Neue Standardvertragsklauseln der Kommission
Seit der EuGH das EU-US Privacy Shield im Juli 2020 für nichtig erklärte, bilden die Standardvertragsklauseln der Europäischen Kommission in der Praxis die wesentliche Grundlage für die Zusammenarbeit mit Dienstleistern und Partnern außerhalb der EU. Diese wurden nun grundlegend reformiert und sind spätestens ab dem 27. September 2021 in der neuen Form einzusetzen. Wir stellen die wichtigsten Änderungen und den hieraus resultierenden Handlungsbedarf zusammenfassend dar.
Hintergrund
Die DSGVO schützt personenbezogene Daten von EU-Bürgern auch außerhalb ihres Geltungsbereichs. So dürfen personenbezogene Daten nur dann in Länder außerhalb des Geltungsbereichs der DSGVO (sogenannte Drittländer) übermittelt werden, wenn in diesen Drittländern ein mit der DSGVO vergleichbares, angemessenes Datenschutzniveau gewährleistet ist. Für eine Reihe von Ländern, wie zuletzt auch das Vereinigte Königreich, ist das Datenschutzniveau durch einen Angemessenheitsbeschluss der Kommission positiv festgestellt. Für die meisten Länder existiert aber kein solcher Angemessenheitsbeschluss. Dies gilt auch für die USA, seit der EuGH das seit 2016 geltende EU-US Privacy Shield im Jahr 2020 für nichtig erklärte (Urt. v. 16.07.2020 – C311/18 – Schrems II). Als Alternative rückte damit insbesondere die Möglichkeit in den Fokus, ein angemessenes Datenschutzniveau durch Vereinbarung der Standardvertragsklauseln der Europäischen Kommission (auch Standarddatenschutzklauseln genannt) sicherzustellen.
Eben diese Standardvertragsklauseln überarbeitete nun die Europäische Kommission grundlegend und beschloss sie am 4. Juni 2021 in ihrer neuen Form (Durchführungsbeschluss (EU) 2021/914). Die erneuerten Standardvertragsklauseln sind ab dem 27. September 2021 auf alle Neuvereinbarungen anzuwenden. Für bis dahin begründete Rechtsverhältnisse bleiben die alten Standardvertragsklauseln für weitere 15 Monate anwendbar. Spätestens zum 27. Dezember 2022 müssen jedoch sämtliche Datentransfers in Drittstaaten auf die neuen Standardvertragsklauseln oder ein alternatives Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus umgestellt sein.
Modulares Baukastenprinzip für unterschiedliche Konstellationen
Um die unterschiedlichen Konstellationen internationaler Datentransfers abzudecken, setzen die neuen Standardvertragsklauseln auf ein modulares Baukastenprinzip anstelle der bisherigen Sets unterschiedlicher Dokumente. Dies führt einerseits zu einer erhöhten Flexibilität, zumal nunmehr auch Datentransfers zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern und zwischen Auftragsverarbeitern und Verantwortlichen zusätzlich abgedeckt sind. Andererseits gewinnt die Anwendung der Standardvertragsklauseln damit an Komplexität, zumal es bei dem Grundsatz bleibt, dass die Klauseln nur dann als geeignete Garantie zur Sicherstellung eines angemessenen Datenschutzniveaus gelten, wenn sie im Wesentlichen unverändert genutzt werden.
Muster-Auftragsverarbeitungsvereinbarung inklusive
Neben der Garantie eines angemessenen Datenschutzniveaus dienen die neuen Standardvertragsklauseln in Auftragsverarbeitungskonstellationen ausdrücklich auch der Erfüllung der Pflichten nach Art. 28 Abs. 3 und Abs. 4 DSGVO zum Abschluss einer ordnungsgemäßen Auftragsverarbeitungsvereinbarung. Sie sind damit gleichzeitig Muster-Auftragsverarbeitungsvereinbarung. Zu diesem Zweck beschloss die Europäische Kommission zu den Klauseln für Drittstaatentransfers auch separate Mustervertragsklauseln, die in Auftragsverarbeitungskonstellationen im Inland verwendet werden können (Durchführungsbeschluss (EU) 2021/915). Da die Verwendung dieser Klauseln nicht zwingend ist, bleibt abzuwarten, ob sie sich in der Praxis im Vergleich zu den zahlreichen frei verfügbaren Musterklauseln durchsetzen werden.
