Das Entsetzen und der Aufschrei vieler Branchen war groß, als der EuGH mit seiner „Schrems II“-Entscheidung das EU/US-Privacy-Shield für unwirksam erklärt und damit Datentransfers in die USA den datenschutzrechtlichen Boden entzogen hat. Um datenschutzkonform zu bleiben, stellt sich für Unternehmen zwangsläufig die Frage nach alternativen Garantien, auf die ein Transfer gestützt werden kann. In diesem Zusammenhang hatte der EuGH sich schon in den Urteilsgründen zu Schrems II damit auseinandergesetzt, ob Datenübertragungen in Drittstaaten bzw. in die USA – als nunmehr „neuem“ Drittstaat – zukünftig auf Grundlage anderer in der DSGVO benannter Instrumente rechtskonform durchgeführt werde können. Einen neuen Angemessenheitsbeschluss i.S.d. Privacy-Shields gibt es bislang ungeachtet entsprechender Bemühungen auf zwischenstaatlicher Ebene nicht.

Als Rettungsanker blieb daher für viele Unternehmen als ausreichende Garantie der Abschluss sogenannter EU-Standardvertragsklauseln. Die bislang gültigen Vertragswerke erachtete der EuGH aber gleichfalls in der seinerzeitigen Form als nicht ausreichend, um ein angemessenes Datenschutzniveau bei Datentransfers in die USA zu garantieren. Dabei stützte er seine Argumentation hauptsächlich auf die weitreichenden Zugriffsbefugnisse US-amerikanischer Geheimdienste und das Fehlen geeigneter Rechtsschutzinstrumente hiergegen. Es seien zusätzliche Schutzmaßnahmen zu ergreifen und die Standardvertragsklauseln insoweit zu modifizieren.

Die europäische Kommission war deshalb zum Handeln aufgerufen und nach einer ersten Ankündigung im Herbst 2020, wurden die neuen EU-Standardvertragsklauseln am 4.Juni 2021 (DCO berichtete: Neue EU-Standardvertragsklauseln beschlossen !) beschlossen. Dies berücksichtigen bereits die Vorgaben des EuGH aus der Schrems-Entscheidung. Die Überarbeitung ist allerdings nicht nur vor dem Hintergrund des EuGH-Urteils zu begrüßen, sondern auch, weil die bisherigen Texte vor Geltung der DSGVO verfasst worden waren und deshalb nicht alle möglichen Transferkonstellationen abbilden konnten. Inhaltlich brandneu sind auch Regelungen, nach denen die Haftung nach den Standardvertragsklauseln nicht durch AGB beschränkt werden kann.

Ab wann gelten die neuen Standardvertragsklauseln?

Am 27. Juni 2021, 20 Tage nach der Veröffentlichung im Amtsblatt der EU, traten die neuen Standardvertragsklauseln in Kraft. Für eine Übergangsfrist von drei Monaten ab Inkrafttreten dürfen Unternehmen die bisherigen Standardvertragsklauseln vereinbaren, um laufende Vertragsverhandlungen nicht zu beeinträchtigen. Diese Frist endet aber in Kürze am 27. September 2021. Ab diesem Zeitpunkt dürfen nur noch die neuen Standardvertragsklauseln abgeschlossen werden. Bereits abgeschlossene Altverträge müssen bis zum 27. Dezember 2022 auf die neuen Standardvertragsklauseln umgestellt werden.

Aufbau der Standardvertragsklauseln für Datentransfers in Drittstaaten

Diese Standardvertragsklauseln folgen jetzt einem modularen Aufbau, sodass für jeden Datentransfer zunächst genau zu ermitteln ist, in welcher datenschutzrechtlichen Rolle die Beteiligten stehen. Zu unterscheiden sind vier Module:

  • Verantwortlicher zu Verantwortlicher („Controller-to-Controller“)
  • Verantwortlicher zu Auftragsverarbeiter („Controller-to-Processor“)
  • Auftragsverarbeiter zu (Unter-)Auftragsverarbeiter („Processor-to-Processor“)
  • Auftragsverarbeiter zu Verantwortlichem („Processor-to-Controller“)

Praxisrelevant sind dabei vor allem die ersten drei Fälle. Es ist dabei genau darauf zu achten, die richtigen Module auszuwählen. Der Wortlaut der Klauseln darf nicht verändert werden.

