07.06.2021
Die Europäische Kommission hat am 4. Juni 2021 die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer verabschiedet. Das bedeutet für datenverarbeitende Unternehmen in Europa ein Mehr an Rechtssicherheit für internationale Datentransfers – jedoch auch einen erneuten Anpassungsbedarf auf dem Gebiet des Datenschutzes.
Sollen personenbezogene Daten in Drittländer außerhalb der EU/des EWR (z.B. an einen Cloud-Dienstleister mit Servern in den USA) übermittelt werden, ist dies gemäß Art. 44 DSGVO nur möglich, wenn dabei ein angemessenes Schutzniveau für die betroffenen Personen sichergestellt ist. Gemäß Art. 46 Abs. 2 lit. c DSGVO gewährleisten die von der Kommission erlassenen Standardvertragsklauseln solche angemessenen Datenschutzgarantien für internationale Datenübermittlungen. Standardvertragsklauseln stellen das am häufigsten verwendete Instrument dar, um einen internationalen Datentransfer zu legitimieren. Insbesondere seit dem Ende des EU-US-Privacy Shield (aufgrund des sog. Schrems II-Urteil des EuGH v. 16. Juli 2020, Az. C-311/18) werden die Standardvertragsklauseln auch im Hinblick auf Datentransfers in die USA als Rechtsgrundlage für die Übermittlung genutzt. Dabei mussten nach dem Schrems II-Urteil jedoch zusätzliche Schutzmaßnahmen vereinbart werden, um ein angemessenes Datenschutzniveau sicherstellen zu können.
Bisher hat die EU-Kommission drei unterschiedliche Sets von Standardvertragsklauseln erlassen. Zwei Sets aus 2001 und 2004 betrafen die Datenübermittlungen im Controller-Controller-Verhältnis, d. h. zwischen einem Verantwortlichen mit Sitz in der EU und einem Verantwortlichen mit einem Sitz in einem Drittland. Daneben wurde 2010 ein Set für die Datenübermittlung im Controller-Processor-Verhältnis erlassen – diese betrafen Datenübermittlungen von Verantwortlichen in der EU zu Auftragsverarbeitern mit Sitz in einem Drittland. Nach dem zwischenzeitlichen Inkrafttreten der DSGVO und der ständigen Weiterentwicklung und zunehmenden Komplexität von Geschäftsmodellen und -prozessen hat die Europäische Kommission die Modernisierung der bestehenden Standardvertragsklauseln vorangetrieben. Die jetzt veröffentlichten Standardvertragsklauseln berücksichtigen nun auch die Vorgaben aus dem Schrems II-Urteil des EuGH.
Die neuen Standardvertragsklauseln für internationale Drittlandtransfers bestehen nun nur noch aus einem Set an Musterklauseln. Sie sind modular aufgebaut und decken verschieden Übermittlungssituationen ab. Sie können daher für Datenübermittlungen zwischen Controller und Controller, Controller und Processor, Processor und Processor sowie Processor und Controller angewendet werden. Darüber hinaus decken die neuen Standardvertragsklauseln nun auch Sachverhalte ab, in denen mehr als zwei Parteien Daten übermitteln oder erhalten sollen. Dies wird insbesondere den formalen Aufwand für Datenübermittlungen in Konzernen vereinfachen. Für die Anwendung der neuen Standardvertragsklauseln bedeutet dies, dass die Parteien nunmehr die passenden Module bei Vertragsschluss auswählen und vereinbaren müssen.
Die neuen Standardvertragsklauseln sehen eine weitere Vereinfachung vor: muss bisher zusätzlich zu den Standardvertragsklauseln z.B. auch ein Auftragsverarbeitungsvertrag geschlossen werden, ist dies mit den neuen Standardvertragsklauseln nicht mehr zwingend notwendig. Denn die neuen Standardvertragsklauseln enthalten grundsätzlich die notwendigen Regelungen für die Auftragsverarbeitung oder für eine gemeinsame Verantwortlichkeit. Der Dokumentationsaufwand soll dadurch reduziert werden.
