In Compact

Hannover, 20.05.2022 | Am 04. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln (Standard Contractual Clauses, kurz SCCs) für internationale Datentransfers herausgegeben.[1] Die neuen SCCs stellen eine Anpassung an die 2018 in Kraft getretene Datenschutzgrundverordnung dar. Seit 27. September 2021 dürfen neue Datenübermittlungsverträge  und Vertragsänderungen nur noch unter Verwendung der neuen SCCs geschlossen werden. Bis zum 27. Dezember 2022 müssen alle Altverträge auf die neuen SCCs umgestellt werden. Die alten SCCs, die noch auf der Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 beruhten und bis zu 17 Jahre alt waren, wurden ersetzt. Bei Weiterverwendung der alten SCCs kann die Datenübermittlung untersagt und ein Bußgeld verhängt werden.

Durch die neuen SCCs erhofft sich die Kommission mehr Rechtsicherheit und Flexibilität bei Datenübermittlungen in Drittländer. Für die Parteien wird die Datenübermittlung allerdings auch komplizierter.

[1] Die neuen SCCs sind abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

Die neuen Standardvertragsklauseln der EU

Antonia Herfurth, Rechtsanwältin in München und Hannover

Überblick

Die Verarbeitung personenbezogener Daten muss sich stets auf eine Rechtsgrundlage stützen, beispielsweise auf die Einwilligung der betroffenen Person. Werden personenbezogene Daten ins EU-Ausland (Drittland) übermittelt, bedarf dies einer weiteren Rechtsgrundlage. Überschreiten Daten die Grenzen innerhalb der EU, ist die Übermittlung stets zulässig, denn es gilt das Datenschutzniveau der DSGVO. Grenzüberschreitende Übermittlungen in Drittländer, in denen nicht die DSGVO gilt, über die die Kommission aber einen Angemessenheitsbeschluss getroffen hat, sind ebenfalls zulässig. Denn sie besitzen laut Kommission ein angemessenes Datenschutzniveau, vergleichbar mit dem der DSGVO, und gelten als „sichere Drittländer“ (z.B. Kanada, Japan, UK). Drittländer, für die kein Angemessenheitsbeschluss vorliegt, werden als „unsichere Drittländer“ eingestuft. Die Übermittlung personenbezogener Daten ist nur zulässig, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorgesehen hat, hierunter fallen SCCs. SCCs sind Vertragsmuster, die von der Kommission genehmigt wurden.

 

Aufbau

Die neuen SCCs für die Übermittlung personenbezogener Daten in Drittländer bestehen aus einem Dokument, das modular aufgebaut ist. Die insgesamt vier Module erfassen unterschiedliche Übermittlungskonstellationen. Abschnitt I der SCCs (u.a. Zweck und Anwendungsbereich, Wirkung und Unabänderbarkeit der Klauseln), Abschnitt III („Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“) und Abschnitt IV („Schlussbestimmungen“) gelten im Wesentlichen für alle Module. Die neuen SCCs beinhalten unter anderem Klauseln zur Haftung, zum anwendbaren Recht und zum Gerichtsstand.

Während die alten SCCs lediglich zwei Konstellationen abbildeten, erfassen die neuen SCCs folgende Datenübermittlungskonstellationen:

Modul 1: C2C

Modul 1 deckt die Datenübermittlung von einem Verantwortlichen in der EU an einen Verantwortlichen in einem Drittland ab (Controller to Controller). Bereits die alten SCCs haben diese Konstellation erfasst.

Modul 2: C2P

Modul 2 deckt die Datenübermittlung von einem Verantwortlichen in der EU an einen Auftragsverarbeiter in einem Drittland ab (Controller to Processor). Auch diese Konstellation wurde von den alten SCCs erfasst. Allerdings haben die neuen SCCs den Vorteil, dass Verantwortliche mit Auftragsverarbeitern in einem Drittland keine gesonderte Auftragsverarbeitungsvereinbarung mehr abschließen müssen. Gemäß Artikel 28 DSGVO darf die Verarbeitung von Daten durch einen Auftragsverarbeiter nur auf Basis einer (Auftragsverarbeitungs-)Vereinbarung erfolgen. Modul 2 deckt diese Anforderung nun mit ab.