Bei Datentransfers in unsichere Drittstaaten: Durchführung einer Risikofolgenabschätzung (Transfer-Impact-Assessment („TIA“))

Bei Datentransfers in unsichere Drittstaaten ist zudem eine sogenannte Risikofolgenabschätzung verpflichtend vorgeschrieben, die durch beide Parteien anzustellen ist. Die Parteien müssen mit dem Abschluss der Standardvertragsklauseln zusichern, dass sie keinen Grund zu der Annahme haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten des Bestimmungslandes den Datenimporteur an der Erfüllung seiner Pflichten aus den Standardvertragsklauseln hindern.

Zu berücksichtigen sind bei dieser Abschätzung die besonderen Umstände der Übermittlung im konkreten Fall: Das sind u.a. die Länge der Verarbeitungskette, die Anzahl der beteiligten Akteure, die Kategorien der übermittelten personenbezogenen Daten, der Zweck der Verarbeitung und der Speicherort.

Daneben ist eine Bewertung der relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungslandes erforderlich, insbesondere soweit diese die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Behörden Zugang zu diesen Daten gestatten.

Zuletzt sind die ergriffenen vertraglichen, technischen und organisatorischen Schutzmaßnahmen zu überprüfen. Diese müssen die Garantien aus den Standardvertragsklauseln absichern und während der Übertragung sowie im Bestimmungsland angewendet werden. Bestimmte technische Maßnahmen, wie etwa die Speicherung von personenbezogenen Daten in Rechenzentren der EU oder eine Ende-zu-Ende-Verschlüsselung können das Ergebnis der Risikofolgenabschätzung positiv beeinflussen. Auch vertragliche, möglichst verbindliche Zusicherungen des Drittlandempfängers, z.B. keine Daten ohne Vorprüfung an Behörden herauszugeben, können dazu geeignet sein.

Fällt die Abschätzung negativ aus, müssen zusätzliche Maßnahmen ergriffen werden oder ein Alternativdienst in Betracht gezogen werden.

Aufgrund dieser sehr tiefgehenden Prüfung und der Pflicht, diese zu dokumentieren, ist eine Zusammenarbeit mit dem Vertragspartner unerlässlich. Daneben dürfte die Hinzuziehung Ihres Datenschutzbeauftragten erforderlich sein, um eine rechtskonforme Risikoabschätzung und deren Dokumentation sicherzustellen. Auch, wenn die Umsetzungsfrist für Altverträge noch in weiter Ferne zu liegen scheint, empfiehlt es sich, hiermit nicht zu lange zu warten. Denn gerade bei (internationalen) Vertragsverhandlungen ist ein Jahr schnell vergangen und die Aufsichtsbehörden verschiedener deutscher Bundesländer haben bereits damit begonnen, Fragebögen zur Selbstauskunft zu dieser Thematik an Unternehmen zu versenden.

Fazit:

Die Verabschiedung der neunen EU-Standardvertragsklauseln ist für Unternehmen gleichermaßen Chance und Verpflichtung. Chance, da die neuen Standardvertragsklauseln die Möglichkeit bieten, bei innereuropäischen Datentransfers zwischen Verantwortlichen und Auftragsverarbeitern die Funktion der bisher erforderlichen Auftragsverarbeitungsverträge zu übernehmen. Verpflichtung, da Datentransfers, die auf den alten Standardvertragsklauseln basieren, bis zum 27. Dezember 2022 auf die neuen Standardvertragsklauseln umgestellt werden müssen, um rechtskonform zu agieren.

Zudem muss berücksichtigt werden, dass bei Datentransfers in Drittstaaten nach den neuen Standardvertragsklauseln stets eine Abschätzung des Risikos der Beeinträchtigung der nach der DSGVO garantierten Datenschutzrechten Betroffener zu erfolgen hat. Die Risikoeinschätzung richtet sich u.a. nach der Art der personenbezogenen Daten, dem Umfang der Verarbeitung, den Gesetzen und Gepflogenheiten des Bestimmungslandes, die den Garantien der Standardvertragsklausen entgegenstehen und den gegen diese Beeinträchtigungen ergriffenen vertraglichen, technischen und organisatorischen Garantien der Vertragsparteien.

Haben Sie Fragen rund um das Thema EU-Standardvertragsklauseln oder benötigen Sie bei der Umsetzung Unterstützung. Wir stehen Ihnen jederzeit zur Verfügung.