Datenschutz und Drittlandtransfers – die neuen Standardvertragsklauseln: ein kurzer Überblick!

Die EU-Kommission war in letzter Zeit mit Blick auf den Datenschutz sehr fleißig. Zum einen veröffentlichte sie – wie bereits in einem vorausgehenden Beitrag dargestellt – den Beschluss zur Angemessenheit des Datenschutzniveaus in dem Vereinigten Königreich. Zum anderen tritt zum 27.06.2021 der Durchführungsbeschluss 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates veröffentlicht worden (im Folgenden „der Beschluss“) in Kraft.

Dieser Beitrag soll einen kurzen Überblick zu den neuen Standardvertragsklauseln zum Drittlandtransfer geben und was sich damit ändert:

Zu den Formalitäten

Am 07.06.2021 wurde der Beschluss im Amtsblatt der Europäischen Union veröffentlicht. Gemäß Art. 4 Abs. 1 des Beschlusses tritt dieser am zwanzigsten Tag nach seiner Veröffentlichung in Kraft, also am 27.06.2021. Ab diesem Tag können neue Standardvertragsklauseln verwendet werden, müssen aber nicht. Gemäß Art. 4 Abs. 2 und 3 des Beschlusses, werden die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU (also die „alten“ Standardvertragsklauseln) mit Wirkung vom 27. September 2021 aufgehoben. D.h. theoretisch hätten Unternehmen die Möglichkeit, bis zum 27.09.2021 Verträge entweder auf Grundlage der alten oder der neuen Standardvertragsklauseln zu schließen. Denn gemäß Art. 4 Abs. 4 des Beschlusses bieten die bisherigen Standardvertragsklauseln bis zum 27.12.2022 geeignete Garantien im Sinne des Art. 46 Abs. 1 DSGVO, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. Da die „alten Standardvertragsklauseln“ aber nach dem 27.12.2022 keine Wirkung mehr entfalten und damit auch nicht mehr als Garantien im Sinne des Art. 46 Abs. 1 DSGVO herhalten können, ist zu empfehlen, ab dem 27.06.2021 auf die neuen Standardvertragsklauseln zurückzugreifen.

Was heißt das für die Praxis?

Vom 27.9.2021 bis zum 27.12.2022 läuft die Übergangsfrist, in welcher die alten Standardvertragsklauseln durch die neuen Standardvertragsklauseln ersetzt werden müssen. Werden jedoch bereits früher die Verarbeitungsvorgänge geändert, dann müsse die alten Standardvertragsklauseln direkt durch die neuen ersetzt werden.

15 Monate sind keine lange Zeit, daher ist zu empfehlen, bereits jetzt jegliche Verträge unter Verwendung der alten Standardvertragsklauseln zu sichten und zu beginnen, diese durch die neuen Standardvertragsklauseln zu ersetzen.

Was ist an den neuen Standardvertragsklauseln anders?

Die neuen Standardvertragsklauseln sind modular aufgebaut und unterscheiden sich in einigen wesentlichen Punkten von den alten Standardvertragsklauseln. Die Module sind wie folgt aufgeteilt:

  • MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
  • MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

Der Vorteil dieses modularen Aufbaus ist, dass es nur noch ein Muster für alle Transfer-Möglichkeiten gibt und nicht wie bisher drei verschiedene Muster. Er eröffnet die Möglichkeit, mehrere Konstellationen der Zusammenarbeit – beispielsweise Auftragsverarbeitung und gemeinsame Verantwortlichkeit – in einem Vertragsdokument zu regeln. Natürlich muss dann aber in der Leistungsbeschreibung zwischen den Konstellationen (Modulen) der Zusammenarbeit differenziert werden. Denn in Bezug auf dieselbe Verarbeitung kann nur das eine oder das andere „Modul“ gegeben sein – beispielsweise entweder Auftragsverarbeiter oder gemeinsame Verantwortlichkeit.

