Spätestens nach dem sog. Schrems-II-Urteil des Europäischen-Gerichtshofs aus dem letzten Jahr war eine Aktualisierung der Klauseln erforderlich und erwartet worden.
Die Fragen, welcher Handlungsbedarf sich für Unternehmen durch die Aktualisierung der Klauseln ergibt und ob damit zukünftig Rechtssicherheit für die Datenübermittlung in die USA erreicht werden kann, wollen wir in diesem Beitrag beantworten.
Standarddatenschutzklauseln – Worum geht es überhaupt?
Die Standarddatenschutzklauseln (auch EU-Standardvertragsklauseln oder SCC genannt) sind von der EU-Kommission vorformulierte Verträge, die hinreichende Garantien bei einem internationalen Datentransfer gewährleisten sollen. Die Vereinbarungen sind erforderlich, da Übermittlungen von personenbezogenen Daten in Nicht-EU-Drittländer nur nach den in Art. 44 ff. DS-GVO festgelegten Mechanismen möglich sind. Seit der EuGH in seiner bereits erwähnten Schrems-II-Entscheidung das sog. „Privacy Shield“ für unwirksam erklärt hatte, waren die SCC einer der wenigen verbliebenen Mechanismen, die Unternehmen mit überschaubarem Aufwand, wenn auch bei gleichzeitigen Rechtsunsicherheiten, einsetzen konnten. Allerdings stammen die Standardvertragsklauseln noch aus der Zeit vor der DS-GVO und waren daher stark überarbeitungsbedürftig.
Die neuen Standarddatenschutzklauseln – Was ist neu?
Die neuen SCC sehen insbesondere folgende Neuerungen vor:
Die neuen SCC lassen sich für Datenübermittlungen von Auftragsverarbeitern in der EU zu Auftragsverarbeitern in Drittländern (Processor to Processor) sowie von Auftragsverarbeitern in der EU zu Verantwortlichen in Drittländern (Processor to Controller) verwenden.
Die bisher drei unterschiedlichen Typen von Standardvertragsklauseln werden nun in einem Vertragswerk mit vier sog. Modulen zusammengefasst, welches jeweils andere Verarbeitungssituationen berücksichtigt:
- Modul 1 (Übermittlung von Verantwortlichen an Verantwortliche),
- Modul 2 (Übermittlung von Verantwortlichen an Auftragsverarbeiter),
- Modul 3 (Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter) und
- Modul 4 (Übermittlung von Auftragsverarbeitern an Verantwortliche)
Die neuen SCC sind somit auf eine größere Zahl von Verträgen anwendbar und umfassen auch Verträge auf der Ebene der Unterauftragsverhältnisse.
Es wurde eine Beitrittsmöglichkeit zu den SCC geschaffen. Entsprechend Abschnitt 1 Klausel 7 können andere Einrichtungen einem auf Grundlage der Standardvertragsklauseln abgeschlossenen Vertrages als Datenimporteure oder -Exporteure dem Vertrag beitreten.
Die SCC sehen besondere Verpflichtungen für Datenimporteure vor, für den Fall, dass im Empfängerland kein hinreichendes Datenschutzniveau gewährleistet werden kann (z.B. USA) und beispielsweise ausländischen Behörden Zugriffsrechte auf die verarbeiteten Daten zustehen. Mit diesen Regelungen werden, die nach der Schrems-II-Entscheidung des EuGH notwendigen vertraglichen Zusatzmaßnahmen implementiert.
Modulare Haftungsklauseln legen (gemeinsam mit der Regelung des Vorrangs der SCC) grundsätzlich fest, dass die Haftung der Vertragsparteien z.B. nicht durch externe Haftungsausschlüsse in AGB eingeschränkt wird.
Praxis – Was ist zu tun?
Sind die Klauseln mit den richtigen Modulen und Optionen erstellt, müssen noch die Anhänge ausgefüllt werden. Dort erfolgt die maßgebliche Arbeit, denn in den Anhängen müssen Informationen über die Datenverarbeitung angegeben werden (Anhang I) sowie, wenn zutreffend, eine Liste der Unterauftragsverarbeiter (Anhang III). Besonders wichtig ist Anhang II (Technische und organisatorische Maßnahmen, einschließlich Gewährleistung der Sicherheit der Daten). Für Modul 1 – 3 müssen konkrete (nicht allgemeine) technische und organisatorische Maßnahmen für jede Datenübermittlung/Kategorie von Datenübermittlung angegeben werden und dabei die besonderen Umstände der Verarbeitung berücksichtigt werden.
In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern/Auftragsverarbeitern als individueller Vertrag oder Bestandteil der AGB angeboten. Vor allem bei Vertragsschlüssen mit Unternehmen, die nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt, der dann der individuell unterschrieben oder signiert wird. Viele US-Anbieter bieten Standardvertragsklauseln aber auch als Teile oder Anhänge zu ihren AGB an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden. Beide Arten des Abschlusses der Standardvertragsklauseln sind unproblematisch zulässig.
Des Weiteren hat sich auch eine weitere Dokumentationspflicht eingeschlichen: „Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.“ Damit sind weitere Dokumentationsanforderungen zu erfüllen, welche über den eigentlichen Vertrag hinausgehen. Es muss also zunächst geprüft werden, ob die richtige Vertragskonstellation der Standardvertragsklauseln gewählt wurde und ob der Text inhaltlich nicht verändert wurde. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind. Zusätzlich muss das tatsächliche Datenschutzniveau geprüft werden, d.h. ob die Zusagen das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Diese Prüfung ist dann entsprechend zu dokumentieren.
Zeitpunkt – Wann geht es los?
Die neuen SCC müssen bei Neuvertragsabschlüssen ab dem 29.09.2021 genutzt und in den nächsten 18 Monaten (bis zum 27.12.2022) auch bei allen bestehenden Verträgen ausgetauscht werden, sofern diese gem. Art. 46 Abs. 2 lit. c DS-GVO als geeignete Garantie zur Gewährleistung des Datenschutzes genutzt wurden.
Na endlich – Sind US-Datentransfers jetzt rechtssicher?
Um es kurz zu machen: Jein. Die neuen SCC lösen das eigentliche Problem nicht, sondern verschieben die Rechtsunsicherheit nur bis zum nächsten Urteil des EuGHs. Unternehmen werden nun ihre bestehenden SCC anpassen müssen, ohne dass sich eine wirkliche Rechtssicherheit einstellt, da die neuen SCC nur die vertragliche Seite abdecken, nicht aber auch technische und organisatorische Maßnahmen. Es ist sehr wahrscheinlich, dass der Verein NOYB/“Max Schrems“ auch gegen die neuen SCC Klage einreichen wird. Immerhin erhalten Unternehmen nun aber eine gewisse Zeitspanne, in der eine Übermittlung z.B. in die USA zumindest aus vertraglicher Sicht wieder durchgeführt werden kann. Daneben sind aber weiterhin effektive technische Maßnahmen zum Schutz vor Datenzugriffen im Drittland erforderlich.
Unser Audio- und Videopodcast zum Thema:
YouTube: https://youtu.be/Hr8uk7PM_ik
Spotify: https://spoti.fi/3vHGBXD
Apple: https://apple.co/3gXHYfv
Vimeo: https://vimeo.com/566049703