Am 04. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln veröffentlicht. Sie sind auch häufig unter dem kurzen Begriff SCC (nach dem englischen Begriff Standard Contractual Clauses) bekannt. Mit unseren FAQ zu dieser Veröffentlichung finden Sie die wichtigsten Neuigkeiten dazu im Überblick. Mit unserer Schritt-für-Schritt-Anleitung erfahren Sie, wie Sie die neuen Standardvertragsklauseln in der Praxis umsetzen.
Was sind die Standardvertragsklauseln?
Gemäß der europäischen Datenschutz-Grundverordnung (DS-GVO) sind Übermittlungen von Daten nur innerhalb des Geltungsbereichs der DS-GVO ohne weiteres möglich. Bei der Übertragung von Daten in sogenannte Drittländer müssen bestimmte Bedingungen erfüllt sein, damit der Transfer in Einklang mit der DS-GVO erfolgt. Mit der Einbindung der sogenannten Standardvertragsklauseln können die Vertragsparteien so die Übermittlung in Drittländer legitimieren. Die Europäische Kommission hat die Standardvertragsklauseln erlassen. Organisationen können diese ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen in Drittländer und an internationale Organisationen nutzen, wenn sie sie unverändert in die zugrunde liegenden Verträge einbinden.
Wann benötige ich die Standardvertragsklauseln?
Auf Grundlage der Standardvertragsklauseln können Sie Datenübermittlungen in Bereiche außerhalb des EWR vornehmen, denen keine andere rechtliche Übermittlungsbasis zugrunde liegt. Liegt kein Angemessenheitsbeschluss für das entsprechende Land vor, in das die Daten übermittelt werden, ist der Abschluss von Standardvertragsklauseln in den meisten Fällen die einfachste Möglichkeit, die Drittlandübermittlung rechtlich abzusichern.
Warum gibt es neue Standardvertragsklauseln?
Die neue Fassung dieser Klauseln wird schon länger erwartet. Die Vorversion stammt noch aus den Jahren 2010 und 2001. Damit stammen die Formulierungen aus der Zeit weit vor Einführung der DS-GVO. Datenschutz-Verbände wie der BvD fordern schon länger, dass die Europäische Kommission die Standardvertragsklauseln überarbeitet und an aktuelle Erfordernisse anpasst. Insbesondere seit dem sogenannten ‚Schrems II‘-Urteil des EuGHs letztes Jahr im Juli das ‚Privacy Shield‘ als Grundlage für Datentransfers in die USA weggefallen ist. Die neue Formulierung der Klauseln berücksichtigt nicht nur das genannte Gerichtsurteil. Sie ist auch bezüglich des Wortlautes und des Inhalts an die DS-GVO angepasst.
Was müssen Organisationen nun tun bzw. umsetzen?
Jede Organisation, bzw. ganz allgemein jeder Verantwortliche und Auftragsverarbeiter muss überprüfen, ob Verträge mit Kunden oder Dienstleistern im Einsatz sind, die Standardvertragsklauseln zur Absicherung von internationalen Datentransfers einbinden. Ist dies der Fall, so müssen sie alle betroffenen Verträge fristgerecht auf geeignete Weise erneuern. In diesem Zug empfiehlt es sich, alle Dienstleistungs- und Kundenverhältnisse daraufhin zu überprüfen, ob Datenübermittlungen in Drittländer stattfinden. Sofern es bislang keine legitime Übermittlungsgrundlage gibt, sollte die Möglichkeit der Einbindung der neuen Standardvertragsklauseln überprüft werden.
Wie schnell sind abgeschlossene Verträge zu aktualisieren?
Laut dem Durchführungsbeschluss der Kommission akzeptiert diese die bisherigen Standardvertragsklauseln bei bereits abgeschlossenen Verträgen bis zum 27.12.2022 als geeignete Garantie für Datenübermittlungen. Dies gilt allerdings nur, wenn das Vertragsverhältnis im Wesentlichen unverändert bestehen bleibt und weitere geeignete Garantien nachgewiesen werden können, wie z.B. eine Ende-zu Ende-Verschlüsselung der Daten. Spätestens ab dem 28.12.2022 benötigen Sie eine andere geeignete Grundlage für Datenübermittlungen in Drittländer wie z.B. die neuen Standardvertragsklauseln.