Als Konsequenz aus dem Schrems-II-Urteil müssen die Parteien der Standardvertragsklauseln vor der Datenübermittlung in ein Drittland zudem eine Risikoeinschätzung durchführen, bei der zu prüfen ist, ob die Regelungen der Standardvertragsklauseln in dem betreffenden Drittland eingehalten werden können. Dabei sollen die spezifischen Umstände des Datentransfers, die Rechtsvorschriften und Gepflogenheiten im Zielland (einschließlich derer, die zu einer Offenlegung personenbezogener Daten gegenüber Behörden führen können), sowie etwaige zusätzliche Schutzmaßnahmen und technisch-organisatorische Maßnahmen einbezogen werden. Die Prüfung ist zu dokumentieren und auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Darüber hinaus treffen den Datenimporteur umfassende Benachrichtigungs-, Prüf- und Anfechtungspflichten im Falle eines Herausgabeverlangens einer Behörde im Zielland.
Darüber hinaus ist der Datenimporteur verpflichtet, mit Unterauftragsverarbeitern eine Drittbegünstigungsklausel zu vereinbaren, wonach der Datenexporteur unter bestimmten Voraussetzungen das Recht hat, den Unterauftrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. Zudem können sich betroffene Personen auf bestimmte Klauseln der Standardvertragsklauseln als Drittbegünstigte berufen und diese gegenüber den Parteien durchsetzen.
Die bisherigen Standardvertragsklauseln werden drei Monate nach Inkrafttreten der neuen Klauseln aufgehoben; der Zeitpunkt des Inkrafttretens hängt dabei von der noch nicht erfolgten Veröffentlichung des Annahmebeschlusses im Amtsblatt der Europäischen Union ab. Bis zu diesem Zeitpunkt gelten die bisherigen Standardvertragsklauseln als geeignete Rechtsgrundlage nach Art. 46 DSGVO. Zudem soll für einen weiteren Zeitraum von 15 Monaten eine Übergangsfrist gelten, in der bereits bestehende Vereinbarungen zu Datenübermittlungen weiter auf Grundlage der bisherigen Standardvertragsklauseln ausgeführt werden können; im Falle relevanter Vertragsänderungen muss jedoch eine Ersetzung der bisherigen mit den neuen Standardvertragsklauseln in dem bestehenden Vertrag erfolgen. Nach diesem Zeitraum müssen jedoch alle Standardvertragsklauseln auf die neuen Versionen umgestellt sein. Danach sind Datenübermittlungen außerhalb der EU/des EWR auf Grundlage der alten Standardvertragsklauseln nicht mehr zulässig und stellen Datenschutzverstöße dar, die Untersagungen der Datenverarbeitung, der Verwendung des jeweiligen Dienstleister oder seiner Anwendungen bis hin zu Bußgeldern zur Folge haben können.
Unternehmen müssen ihre datenschutzrechtlichen Vereinbarungen damit zwar nicht in einem Hauruck-Verfahren anpassen, für neue Vertragsabschlüsse oder Vertragsänderungen sind aber die neuen Standardvertragsklauseln nach ihrem Inkrafttreten bereits zu vereinbaren. Allerdings sollte der Änderungsaufwand nicht unterschätzt werden: Für die Vornahme der entsprechenden Vertragsänderungen müssen Datenschutzniveaus der Zielländer geprüft, Vertragspartner angeschrieben und ggf. zusätzliche Sicherheitsmaßnahmen verhandelt werden. Vor allem in größeren Unternehmen bzw. Unternehmensgruppen sollte daher umgehend mit der Ersetzung der bestehenden Standardvertragsklausen begonnen werden, um die Umsetzungsfrist einhalten zu können.
Ein Problem bleibt aber bestehen: Absolute Rechtssicherheit für Unternehmen in der EU bieten auch die neuen Standardvertragsklauseln nicht. Denn die Anforderungen an internationale Datentransfers, die sich aus dem Schrems II-Urteil ergeben, erfordern eine eingehende Prüfung des Datenschutzniveaus im Einzelfall. Somit müssen Verantwortliche weiterhin für jede Datenübermittlung in ein Drittland ermitteln, ob und unter Vereinbarung welcher Sicherheitsmaßnahmen ein angemessenes Datenschutzniveau hergestellt werden kann und solche ggf. zusätzlich zu den neuen Standardvertragsklauseln vereinbaren. Es bleibt abzuwarten, wie sich die europäischen Datenschutzaufsichtsbehörden hierzu äußern.
Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686
Franziska Neugebauer
Senior Associate
Köln
franziska.neugebauer@luther-lawfirm.com
+49 221 9937 25790