Im Juni 2021 hat die Europäische Kommission neue Standarddatenschutzklauseln verabschiedet. Diese neue Rechtslage ist keine Banalität, denn jeder Datentransfer in ein Drittland muss mittels eines „Transfer Impact Assessments“ in den Blick genommen werden.
Die Übermittlung personenbezogener Daten in Drittländer wird in der Praxis häufig auf sog. „Standard Contractual Clauses“ (SCC) genannte Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 der DSGVO gestützt. Ziel dieser Standardvertragsklauseln ist die vertragliche Vereinbarung eines Datenschutzstandards, der dem der Europäischen Union entspricht. Drittländer – zu denen auch die USA gehören – sind alle Länder, in denen die Bestimmungen der DSGVO nicht unmittelbar gelten und zu denen es auch keinen Angemessenheitsbeschluss der Europäischen Kommission gibt. Da diese nur an ihr nationales Datenschutzrecht gebunden sind, welches zumeist ein geringeres Datenschutzniveau sicherstellt, als es in der Europäischen Union vorgesehen ist, werden SCC benötigt.
Der Mustervertrag der SCC wird zwischen dem Verantwortlichen und der Stelle im Ausland abgeschlossen, an welche personenbezogene Daten übermittelt werden sollen.
Wichtige Inhalte der neuen SCC
Standardvertragsklauseln gibt es schon viele Jahre. Das Urteil Schrems II des Europäischen Gerichtshof im Juli 2020 veranlasste die Europäischen Kommission jedoch dazu, die Klauseln zu erneuern. Denn neben der Ungültigkeitserklärung des Angemessenheitsbeschlusses des sog. „EU-US Privacy Shield“ für die Datenübermittlung in die USA hat der EuGH auch die Anforderungen konkretisiert, die für alle Datenübermittlungen in Drittländern gelten.
Anstatt mehrerer Sets an SCC gibt es jetzt nur noch ein Klauselwerk, das modular aufgebaut ist. Beim Abschluss von SCC kann nun für die verschiedenen Anwendungsfälle ein entsprechendes Modul gewählt werden.
In der Klausel 15 wird der Umgang mit Behördenersuchen neu geregelt. Der Datenimporteur verpflichtet sich, ein Auskunftsersuchen nationaler Behörden auf dessen Rechtmäßigkeit zu prüfen und gegebenenfalls gegen das Ersuchen vorzugehen. Soweit es möglich ist, hat sich der Datenimporteur darum zu kümmern, dass der Datenexporteur sowie eventuell betroffene Personen von dem behördlichen Ersuchen informiert werden.
In einer weiteren Änderung schreibt die Klausel 14 vor, dass vor einem Datentransfer in ein Drittland das Rechtsniveau des Datenschutzes dieses Landes im Rahmen eines sog. „Transfer Impact Assessment“ (TIA) zu beurteilen. Entsprechen die rechtlichen Voraussetzungen nicht dem europäischen Datenschutzniveau, sind zusätzlich Maßnahmen zum Schutz personenbezogener Daten zu treffen.
Rahmenbedingungen für die Implementierung der neuen SCC
27. September 2021: Ab diesem Zeitpunkt ist die Verwendung alter SCC nicht mehr zulässig. Verträge dürfen nur noch auf der Grundlage des neuen Musters der SCC abgeschlossen werden.
27. Dezember 2022: Bis zu diesem Zeitpunkt müssen die Verantwortlichen alle bestehenden Verträge auf die neuen SCC umgestellt haben.
Mittlerweile gibt es seitens der deutschen Aufsichtsbehörden vermehrt Stellungnahmen, Handreichungen und Orientierungshilfen. Diese verdeutlichen, dass die Aufsichtsbehörden ein besonderes Augenmerk auf Klauseln legen, die der Umsetzung des Schrems-II-Urteils des EuGH gerecht werden; dies sind die Klauseln 14 und 15 der neuen SCC.
Der Landesbeauftragte für Datenschutz und Informationssicherheit des Landes Baden-Württemberg (LfDI BaWü) wurde in seiner aktualisierten Handreichung vom 01.10.2021 sehr konkret und spricht Klarstellungen und Empfehlungen aus:
- Klausel 15.2 sieht vor die Offenlegung personenbezogener Daten in einem gegenüber den jeweiligen Behörden zu unterlassen, bis die geltenden Verfahrensregeln des Rechtswegs dies erforderlich machen. Der LfDI BaWü stellt klar, dass eine einstweilige gerichtliche Entscheidung nicht ausreicht, sondern dass es einer rechtskräftigen Verurteilung des zuständigen Gerichts im Hauptsacheverfahren bedarf. Diese Klarstellung soll insbes. in Ländern zusätzlich zu Klausel 3 a) aufgenommen werden, in denen ein Zugriff durch staatliche Behörden möglich ist.
- In Ergänzung zum Anhang in Klausel 8.2 soll die Verpflichtung des Datenimporteurs aufgenommen werden, den Betroffenen von der Vergabe des Verarbeitungsauftrages an einen Unterauftragsverarbeiter zu benachrichtigen, soweit dieser dem Datenimporteur bekannt ist.
Weitere Empfehlungen, die ähnlich konkret werden wie die des LfDI BaWü, gibt es nicht. Sowohl auf nationaler Ebene als auch im europäischen Vergleich haben die Aufsichtsbehörden hinsichtlich ihrer Empfehlungen die Marschroute des EDSA eingeschlagen. Dieser hat nach Abschluss der öffentlichen Konsultation im Juni 2021 seine Empfehlungen für ergänzende Schutzmaßnahmen für Datentransfers in Drittländer veröffentlicht. Dabei handelt es sich jedoch nur um eine Überarbeitung der im November 2020 veröffentlichen ersten Fassung der Empfehlungen.
Fazit
Eine fehlende oder unvollständige Implementierung der neuen Standardvertragsklauseln kann durch die zuständigen Aufsichtsbehörden mit Bußgeldern belegt werden. Aus den veröffentlichten Orientierungshilfen lässt sich jedoch herauslesen, dass auch die Aufsichtsbehörden noch dabei sind, die neuen SCC zu bewerten und eine eigene Linie zu formen.
Schon bei der Veröffentlichung der neuen Standardvertragsklauseln war klar, dass sich der Organisationsaufwand bei Vertragsschlüssen erheblich vergrößert. Auch der Bearbeitungsaufwand für Altverträge ist durch die Verpflichtung zur Umstellung auf die neuen SCC mit viel Arbeit verbunden. Nicht nur die Durchführung einer Due Diligence für jeden Datenstrom unter Berücksichtigung eines Transfer Impact Assessments ist zeitaufwendig, auch die Dokumentation, die den Anforderungen von Klausel 14 der neuen SCC entspricht, ist immens aufwändig.
22.12.2021
Photo by Bill Oxford on Unsplash