Was gilt für laufende Vertragsverhandlungen?
Bei bereits laufenden Vertragsverhandlungen können die Vertragspartner bei Verträgen, die sie vor dem 27.09.2021 wirksam abschließen noch die bisherigen Standardvertragsklauseln von 2010 einbinden. Dabei müssen sie beachten, dass das Vertragsverhältnis auch in diesem Fall die ab dem 27.12.2022 die neuen Standardvertragsklauseln erfordert.
Für Verträge aus der Übergangszeit bis zum 27.09.2021 ist wichtig, dass die Vertragsparteien klar festlegen, welche Fassung der Standardvertragsklauseln sie meinen, da sie in der Übergangszeit beide Varianten einsetzen können.
Sind internationale Datentransfers nun endlich wieder rechtssicher möglich?
Mit den neuen SCC sind Drittlandübermittlungen zumindest rechtssicherer. Eine absolute Garantie können auch neue Formulierungen nicht bieten, da das Grundproblem aus dem ‚Schrems II‘-Urteil weiter besteht. Zum Vergleich:
Die bisherige Regelung
Meist bestand die häufig empfohlene ‚Best Practice‘ daraus, dass Auftraggeber ihre Auftragnehmer daraufhin überprüfen, ob aufgrund gesetzlicher Regelungen konkrete Anzeichen vorliegen, dass das Datenschutzniveau beeinträchtigt ist. Namentlich könnten das z.B. Regelungen des Cloud Act sein. Dieser verpflichtet US-Unternehmen dazu, auf Anforderung auch Daten in europäischen Rechenzentren an US-Behörden herauszugeben. Kommen die Dienstleister bei der Überprüfung zur Erkenntnis, dass aufgrund von amerikanischem Recht das europäische Datenschutzniveau nicht garantieren können, ist eine Zusammenarbeit nur mit sogenannten zusätzlichen geeigneten Garantien möglich. Eine Verschlüsselung der Daten, bei der nur der Verantwortliche im Besitz des Schlüssels ist kann z.B. eine solche geeignete Garantie sein.
Die neue Regelung
Die neuen Standardvertragsklauseln sehen vor, dass die bisherige Regelung im Wesentlichen bestehen bleibt. Zusätzlich verlangt die Klausel Nr. 14 der SCC die Dokumentation einer sogenannten Datentransfer-Folgenabschätzung. Diese Abschätzung soll folgendes berücksichtigen:
- die besonderen Umstände der Übermittlung, namentlich:
- die Länge der Verarbeitungskette
- die Anzahl der beteiligten Akteure (diese Anzahl kann von der Länge der Verarbeitungskette abweichen, falls z.B. ein Akteur mehrfach in die Verarbeitungskette involviert ist)
- die verwendeten Übertragungskanäle
- beabsichtigte Datenweiterleitungen
- die Art des Empfängers
- den Zweck der Verarbeitung
- die Kategorien und das Format der übermittelten personenbezogenen Daten
- den Wirtschaftszweig, in dem die Übertragung erfolgt
- den Speicherort der übermittelten Daten
- relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungslandes einschließlich einer möglicherweise vorgeschriebenen Offenlegung von Daten gegenüber Behörden, außerdem geltende Beschränkungen und Garantien,
- sämtliche relevanten technischen oder organisatorischen Maßnahmen (TOM), die diese Klauseln gemäß Anhang II der SCC ergänzen,
- darüber hinaus müssen alle Vertragsparteien zusichern, dass sie in der Lage sind, die vereinbarten Klauseln umzusetzen. Die Vertragspartei im außereuropäischen Ausland muss dabei dem EU-Partner zusichern, dass sie sämtliche Informationen zur Verfügung stellt, damit dieser eine Datentransfer-Folgenabschätzung durchführen kann.
