EU-Kommission verabschiedet neue Standarddatenschutzklauseln für internationalen Datentransfer

Die EU-Kommission hat am 4. Juni 2021 die finale Fassung der neuen Standarddatenschutzklauseln (Standard Contractual Clauses oder abgekürzt SCC) für Übermittlungen personenbezogener Daten in Drittländer und weiterhin die finale Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge für die Verarbeitung personenbezogener Daten in der Europäischen Union veröffentlicht.

Die Presseerklärung der EU-Kommission sowie die neuen Standarddatenschutzklauseln und die finale Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge können über diesen Link abgerufen werden.

Neue Standarddatenschutzklauseln für den internationalen Datentransfer

Die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums wird grundsätzlich in 2 Stufen festgestellt. Auf der 1. Stufe muss zunächst eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO (z. B. Art. 6 Abs. 1 lit. b) DS-GVO – Vertragserfüllung) für die Datenübermittlung vorliegen. Auf der 2. Stufe wird dann geprüft, ob bei dem Empfänger im Drittland ein angemessenes Datenschutzniveau für personenbezogene Daten besteht. Ein solches Schutzniveau kann für ein Land ganz oder teilweise für einen Sektor mit einem Angemessenheitsbeschluss durch die EU-Kommission festgestellt werden.

Nach Art. 46 DS-GVO kann ein angemessenes Schutzniveau auch durch geeignete Garantien hergestellt werden. Eine von diesen Garantien sind die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c) DS-GVO. Dabei handelt es sich um Musterverträge, die beide Parteien zum Einhalten eines mit der Europäischen Union vergleichbaren Datenschutzniveaus verpflichten. Diese wurden nunmehr endlich überarbeitet. Die neuen Standarddatenschutzklauseln lösen die bislang noch geltenden Standardvertragsklauseln für einen Transfer zwischen Verantwortlichen aus 2001 sowie den Datentransfer an Auftragsverarbeiter aus 2010 für Übermittlungen personenbezogener Daten in Drittländer ab.

Inhalte der neuen Standarddatenschutzklauseln

Die von der EU-Kommission verabschiedeten neuen Standarddatenschutzklauseln sehen im Vergleich zu den bislang geltenden Standardvertragsklauseln eine Reihe von Änderungen vor. Am auffälligsten ist, dass die neuen Standarddatenschutzklauseln einem modularen Ansatz im Sinne eines Baukastenprinzips folgen. Zukünftig gibt es also nur noch einen Satz an Standarddatenschutzklauseln zum internationalen Datentransfer, der je nach konkreter Ausgestaltung des jeweiligen Datentransfers durch Verwendung bestimmter und das Weglassen anderer Textbausteine angepasst werden kann.

Die neuen Standarddatenschutzklauseln gelten sowohl für Übermittlungen zwischen Verantwortlichen (Modul 1) als auch für einen Datentransfer an Auftragsverarbeiter (Modul 2). Zudem gelten die neuen Standarddatenschutzklauseln auch für einen Weitertransfer von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter (sog. Unterauftragnehmer) (Modul 3) sowie für einen Datentransfer von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).

Weitere, neue Inhalte sind u. a. (i) die Möglichkeit des Beitritts anderer Unternehmen zu den Standarddatenschutzklauseln, (ii) Offenlegung von Angaben zu allen Verantwortlichen bei Verträgen zwischen Auftragsverarbeitern, (iii) konkrete Regelungen zu den technischen und organisatorischen Schutzmaßnahmen, (iv) umfassende Haftungsregeln sowie (v) eine strenge Hierarchieklausel, die von den Vertragsparteien strikt zu beachten ist.

Neu ist insbesondere auch eine sog. Kopplungsklausel, wonach jederzeit neue Vertragspartner in bestehende Standarddatenschutzklauseln aufgenommen werden können. Damit verfolgt der europäische Gesetzgeber den Zweck, dass ein Auftraggeber etwa bei gemeinsamer Verantwortlichkeit einen anderen Auftraggeber aufnehmen kann, um das Vertragsverhältnis zur Auftragsverarbeitung mit dem Dienstleister datenschutzrechtlich abzusichern.

Ebenso wurde die Beauftragung von weiteren Auftragsverarbeitern als sog. Unterauftragnehmer neu geregelt. Für den wichtigsten Anwendungsfall der neuen Standarddatenschutzklauseln – einem Datentransfer an Auftragsverarbeiter (Modul 2) – gelten jedoch die gleichen Grundsätze, wie dies Art. 28 Abs. 2 und Abs. 4 DS-GVO für einen Vertrag zur Auftragsverarbeitung vorsieht. Der Auftraggeber kann im Vertrag zur Auftragsverarbeitung entscheiden, ob er jeder Änderung zur Beauftragung von Unterauftragnehmern durch den Auftragsverarbeiter zustimmt oder ob eine allgemeine Genehmigung dahingehend erklärt, dass der Auftragsverarbeiter nur über die Änderung zu Unterauftragnehmern informieren muss, der Auftraggeber dann allerdings ein Widerspruchsrecht erhält.

Insgesamt ermöglichen die neuen Standarddatenschutzklauseln Unternehmen mehr Flexibilität bei der Vertragsgestaltung. Ob die Anwendung aber in der Praxis tatsächlich erleichtert wird, bleibt abzuwarten. Zudem wurden mit den Modulen 3 und 4 zwei neue Konstellationen zum internationalen Datentransfer eingeführt und es bleibt abzuwarten, ob deren Umsetzung in die Praxis zu Problemen führt.