Fortschritt bei Auftragsverarbeitungen im Drittland

Für die Auftragsverarbeitung im Drittland erleichtern die neuen Standardvertragsklauseln das Leben erheblich. Denn bisher mussten bei einer Auftragsbearbeitung in einem Drittland sowohl eine Vereinbarung nach Art. 28 DSGVO als auch (die alten) Standardvertragsklauseln nach Art. 46 DSGVO abgeschlossen werden. Die neuen Standardvertragsklauseln erfüllen kraft des Beschlusses gleichzeitig die Anforderung nach Art. 28 DSGVO und nach Art. 46 DSGVO. Ein separater Auftragsverarbeitungsvertrag muss somit nicht mehr abgeschlossen werden.

Umsetzung der Erkenntnisse aus der Schrems II-Entscheidung des EuGH

Für Unternehmen besonders relevant dürfte die aus der Schrems-II-Entscheidung des EuGH (Urt. v. 16.07.2020 (Rs. C-311/18)) sowie die aus den daraus folgenden EDSA-Empfehlungen resultierende Verpflichtung aus Klausel 14 des Beschlusses sein, sich mit dem rechtlichen und tatsächlichen Schutz personenbezogener Daten in dem Drittland, in welches die Daten transferiert werden sollen, auseinanderzusetzen. Das heißt, die Vertragsparteien müssen die Rechtsvorschriften und Gepflogenheiten des jeweiligen Landes beurteilen, die sich auf die Einhaltung der Klauseln auswirken, ihre Beurteilung dokumentieren und die Dokumentation auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.

Hinzu kommt, dass der Datenimporteur gemäß Klausel 15 des Beschlusses in die Pflichte genommen wird, im Falle eines Zugangs von Behörden zu den Daten, den Datenexporteur und, soweit möglich, die betroffenen Personen diesbezüglich zu benachrichtigen und die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen.

Sind damit die Herausforderungen der Schrems II-Entscheidung gelöst?

Dies muss wohl oder übel verneint werden, denn auch die neuen Standardvertragsklauseln vermögen nicht, die rechtlichen Rahmenbedingungen des Drittlandes, in welches der Datentransfer stattfindet, zu beeinflussen oder zu ändern. Dies wurde auch bereits in einer aktuellen Pressemitteilung vom 21.06.2021 der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) deutlich gemacht, in welcher die DSK klarstellt, dass die neuen Standardvertragsklauseln allein die aus der Rechtsprechung des EuGH folgenden Anforderungen ausdrücklich regeln (Klausel 14 des Beschlusses), sich im Übrigen aber an der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen nichts ändert. Weiter heißt es dort wörtlich:

„ […] Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.“

Fazit

Die neuen modularen Standardvertragsklauseln ermöglichen Unternehmen im internationalen Geschäftsverkehr eine flexiblere und übersichtlichere Gestaltung der Grundlagen für einen Datentransfer in Drittländer.

Allerdings erlegen sie den Beteiligten auch ausdrücklich Pflichten zur Prüfung des Schutzes personenbezogener Daten in Bezug auf den Datentransfer auf, einschließlich der Pflicht, ggf. zusätzliche Maßnahmen zum Schutz der Daten in dem Drittland zu ergreifen und nicht zuletzt den gesamten Beurteilungs- und Übermittlungsprozess nebst ergriffenen Maßnahmen zu dokumentieren und kontinuierlich zu beobachten.

Die Herausforderungen des Datentransfers – insbesondere in die USA – sind durch die neuen Standardvertragsklauseln nicht gelöst und sollten nicht auf die leichte Schulter genommen werden. Denn bereits verschiedene Aufsichtsbehörden haben die Überprüfung von Datentransfers in die USA angekündigt, vgl. Pressemitteilung der LfD Niedersachsen.

 

Helke Rheingans
Rechtsanwältin

Helke.Rheingans@derra-b.de