Organisationen müssen diese Folgenabschätzung dokumentieren und den Aufsichtsbehörden auf Anfrage vorlegen. Vor dem Hintergrund der jüngsten Ankündigung der Aufsichtsbehörden, dass sie länderübergreifend Datenübermittlungen durch Organisationen und Unternehmen in Staaten außerhalb der Europäischen Union überprüfen wollen, sollte sie diese Abschätzung rechtzeitig und sorgfältig durchführen.
Welche Verbesserungen bieten die neuen Standardvertragsklauseln?
Die neuen Standardvertragsklauseln beinhalten durch die Anpassung an die DS-GVO sämtliche Anforderungen an eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO. Dies bedeutet, dass mit dem Abschluss der SCC unter Einsatz des korrekten Moduls der Abschluss einer zusätzlichen Vereinbarung nicht mehr notwendig ist. In diesem Fall gilt Modul 2 oder 3, je nachdem ob Sie selbst Verantwortlicher oder Auftragsverarbeiter sind.
Vereinfacht haben die neuen SCC außerdem, dass Sie nicht darauf achten müssen, ob mit zusätzlichen Vereinbarungen die SCC unwirksam werden. Mit der enthaltenen Klausel 5 ist festgelegt, dass im Falle eines Widerspruchs zwischen anderen Vereinbarungen und den Standardvertragsklauseln die SCC Vorrang haben.
Welche Nachteile bringen die neuen Standardvertragsklauseln mit sich?
Abgesehen davon macht die neu hinzugekommene verpflichtende Datentransfer-Folgenabschätzung den Großteil der Abschlüsse von Standardvertragsklauseln leider tendenziell komplizierter.
Wie funktioniert der modulare Aufbau der neuen Standardvertragsklauseln?
Bisher gab es für unterschiedliche Übermittlungsszenarien auch unterschiedliche Standardvertragsklauseln: Sog. Set 1 und Set 2 für Übermittlungen zwischen Verantwortlichen und eine dritte Variante für Übermittlungen zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Die neuen SCC gelten für alle vorstellbaren Übermittlungskonstellationen und sind nach dem Baukasten-Prinzip modular aufgebaut:
- Modul 1: Übermittlung von Verantwortlichen an Verantwortliche. Dieses Modul ersetzt die bisherigen Standardvertragsklauseln (Set 1) von 2001 (2001/497/EG).
- Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter. Dieser Anwendungsfall war bisher durch die Kommissionsentscheidung 2010/87/EU (2016 aktualisiert) abgedeckt.
- Modul 3: Übermittlung von Auftragsverarbeitern an (Unter)Auftragsverarbeiter. Dieser Anwendungsfall ist neu. Er wurde lang erwartet, da Organisationen in der Praxis häufig Daten an Auftragsverarbeiter innerhalb der EU übermitteln, die dann allerdings über den Auftragsverarbeiter des Auftragsverarbeiters (auch Unterauftragsverarbeiter genannt) in Drittländern wie z.B. den USA verarbeitet werden.
- Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche. Auch dieses Übermittlungsszenario findet erst seit den neuen Standardvertragsklauseln Berücksichtigung. Sie gilt, wenn ein Auftragsverarbeiter mit Sitz in der EU personenbezogene Daten mit einem Verantwortlichen mit Sitz in einem Drittland austauscht.
In der Praxis verwenden Sie je nach Übermittlungsszenario alle jeweils anwendbaren Textbausteine aus den Standardvertragsklauseln. Bitte achten Sie dabei unbedingt darauf, dass die Texte vollständig sind und inhaltlich nicht verändert werden, da die Klauseln sonst unwirksam sein können.
Was ist die von uns empfohlene Vorgehensweise für Organisationen und Verantwortliche?