Schrems II-Verpflichtungen

Die neuen Standarddatenschutzklauseln enthalten weiterhin zahlreiche Verpflichtungen um die hohen Anforderungen des Europäischen Gerichtshofs zu Schrems II und die damit korrespondierenden Vorgaben des Europäischen Datenschutzausschusses für den Drittlandtransfer zu beachten.

So sehen die neuen Standarddatenschutzklauseln – wie vom Europäischen Datenschutzausschuss gefordert – eine dokumentierte Risikoeinschätzung verbindlich vor („Transfer Impact Assessment“). Beide Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO ist das Transfer Impact Assessment zu dokumentieren und den Datenschutzaufsichtsbehörden auf Verlangen vorzulegen.

Aufgrund ihrer Natur als Vertragsklauseln können aber die neuen Standarddatenschutzklauseln etwaige Konflikte mit nationalem Recht von Drittländern nicht abschließend lösen. Im Gegenteil: Die EU-Kommission weist in ihrem Beschluss zu den Standarddatenschutzklauseln sogar ausdrücklich darauf hin, dass der Datentransfer auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittländern den Datenimporteur daran hindern, vertragliche Verpflichtungen einzuhalten (vgl. Randnummer 19 des Beschlusses der EU-Kommission).

Datenexportierende Unternehmen müssen daher bei Verwendung der neuen Standarddatenschutzklauseln und darauf gestützte Datenübermittlungen in Drittländer jeweils im Einzelnen prüfen, welchen Gesetzen der jeweilige Datenimporteur im Drittland, an den sie die Daten übermitteln möchten, und etwaige weitere Empfänger unterliegen und ob diese Gesetze die von ihnen mit Unterzeichnung der Standarddatenschutzklauseln gegebenen Garantien beeinträchtigen. Demzufolge ist es unabdingbar die einzelnen Datentransfers zu analysieren und zu prüfen, welche Gesetze des Drittlandes zur Anwendung kommen und welche zusätzlichen Garantien der Auftragsverarbeiter anbietet. Geeignete, ergänzende Garantien können zusätzliche Maßnahmen vertraglicher, organisatorischer oder technischer Art sein.

Vertraglich und organisatorische Maßnahmen allein werden im Allgemeinen nicht genügen, dem Zugriff staatlicher Stellen des Drittlands auf personenbezogene Daten entgegenzuwirken. Als zusätzliche Schutzmaßnahme nennt der Europäische Datenschutzausschuss insbesondere Verschlüsselungstechnologien sowie den Einsatz von Anonymisierungs- und/oder Pseudonymisierungstechniken, wenn insbesondere nur das EU-Unternehmen die Zuordnung vornehmen kann.

Umsetzungszeitraum

Die offizielle Version der neuen Standarddatenschutzklauseln wird in den kommenden Tagen im EU-Amtsblatt veröffentlicht. Die bisherigen Standardvertragsklauseln dürfen ab dem Zeitpunkt der offiziellen Veröffentlichung nur noch 3 Monate lang abgeschlossen werden. Diese Karenzzeit dient dem Zweck, laufende oder bereits abgeschlossene Vertragsverhandlungen auf der Grundlage der bisherigen Standardvertragsklauseln nicht gegenstandslos werden zu lassen.

Spätestens mit Ablauf weiterer 15 Monate müssen jedoch alle bestehenden Standardvertragsklauseln auf die neuen Regelungen umgestellt werden. Für datenexportierende Unternehmen stehen also umfangreiche Nachverhandlungen zu den bisher verwendeten Standardvertragsklauseln an.

Handlungsmaßnahmen für Unternehmen

Zusammenfassend lässt sich festhalten, dass die neuen Standarddatenschutzklauseln eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vorsehen. Der modulare Baukasten der neuen Standarddatenschutzklauseln berücksichtigt die Anforderungen des Europäischen Gerichtshofes zur Schrems II-Entscheidung. Jedoch wird der Abschluss der neuen Standarddatenschutzklauseln aufgrund der Notwendigkeit einer verpflichtenden Risikoeinschätzung nicht mehr einfach nur eine reine „Abhakübung“ sein. Auf Unternehmen kommt daher zukünftig mit Abschluss der neuen Standarddatenschutzklauseln viel Arbeit zu.

Alle laufenden Datentransfers in Drittländer auf Grundlage der bisherigen Standardvertragsklauseln müssen innerhalb der nächsten ca. 18 Monate auf die neuen Standarddatenschutzklauseln umgestellt werden.

Für Unternehmen ergibt sich folgender Handlungsbedarf:

• Durchführung eines Datenmappings um zu prüfen, welche personenbezogenen Daten Unternehmen aufgrund von Standardvertragsklauseln in Drittländer übermitteln und in welchen Fällen die neuen Standarddatenschutzklauseln abzuschließen sind;
• Analyse der neuen Standarddatenschutzklauseln – ggf. mit anwaltlicher Hilfe und Anpassung der neuen SCC auf die konkreten Bedürfnisse des Unternehmens bzw. der Unternehmens-Gruppe;
• Etablierung eines standardisierten Prozesses zur Durchführung des Transfer Impact Assessments sowie Dokumentation des Transfer Impact Assessment;
• Umgehende Kontaktaufnahme mit Dienstleistern zum Abschluss der neuen Standarddatenschutzklauseln;
• Etablierung der neuen Standarddatenschutzklauseln auch beim konzerninternen Datentransfer in Drittländer mit Festlegung welches Modul zum Drittlandtransfer benötigt wird.

Da der internationale Datentransfer in Drittländer aktuell im Fokus der Datenschutzaufsichtsbehörden steht und seit letzter Woche in Deutschland Prüfaktionen zum internationalen Datentransfer vorgenommen werden, sollten Unternehmen sehr zeitnah ein Projekt aufsetzen und den hier vorgestellten Handlungsbedarf umsetzen.