Vorschlag der EU Kommission zu neuen Standarddatenschutzklauseln – Post Schrems II

Am 12. November 2020 hat die Europäische Kommission einen Vorschlag für neue Standarddatenschutzklauseln (auch Standardvertragsklauseln genannt; im Folgenden: „SCC-Entwurf“) veröffentlicht. Diese Veröffentlichung erfolgte damit kurz nach der Veröffentlichung der Empfehlungen des Europäischen Datenschutzausschusses („EDSA“) für Drittlandtransfers (Sie finden unsere erste Einschätzung dazu hier) sowie der EDSA-Veröffentlichung „European Essential Guarantees“.

Ziel der Veröffentlichung ist die Durchführung eines kurzen Konsultationsverfahrens. Am Ende sollen neue SCC veröffentlicht werden. Diese möglichen neuen SCC, verbunden mit Empfehlungen für Drittlandtransfers, auch unter Berücksichtigung der Schrems II-Entscheidung, könnten mehr Rechtssicherheit für die Anwender bieten (Sie finden unseren Beitrag zu der Schrems II-Entscheidung hier).

Aufbau des SCC-Entwurfs

Der SCC-Entwurf ist modular aufgebaut. Dies bedeutet, es soll eine SCC-Fassung geben, welche die folgenden vier Szenarien durch Textmodule abdeckt:

1. Modul 1: Übermittlung zwischen zwei (oder mehr) Verantwortlichen („Controller-Controller“).

2. Modul 2: Übermittlung von einem Verantwortlichem zu einem (oder mehr) Auftragsverarbeitern („Controller-Processor“).

3. Modul 3: Übermittlung von einem Auftragsverarbeiter zu einem (oder mehr) Auftragsverarbeitern („Processor-Processor“).

4. Modul 4: Übermittlung von Auftragsverarbeiter zu einem (oder mehr) Verantwortlichen („Processor-Controller“).

Ausgewählte Inhalte des SCC-Entwurfs im Rahmen der Schrems II-Entscheidung

Einige Anforderungen, die insbesondere aufgrund der Schrems II-Entscheidung in den Diskussionsfokus gerückt sind, spiegeln sich bereits in diesem SCC-Entwurf wieder. Dazu gehören ein verstärkter Fokus auf Transparenzanforderungen und ein ausdifferenzierterer Umgang mit verschiedenen landesrechtlichen Vorgaben.

Beispielsweise wird der Datenimporteur in einer Controller-Controller-Situation verpflichtet, bestimmte Informationen den jeweils Betroffenen zur Verfügung zu stellen, entweder direkt oder indirekt über den Datenexporteur. Dazu gehören insbesondere die Informationen über die Identität des Datenimporteurs und über alle relevanten Datenverarbeitungen, auch über eigene relevante Datenverarbeitungen des Datenimporteurs als Verantwortlicher.

Der SCC-Entwurf enthält im Grundsatz Klauseln mit Schutzwirkung für Dritte. Dies bedeutet, dass sich Betroffene direkt auf diese Klauseln stützen können, um Ansprüche gegen den Datenexporteur und/oder den Datenimporteur geltend zu machen (vgl. Section I, Clause 2).

Der SCC-Entwurf enthält die eindeutige Verpflichtung, dass bei einer weiteren Datenübermittlung des Datenimporteurs an einen Dritten (sog. „onward transfer“) entweder dieser Dritte ebenfalls die entsprechenden SCC-Verpflichtungen mitübernehmen muss oder ein andere Rechtfertigung nach der DSGVO für eine solche Datenübermittlung gegeben sein muss (vgl. Section II, Modul 1 Clause 1.7, Modul 2 Clause 1.8 und Modul 3 Clause 1.8).

Eine Klausel, die auf alle oben genannten Standardszenarien anwendbar ist, befasst sich mit dem nationalen Recht des Datenimporteurs. Dabei sichern die Parteien, also Datenexporteur und
–importeur zu, dass sie davon ausgehen, dass lokales Recht den Datenimporteur nicht in der Wahrnehmung seiner entsprechenden Pflichten hindert (Section II, Clause 2). Zudem erarbeiten sie eine Datenübermittlungs-Folgenabschätzung und stellen sie auf Anforderung der zuständigen Datenschutzaufsichtsbehörde zur Verfügung (Section II, Clause 2 lit d)).

Eine weitere Klausel verpflichtet den Datenimporteur unverzüglich zumindest den Datenexporteur – und wenn möglich die jeweils Betroffenen – zu informieren, wenn eine hoheitliche Stelle Zugriff auf personenbezogenen Daten fordert. Der Datenimporteur soll zudem verpflichtet sein, gegen eine solche Anordnung vorzugehen, wenn es Anhaltspunkte für die Rechtswidrigkeit einer solchen Anordnung gibt (Section II, Clause 3).

Zudem wird dem Datenexporteur ein außerordentliches Kündigungsrecht eingeräumt, wenn der Datenimporteur sich nicht an eine SCC-Verpflichtung hält (vgl. Section III, Clause 1).

Der Anhang für die technischen und/oder organisatorischen Maßnahmen enthält Platzhalter mit Anregungen, welche Maßnahmenarten beispielsweise geregelt werden könnten.

Ausblick

Ein Kritikpunkt, der bereits in dem Konsultationsverfahren aufgekommen ist, ist die Tatsache, dass dieser SCC-Entwurf letztlich nicht einen geheimen Datenzugriff durch staatliche Stellen abwenden kann. Ein zentrales Problem der Schrems II-Entscheidung wird daher nicht durch diesen SCC-Entwurf gelöst.

Im Übrigen enthält der SCC-Entwurf gute Ansätze, um den Rechtsanwendern ein Update für ein sehr wichtiges Tool zur internationalen Datenübermittlung an die Hand zu geben. Nachdem der SCC-Entwurf selbst keine technischen und/oder organisatorischen Schutzmaßnahmen enthält, sind die Empfehlungen des EDSA für Drittlandtransfers parallel heranzuziehen. Zudem werden DSGVO-ähnliche Anforderungen auf den Datenimporteur eindeutig ausgeweitet.

Sollte dieser SCC-Entwurf angenommen werden, sind bestehende (alte) SCC innerhalb eines Jahres zu überarbeiten und auf den dann neuen Stand zu bringen (vgl. Art. 6 Abs. 3 des Entwurfs für die Implementierungsentscheidung).

Allerdings ist unklar, ob dieser SCC-Entwurf letztlich verabschiedet wird. Die europäischen Datenschutzbehörden haben bereits abweichende Auffassungen geäußert.