieren und den Datenexporteur unverzüglich darauf hinzuweisen, wenn er befürchtet, die Verpflichtungen des Vertrages nicht länger einhalten zu können. Dem Importeur sollten im Gegenzug die Möglichkeit der Aussetzung der Datenübermittlung und gegebenenfalls auch das Recht zur Lösung vom Vertrag zustehen.
Auch über etwaige Anfragen oder zwingende Verfügungen der nationalen Behörden zur Offenlegung der übermittelten Daten soll der Datenimporteur den Exporteur – soweit rechtlich zulässig – informieren, den Exporteur zumindest mit aggregierten Daten in regelmäßigen Abständen informieren, Anfragen und Antworten auf Offenlegungsgesuche dokumentieren und – sofern es entsprechende Zweifel an der Rechtmäßigkeit der Anfrage nach nationalem Recht gibt – den Rechtsweg gegen behördliche Offenlegungsanordnungen ausschöpfen. All dies soll der Datenimporteur in einer Art und Weise dokumentieren, in der sie den Datenschutzaufsichtsbehörden auf Anfrage vorgelegt werden kann.
- Einbindung und Schutz der Betroffenen als Drittbegünstigte: Unverändert bleibt, dass Betroffene als Drittbegünstigte in den Vertrag eingebunden werden und die Rechte des Vertrages geltend machen und durchsetzen können. Eine Verpflichtung, den Betroffenen bei der Wahrnehmung seiner Rechte im Drittland zu unterstützen, wie es der EDSA in seinen Empfehlungen 01/2020 zur Ergänzung der Standardvertragsklauseln vorgesehen hat, wurde nicht aufgenommen.
- Vertragliche Haftungsregelungen: Die Standardvertragsklauseln sehen zudem Haftungs- und Entschädigungsklauseln vor, die im Wesentlichen an der DSGVO orientiert sind. Zum einen haften die Parteien untereinander für Vertragsverletzungen, zum anderen haften die Parteien jeweils auch gegenüber den durch die Datenverarbeitung Betroffenen für materielle und immaterielle Schäden, die durch die Verletzung ihrer Rechte aus dem Vertrage entstanden sind. Der Datenexporteur haftet davon unabhängig weiterhin nach den Vorschriften der DSGVO gegenüber den Betroffenen. Als Datenexporteure haften Verantwortliche für das Verhalten ihrer Auftragsverarbeiter und Auftragsverarbeiter für ihre Unterauftragsverarbeiter, wobei sie bei einer Inanspruchnahme durch die betroffenen Personen einen Ausgleich im Innenverhältnis abhängig vom Grad der Verantwortung des Datenimporteurs suchen können.
- Einbindung in Verträge und Abweichungen: Es ist ausdrücklich vorgesehen, dass die Standardvertragsklauseln in größere, umfassendere Verträge mit weiteren Verpflichtungen eingebunden werden können. Wesentliche Voraussetzung ist dabei jedoch, dass die sonstigen vertraglichen Bestimmungen nicht unmittelbar oder mittelbar im Konflikt mit den Standardvertragsklauseln stehen oder hierdurch die Grundrechte oder Grundfreiheiten der Betroffenen eingeschränkt werden. In Fällen des Widerspruchs oder des Konflikts der Standardvertragsklauselnzu anderen vertraglichen Regelungen genießen die Standardvertragsklauseln ausdrücklich Vorrang.
Umsetzungsfrist
Die neuen Standardvertragsklauseln treten am 27.06.2021 in Kraft (20 Tage nach Veröffentlichung im Amtsblatt der EU am 07.06.2021). Am 27.09.2021 werden die alten Klauseln von 2001/2010 aufgehoben, spätestens zum 27.12.2022 müssen bis dahin abgeschlossene, „alte“ Standardvertragsklauseln durch die neuen ersetzt werden.
Eine „Amnestie“ ist mit diesen Umsetzungsfristen nur bedingt verbunden: Ist schon heute kein angemessenes Schutzniveau im Drittland abgesichert, wird dieses auch nicht für die Übergangsfrist fingiert. Konkret betrifft dies eine Vielzahl von US-Transfers. Dort wird es in etlichen Fällen ratsam sein, die neuen Klauseln so schnell wie möglich abzuschließen, wenn keine anderweitigen Absicherungen bestehen.
Erleichterung des Datentransfers in die USA?
Vorteil der neuen Standardvertragsklauseln ist, dass sie Unternehmen den Abschluss vertraglicher Vereinbarungen mit internationalen Partnern vereinfachen. Durch die Anerkennung der EU-Kommission können die Klauseln eingesetzt werden, ohne dass einer Prüfung oder Anerkennung durch die Datenschutzaufsichtsbehörden bedarf.
Zudem bieten die neuen Standardvertragsklauseln durch die Vielzahl neuer Verpflichtungen zur Überprüfung der Rechtslage im Drittstaat insbesondere für den Datentransfer in die USA eine rechtssichere Grundlage als die Vorgängerversion. Ob aber die Vereinbarung neuer Verträge auf der Grundlage der Standardvertragsklauseln allein ausreichen wird, um den Anforderungen des Schrems II-Urteils zu entsprechen, ist noch unklar. Der EDSA stellte in seinen Empfehlungen 1/2020 fest, dass rein vertragliche Verpflichtungen alleine regelmäßig nicht ausreichen werden, um ein mit der DSGVO vergleichbares Datenschutzniveau beim Datentransfer sicherzustellen. Der in Abschnitt III der neuen Standardvertragsklauseln zu findende risikobasierte Ansatz der EU-Kommission spricht dafür, wenn die Anforderungen dort eingehalten werden (insbesondere die Dokumentation durch den Datenimporteur, dass nach den „Gepflogenheiten“ und praktischen Erfahrungen nicht mit Zugriffen der US-Behörden zu rechnen ist. Ob den Gerichten das am Ende als Garantien für die Datensicherheit ausreicht, bleibt abzuwarten. Können zusätzlich technische Sicherungsmaßnahmen ergriffen werden, wird dies indes nach wie vor die Rechtssicherheit von Datentransfers weiterhin erheblich steigern.
Standardvertragsklauseln vs. Standarddatenschutzklauseln
Zum Abschluss noch ein Hinweis: Aufmerksamen Lesern der DSGVO-Vorschriften wird auffallen, dass Art. 46 DSGVO von „Standarddatenschutzklauseln“ und nicht, wie die Kommission, von „Standardvertragsklauseln“ spricht. Der Begriff „Standardvertragsklauseln“ kommt noch aus Zeiten der Datenschutzrichtlinie und wurde im Rahmen der DSGVO durch „Standarddatenschutzklauseln“ ersetzt. Inhaltlich beschreiben die Begriffe aber das gleiche, die Kommission nutzt aus Gewohnheit und auch wegen der verbreiteten englischen Abkürzung „SCCs“ (Standard Contractual Clauses) den alten Begriff als Synonym zu „Standarddatenschutzklauseln“ fort.