Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss über den EU-US Privacy Shield für ungültig. Im gleichen Zuge wies der EuGH darauf hin, dass die bis dato geltenden Standardvertragsklauseln nicht als ausreichende Garantie für einen sicheren Drittlandtransfer dienen könnten. Daraufhin erließ die europäische Kommission im Juni 2021 neue Standardvertragsklauseln.
Bereits seit dem 27. September 2021 müssen die neuen Standardvertragsklauseln bei neu abgeschlossene Verträgen Berücksichtigung finden.
Für die Umstellung von Altverträgen wurde eine Frist bis zum 27. Dezember 2022 eingeräumt. Diese läuft nunmehr in knapp zwei Monaten ab, sodass dringender Handlungsbedarf gegeben ist.
Grundsätze für Datenübermittlungen in Drittstaaten
Für Übermittlungen personenbezogener Daten ins Ausland müssen unterschiedliche Voraussetzungen der DS-GVO erfüllt sein. Zum einen ist eine allgemeine Rechtsgrundlage für die Datenverarbeitung i.S.d. Art. 6 DS-GVO erforderlich. Darüber hinaus müssen die Vorgaben des Kapitel 5 DS-GVO erfüllt sein. Eine Drittlandübermittlung ist nur dann zulässig, wenn garantiert werden kann, dass im Empfänger Drittland ein Datenschutzniveau garantiert werden kann, welches dem Datenschutzniveau im EWR entspricht. Solche Garantien können sein:
- Ein Angemessenheitsbeschluss (aktuelle Liste der Länder mit Angemessenheitsbeschluss: hier)
- Standardvertragsklauseln
- Verbindliche interne Datenschutzvorschriften
- Verhaltensregeln
- Zertifizierungsmechanismen (auch als Zertifizierungsverfahren bezeichnet)
- ad hoc vereinbarte Vertragsklauseln
Daneben ist der Datentransfer auch entsprechend den Ausnahmeregelungen des Art. 49 DS-GVO zulässig.
Allgemeines zu den Standardvertragsklauseln
Standardvertragsklauseln i.S.d. Art. 46 Abs. 2 lit. c) DS-GVO sind von der Europäischen Kommission verabschiedete Vertragsmuster. Damit werden Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum (EWR) und Datenimporteuren in Drittstaaten vereinbart. Unter Drittstaaten sind alle Staaten außerhalb des EWR zu verstehen. Die seit 2021 geltenden Standardvertragsklauseln enthalten in Klausel 14 erstmals den Zusatz, dass die Parteien jeweils zusichern, keinen Grund zu der Annahme zu haben, dass nationale Rechtsvorschriften des Empfängerlandes Anwendung finden, welche dem vertraglich zugesicherten Schutz personenbezogener Daten widersprechen. Damit wird die Durchführung eines Transfer Impact Assesments vor dem Datentransfer notwendig. Hier sei auf unsere Vorlage für „Google Workspace“ und demnächst erscheinende Vorlage für „Microsoft 365“ hingewiesen, welche Sie sowohl für den Einsatz mit, als auch ohne den „audatis Manager“ erwerben können. Nur wenn das TIA im Ergebnis den Fortbestand eines vergleichbaren Schutzes personenbezogener Daten im entsprechenden Drittland bestätigt, können die Daten transferiert werden.
Q&A der EU-Kommission zu den Standardvertragsklauseln
Am 25. Mai 2022 hat die EU-Kommission einen Fragen- und Antwortkatalog zu den neuen Standardvertragsklauseln veröffentlicht. Dieser umfasst insgesamt 44 Fragen, die teilweise mit Praxisbeispielen beantwortet werden. Den Einstieg machen allgemeine Ausführungen zum Grundverständnis der Standardvertragsklauseln. So wird auf die Frage eingegangen, was die Vorteile der Standardvertragsklauseln sind und welchen Zweck diese verfolgen.