Modul 3: P2P

Modul 3 erfasst die Konstellation, dass ein Auftragsverarbeiter in der EU, Daten an einen (Unter-)Auftragsverarbeiter in einem Drittland übermittelt (Processor to Processor). Auftragsverarbeiter in der EU können also Subdienstleister außerhalb der EU einsetzen. Diese Konstellation wurde neu eingeführt. Wollte ein Auftragsverarbeiter einen Unterauftragsverarbeiter unter den alten SCCs einsetzen, war es notwendig, dass der Verantwortliche selbst SCCs mit dem Unterauftragsverarbeiter abschließt. Der Auftragsverarbeiter konnte nicht selbstständig einen Unterauftragsverarbeiter einsetzen, obwohl zwischen ihm und dem Verantwortlichen eine Auftragsverarbeitungsvereinbarung bestand. Dies hat sich nun geändert. Modul 3 ähnelt Modul 2, mit der Folge, dass Parteien keine gesonderte (Unter-)Auftragsverarbeitungsvereinbarung mehr abschließen müssen. Hierdurch verringert sich der organisatorische Aufwand für den Verantwortlichen.

Modul 4: P2C

Die Parteienkonstellation unter Modul 4 ist ebenfalls neu und deckt die Daten(rück)übermittlung von einem Auftragsverarbeiter in der EU an einen Verantwortlichen in einem Drittland ab (Processor to Controller). Anders als Modul 2 und 3 erfüllt Modul 4 die Anforderung des Artikel 28 DSGVO nicht, sprich es müssen gesonderte Auftragsverarbeitungsvereinbarungen abgeschlossen werden.

Einzelne Fragestellungen zu diesem Modul sowie dessen Relevanz für die Praxis werden diskutiert. Beispielsweise haben manche Datenschutzexperten angemerkt, dass es sich „merkwürdig“ anfühle, dass der Auftragsverarbeiter den Weisungen eines Verantwortlichen unterliegt, der in einem Drittland sitzt, in dem die DSGVO nicht anwendbar ist.

 

Verwendung

Die SCCs können als individueller Vertrag geschlossen werden oder als Bestandteil eines umfangreichen Vertrags. Wie bereits die alten SCCs, dürfen sie nicht verändert werden. Werden die SCCs verändert, sind sie unwirksam. Insbesondere als Bestandteil eines umfangreichen Vertrags dürfen keine weiteren Klauseln aufgenommen werden, die den SCCs widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Person beeinträchtigen. Widersprechen Vertrags- oder AGB-Klauseln den SCCs, haben die SCCs Vorrang. Allerdings müssen die SCCs an manchen Stellen ergänzt werden. In Artikel 17 müssen die Parteien angeben, das Recht welchen Mitgliedstaates auf die SCCs Anwendung finden soll, zudem können die Parteien bei Modul 3 zwischen zwei Optionen wählen. In Artikel 18 muss angegeben werden, welches mitgliedstaatliche Gericht zuständig sein soll. Ferner ist der Anhang mit Informationen über die Vertragsparteien, einer Beschreibung der Datenübermittlung usw. auszufüllen.

Artikel 7 führt eine fakultative Kopplungsklausel neu ein. Danach kann eine Einrichtung, die nicht Partei der SCCs ist, diesen jederzeit mit Zustimmung der Vertragsparteien beitreten. Der Beitritt erfolgt durch Ausfüllen der Anlage und Unterzeichnung des Anhangs I.A. des Durchführungsbeschlusses (EU) 2021/914, mit dem die neuen SCCs eingeführt wurden. Die Kopplungsklausel ermöglicht den beschleunigten Beitritt Dritter, sprich mehr Flexibilität.

 

Neu eingeführte Pflichten

Infolge des Schrems II-Urteils des EuGH aus dem Jahr 2020 führen die SCCs neue Pflichten für Datenexporteure und Datenimporteure ein. „Datenexporteur“ bezeichnet die Person, Behörde, Agentur und sonstige Stelle in der EU, die personenbezogene Daten übermittelt. „Datenimporteur“ bezeichnet die Einrichtung in einem Drittland, die personenbezogene Daten erhält.

Verpflichtende Daten-Transfer-Folgenabschätzung

Die neuen SCCs verpflichten Datenexporteure und -importeure, zu überprüfen, ob das Drittland ein der DSGVO entsprechendes Datenschutzniveau besitzt. Zusätzlich kann berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass Drittlandsbehörden auf die Daten zugreifen. Diese sog. Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment, kurz TIA) muss für jede einzelne Datenübermittlung vorgenommen werden. Besitzt das Drittland kein entsprechendes Datenschutzniveau, muss der Datenexporteur versuchen dieses Niveau durch zusätzliche technische Sicherheitsmaßnahmen zu erreichen. Da sowohl die Bewertung von Drittländern als auch die Ermittlung geeigneter zusätzlicher Maßnahmen komplex ist, hat der Europäische Datenschutzausschuss (EDSA) am 18. Juni 2021 Empfehlungen verabschiedet, die beide Parteien in sechs Schritten dabei unterstützen soll.[1] Führen lokale Vorschriften und Gepflogenheiten dazu, dass die SCCs endgültig nicht eingehalten werden können, darf der Datenexporteur personenbezogene Daten nicht in das Drittland übermitteln. Die SCCs überbrücken diesen Missstand nicht.