Neue Prüf- und Dokumentationspflichten zur Umsetzung von Schrems II
Die neuen Standardvertragsklauseln sind an unterschiedlichen Stellen erkennbar darauf ausgerichtet, die durch den EuGH in Schrems II aufgezeigten Risiken im Rahmen von Drittstaatentransfers im Hinblick auf den Zugriff auf Daten durch öffentliche Stellen zu begegnen. Allerdings lösen sie nicht die hieraus für die Anwender entstehende praktische Problematik. So fordert der EuGH von den Anwendern der Standardvertragsklauseln explizit eine Prüfung der im Empfängerland geltenden gesetzlichen Vorgaben daraufhin, ob es dem Datenempfänger überhaupt möglich ist, die Vorgaben der Standardvertragsklauseln zu erfüllen. Lassen diese Vorschriften, wie in den USA, einen aus Sicht des EuGH nicht mit den europäischen Standards vereinbaren Zugriff durch öffentliche Stellen zu, sind durch die Parteien zusätzliche organisatorische und technische Maßnahmen zu treffen, um diesen Risiken wirksam zu begegnen.
Die neuen Standardvertragsklauseln manifestieren diese Prüfpflicht, indem den Vertragsparteien eine vorherige Folgenabschätzung auferlegt wird, deren Ergebnis zu dokumentieren ist und in deren Folge beide Parteien versichern müssen, dass keine Bedenken an der Möglichkeit zur Einhaltung der europäischen Datenschutzstandards bestehen. Die Klauseln enthalten auch Pflichten des Datenempfängers zur Mitteilung über Anfragen öffentlicher Stellen und zur Ausschöpfung des Rechtswegs, wo eine solche untersagt ist.
Ausblick und Handlungsempfehlung
Die neuen Standardvertragsklauseln fügen sich zweifellos besser in die Regelungssystematik der DSGVO ein und bieten mit ihrer erhöhten Flexibilität und der vertraglichen Einbeziehung der Vorgaben des EuGH aus Schrems II auch praktische Vorteile. Die vertraglich manifestierte Folgenabschätzung im Hinblick auf die im Empfängerland geltenden gesetzlichen Vorgaben erscheint zunächst als Verschärfung, setzt aber letztlich nur die ohnehin geltende Rechtslage um. Tatsächlich könnte die unmittelbare Einbindung in die Standardvertragsklauseln die praktische Bereitschaft von Drittstaaten-Dienstleistern erhöhen, an einer entsprechenden Prüfung und der Abhilfe erkannter Risiken durch technische und organisatorische Maßnahmen mitzuwirken.
Solange auf politischer Ebene keine echte Alternative zur Vereinbarung der Standardvertragsklauseln geschaffen wird, führt im Rahmen der Zusammenarbeit mit Dienstleistern in Drittstaaten, wie den USA, kein Weg an den neuen Klauseln vorbei. Die aktuelle Bedeutung und Brisanz der Thematik zeigen auch jüngste Maßnahmen der deutschen Aufsichtsbehörden, die im Juli 2021 in einer koordinierten Schwerpunktprüfung deutschlandweit Fragebögen betreffend den Umgang mit Drittstaatentransfers nach Schrems II an Unternehmen versendet haben. Entsprechende Prüfungen sind insbesondere im zeitlichen Zusammenhang mit den Umstellungsfristen für die Verwendung der neuen Standardvertragsklauseln zum 27. September 2021 und 27. Dezember 2022 zu erwarten.
Vor diesem Hintergrund sollten alle in der EU ansässigen Unternehmen vorbereitet sein, wobei folgende Maßnahmen für eine praktikable Umsetzung der rechtlichen Vorgaben empfehlenswert erscheinen:
- Durchführung eines internen Screenings auf Prozesse, die einen Transfer von Daten in Drittstaaten, wie die USA, beinhalten (z.B. im Rahmen von Website-Tracking, Softwaretools etc.);
- Prüfung geeigneter Alternativanbieter mit Sitz innerhalb der Europäischen Union;
- Vorbereitung verschiedener Fassungen der Standardvertragsklauseln nach den eigenen Bedürfnissen;
- Vorbereitung eines standardisierten Prozesses für die Folgenabschätzung zu Drittstaatentransfers und eines Kataloges geeigneter, technischer und organisatorischer Maßnahmen zur Reduzierung erkannter Risiken;
- Laufende Dokumentation und Überprüfung der getroffenen Maßnahmen, als Nachweis zur Vorlage bei der Datenschutzaufsicht.
Bei Fragen zu den neuen Standardvertragsklauseln oder allgemein zur Thematik Drittstaatentransfer sprechen Sie uns jederzeit gerne an.