1. Bei laufenden oder anstehenden Vertragsverhandlungen bis 27.09.2021
a) Ist das Vertragsverhältnis nur kurzfristig angelegt und die Verträge schon so gut wie ausgehandelt, empfiehlt es sich, noch die ‚alten‘ Standardvertragsklauseln zu verwenden. Bitte behalten Sie hierbei im Blick, dass Sie die Verträge bis zum 27.12.2022 aktualisieren müssen, wenn Sie bis dahin in diesem Rahmen immer noch personenbezogene Daten übermitteln.
b) Wenn die Vertragsverhandlungen erst am Anfang stehen und Sie recht sicher sind, dass die Geschäftsbeziehung langfristig ausgelegt ist, sollten Sie für eine höhere Rechtssicherheit die Einbindung der neuen SCC in Betracht ziehen. Dies hat zusätzlich den Vorteil, dass Sie die Verträge nicht gegen Ende nächsten Jahres bereits wieder erneuern müssen.
2. Überprüfung der Dienstleistungsverhältnisse bis 27.12.2022
Überprüfen Sie sämtliche Vertragsverhältnisse rechtzeitig daraufhin, ob sie die bisher gültigen Standardvertragsklauseln enthalten. Bis zum 27.12.2022 ist in dem Fall eine Erneuerung fällig. Sie sollten rechtzeitig mit der Prüfung beginnen und aufgrund der Datentransfer-Folgenabschätzung genügend Zeit für die Erneuerung einplanen. Sie sind nicht ganz sicher sein, ob Sie alle Übermittlungen von personenbezogenen Daten in Drittländer auf eine rechtlich stabile Basis gestellt haben? Dann empfehlen wir, das in diesem Zuge gleich mit zu erledigen.
3. Aufbereitung der Standardvertragsklauseln für Ihre Bedürfnisse
Bereiten Sie die Standardvertragsklauseln je nach benötigtem Modul und erforderlichen Ergänzungen für die benötigten Anwendungsfälle vor. Wichtig ist hier, dass die Standardvertragsklauseln nur je nach erforderlichem Modul zugeschnitten und ggf. auf geeignete Weise ergänzt werden dürfen. Wird der Wortlaut der Klauseln an sich verändert, besteht ein sehr hohes Risiko, dass sie damit als unwirksam betrachtet werden.
4. Prozess für die Datentransfer-Folgenabschätzung etablieren
Führen Sie einen standardisierten Prozess für die Durchführung der Datentransfer-Folgenabschätzung ein. So können Sie diese Dokumentation möglichst schnell und rechtssicher durchführen.
5. Beobachten der weiteren Entwicklung
Da die Erstellung einer Datentransfer-Folgenabschätzung noch Neuland ist, werden die Aufsichtsbehörden vermutlich in den nächsten Monaten noch Hinweise dazu herausgeben, wie diese geforderte Beurteilung auszusehen hat. Um sich weder zu viel Arbeit zu machen, noch mit einer nicht ausreichenden Beurteilung eine nicht legitimierte Übermittlung zu riskieren, empfehlen wir, die die Reaktionen der Aufsichtsbehörden dazu im Blick zu behalten.
Fazit
Gehören Sie zu den zahlreichen Organisationen, die zur Legitimation von Drittlandübermittlungen Standardvertragsklauseln abgeschlossen haben? Wir empfehlen Ihnen die Vertragsverhältnisse zwischen dem 27.09.2021 und dem 27.12.2022 nach und nach auf die neuen Standardvertragsklauseln umzustellen. Sie können dies z.B. im Rahmen Ihrer routinemäßigen Auftragskontrolle angehen. Bei Anbahnung von Verträgen, die Standardvertragsklauseln beinhalten, empfehlen wir eindeutig festzulegen, welche Version der Standardvertragsklauseln Sie vereinbaren.
Sie haben weitere Fragen zum Einsatz der neuen Standarddatenschutzklauseln? Sie benötigen weitere Unterstützung bei der Absicherung von Drittlandübermittlungen oder Beratung zur künftig notwendigen Datentransfer-Folgenabschätzung? Kontaktieren Sie uns gerne, wir freuen uns darauf, gemeinsam mit Ihnen Datenschutz besser zu machen!
Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.
Hilfreicher Link:
Durchführungsbeschluss der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
Autor: Mareike Fischer, 14.06.2021
Bildquelle: Bild von Gino Crescoli auf Pixabay