Konkreter wird es bei den folgenden, beispielhaft ausgewählten Fragen:
- Welche Schritte sind zu ergreifen, wenn nachträglich eine weitere Partei in den Datenverarbeitungsprozess aufgenommen wird (Frage 13)?
Die neue Partei treffen alle Rechte und Pflichten, die mit der entsprechenden Rolle (z.B. Datenexporteur oder -importeur, für die Verarbeitung verantwortlicher oder Auftragsverarbeiter) einhergehen. Zudem sind die Anhänge zu den abgeschlossenen Standardvertragsklauseln zu aktualisieren.
- Welche Anforderungen müssen erfüllt sein, bei der Auswahl des anwendbaren Rechts (Frage 37)?
Klausel 17 der Standardvertragsklauseln sieht eine Vereinbarung zum anwendbaren Recht vor. Die EU-Kommission hält fest, dass für die Module 1, 2 und 3 dies immer das Recht eines der EU-Mitgliedstaaten sein muss. Für das Modul 4 kann dies auch ein Recht eines Nicht EU-Staates sein. Grundsätzlich seien die Klauseln aber vor dem Lichte der DS-GVO auszulegen und auf das vereinbarte nationale Recht für Fragen wie beispielsweise der Fristberechnung zurückgegriffen werden.
- Welche Datenschutzbehörde sollte als zuständig benannt werden (Frage 38)?
Mit dem Abschluss der Standardvertragsklauseln erklärt sich der Datenimporteur (im Drittland) damit einverstanden, sich der Rechtsprechung einer Datenschutzbehörde innerhalb des EWR zu unterwerfen (Klausel 13 der Standardvertragsklauseln).
Wenn der Datenexporteur seinen Sitz im EWR hat, wird die für diesen zuständige Aufsichtsbehörde auch für Fragen in Verbindung mit dem Datentransfer an den Datenimporteur zuständig sein und der Datenimporteur entsprechend zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet sein.
Wenn der Datenexporteur nicht im EWR ansässig ist, aber unmittelbar der DSGVO unterliegt, hängt die Zuständigkeit einer Aufsichtsbehörde davon ab, ob ein Vertreter des Datenexporteurs, entsprechend Art. 27 DS-GVO, in der EU benannt wurde. Ist dies der Fall so ist die für den Vertreter zuständige Aufsichtsbehörde auch für den Datenimporteur im konkreten Fall zuständig.
Wenn kein Vertreter benannt ist, so ist die Datenschutzaufsichtsbehörde zuständig, in dessen Machtbereich die von der Übermittlung betroffene Person ansässig ist.
Handlungsempfehlung
Unternehmen wie bspw. „Google“ und „Microsoft“ haben die neuen Datenschutzklauseln bereits in ihre Nutzungsbedingungen integriert, sodass Kunden nicht von sich aus tätig werden müssen. „Atlassian“ hingegen stellt den Kunden einen Zusatz zum Auftragsverarbeitungsvertrag unter Einbeziehung der aktuellen Standardvertragsklauseln zur Verfügung, welchen die Kunden unterschrieben zurücksenden müssen, damit dieser wirksam wird.
Es wird deswegen dringend empfohlen, Verträge und Vereinbarungen über internationale Datentransfers, die vor dem 27. September 2021 abgeschlossen wurden hinsichtlich der neuen Standardvertragsklauseln zu überprüfen und gegebenenfalls zu aktualisieren.
Bei Unklarheiten lohnt sich auch ein Blick in die Q&A der EU-Kommission, gleichwohl oftmals weiterhin die Unterstützung eines Datenschutzbeauftragten erforderlich werden könnte.
Weiter gilt es zu beachten, dass der Abschluss der Standardvertragsklauseln einen Datentransfer allein nicht legitimieren kann. Erforderlich ist die Durchführung eines dokumentierten Transfer Impact Assesments (s.o.).