Datenimporteure müssen dem Datenexporteur für die Bewertung sachdienliche Informationen zur Verfügung stellen. Haben sie Grund zur Annahme, dass sich das Schutzniveau ändert, müssen sie die Datenexporteure unverzüglich benachrichtigen.

Pflichten zur Sicherung des Schutzniveaus

Hat der Datenexporteur Grund zur Annahme, dass der Datenimporteur im Drittland das Datenschutzniveau nicht mehr einhalten kann, hat er dem unverzüglich abzuhelfen. Hierzu muss der Datenexporteur geeignete Maßnahmen ergreifen, beispielsweise technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit, sog. TOMs. Der EDSA hat in Anhang 2 seiner Empfehlung konkrete Beispiele für geeignete TOMs aufgeführt. Kann das Datenschutzniveau dennoch nicht gehalten werden, muss der Datenexporteur die Datenübermittlung aussetzen. In diesem Fall ist er berechtigt, den Datenübermittlungsvertrag zu kündigen.

Dem Datenimporteur obliegt eine Benachrichtigungspflicht, wenn eine Behörde ihn um die Offenlegung personenbezogener Daten ersucht. Ist dem Datenimporteur die Benachrichtigung an den Datenexporteur, und gegebenenfalls die betroffene Person, aufgrund von Vorschriften des Drittlandes untersagt, hat er sich um die Aufhebung des Benachrichtigungsverbots zu bemühen. Zudem soll der Datenimporteur die Rechtmäßigkeit des behördlichen Offenlegungsersuchens prüfen und gegebenenfalls anfechten.

Umfangreiche Dokumentationspflichten

Sowohl den Datenexporteur als auch den Datenimporteur treffen umfangreiche Dokumentationspflichten. So muss die Daten-Transfer-Folgenabschätzung und sämtliche Unterlagen um behördliche Ersuchen zur Offenlegung personenbezogener Daten dokumentiert werden. Die Informationen müssen der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung gestellt werden.

 

Datentransfers in die USA, China und Brasilien

Aktuell sind Datenübermittlungen in die USA, China und Brasilien nur aufgrund von SCCs zulässig. Nachdem der EuGH sowohl das Safe-Harbor-Abkommen als auch das Privacy Shield für nichtig erklärt hat, streben die EU und die USA aber ein neues Abkommen für Datenübermittlungen an. Brasilien und China haben neue Datenschutzgesetze erlassen, die 2020 bzw. 2021 in Kraft getreten sind. Obgleich beide Gesetze ein starkes Datenschutzniveau etablieren sollen, betrachtet die EU beide Länder weiterhin als unsichere Drittländer. Die Datenschutzgesetze können aber bei der Daten-Transfer-Folgenabschätzung berücksichtigt werden.

Handlungsempfehlung

Neue Verträge dürfen nur noch unter Verwendung der neuen SCCs geschlossen werden, Altverträge müssen bis zum 27. Dezember 2022 umgestellt werden. Die folgenden Schritte sind empfehlenswert, um sicherzustellen, dass Datenübermittlungen in Drittländer weiterhin DSGVO-konform sind. Die Schritte sollten frühestmöglich umgesetzt werden, da sie mitunter äußerst zeitaufwendig sind:

  1. Ermittlung bestehender Verträge und Umstellung auf neue SCCs.
  2. Abschluss neuer Verträge nur unter Verwendung neuer SCCs.
  3. Prüfung der Rechtslage und -praxis des Drittlandes, sprich Vornahme einer Daten-Transfer-Folgenabschätzung. Ohne Sicherstellung eines DSGVO-entsprechenden Datenschutzniveaus keine Drittlandsübermittlung.
  4. Dokumentation von Korrespondenz, Maßnahmen, Abwägungen usw.

[1] Die Empfehlungen des EDSA sind abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en (nur auf Englisch).

Sprechen Sie uns an!

Tel: +49 511-30756-0
Oder schreiben Sie uns:

    * Pflichtfeld

    Ich erkläre mich mit der Übertragung meiner Daten über ein gesichertes Formular einverstanden.*