Neue EU-Standardvertragsklauseln für internationale Datentransfers
Die sog. EU-Standardvertragsklauseln stellen das derzeit wohl meistgenutzte Instrument für rechtmäßige Übermittlungen von personenbezogenen Daten in Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraumes (EWR) dar. Mit dem Austritt des Vereinigten Königreichs aus der EU und der aufsehenerregenden Entscheidung des Europäischen Gerichtshofs (EuGH) in Sachen „Schrems II“ (Urt. v. 16. Juli 2020 – C-311/18) wurde ihre Bedeutung weiter gestärkt. Gleichzeitig hat der EuGH in „Schrems II“ strengere Anforderungen an internationale Datentransfers formuliert. Dies hat es erforderlich gemacht, die EU-Standardvertragsklauseln zu ergänzen.
Nun hat die Kommission mit der Entscheidung vom 4. Juni 2021 aktualisierte Standardvertragsklauseln (Standard Contractual Clauses, kurz: „SCC“) verabschiedet, welche die bisher genutzten SCC ablösen. Für international operierende Unternehmen und solche, die Dienste außereuropäischer Service-Provider nutzen, hat dies erhebliche praktische Auswirkungen.
Was ändert sich jetzt?
Wie bisher können auch die neuen SCC als Grundlage für Datentransfers zwischen beliebigen Beteiligten fungieren. Sie bedürfen bei unveränderter Verwendung weiterhin nicht der Genehmigung durch die Aufsichtsbehörde.
Neu an diesen Klauseln sind vor allem erweiterte Pflichten der Parteien und ergänzte, zugunsten der Betroffenen wirkende Rechte. Personen, deren Daten in ein Drittland transferiert werden, können sich auf einige Klauseln unmittelbar gegenüber den am Datenexport beteiligten Parteien berufen. Unternehmen werden sich damit auf entsprechende Anfragen von Betroffenen einstellen müssen. Zudem haften Datenimporteur und Datenexporteur den Betroffenen gegenüber gemäß Klausel 12 für alle materiellen und immateriellen Schäden als Gesamtschuldner.
Die neuen Klauseln gibt es für vier verschiedene Konstellationen:
- Transfer zwischen datenschutzrechtlich Verantwortlichen,
- Transfer von einem datenschutzrechtlich Verantwortlichen zu einem Auftragsverarbeiter,
- NEU: Transfer von einem Auftragsverarbeiter zum Verantwortlichen und
- NEU: Datentransfers zwischen Auftragsverarbeitern.
Vor allem letztere Konstellation ist höchst relevant für fast alle Unternehmen, da sie die Konstellation betreffen, wenn EU-Unternehmen europäische IT-Service Provider einsetzen, die aber ihrerseits auf Non-EU-Leistungen zugreifen. Die bisherigen Standardvertragsklauseln werden mittelfristig ungültig.
„Mit den neuen Standardvertragsklauseln ist endlich klar, dass EU-Unternehmen auch beim Drittlandtransfer nur für die rechtmäßige Weitergabe an den direkten Vertragspartner verantwortlich sind.“
Für die Umstellung gibt es zwei Fristen:
- Bis Anfang September dürfen noch die „alten” SSC abgeschlossen werden. Damit soll sichergestellt werden, dass bei aktuell laufenden Vertragsverhandlungen bereits abgestimmte Vertragstexte nicht umfassend neu verhandelt werden müssen.
- Bereits abgeschlossene SCC müssen bis zum 27. Dezember 2022 durch die neuen SCC ersetzt werden, da die „alten“ SCC ihre Gültigkeit verlieren und infolgedessen keine geeignete, den Drittlandtransfer legitimierende Garantie darstellen.
Unternehmen müssen sich daher in den kommenden Monaten um eine Umstellung von den bisher genutzten SCC auf die neuen SCC bemühen – sowohl konzernintern als auch bei der Inanspruchnahme von Dienstleistern.
Eine gewisse Unklarheit bestand in der Frage, ob bei Verwendung der neuen SCC eine Überprüfung des Datenschutzniveaus im Drittland erforderlich ist und gegebenenfalls weitere Maßnahmen ergriffen werden müssen, sofern im Zielland kein hinreichendes Datenschutzniveau existiert. Der EuGH forderte beim Einsatz der (bisherigen) Standardvertragsklauseln eine Risikoabwägung hinsichtlich der Überwachungsbefugnisse durch Behörden im Zielland. Dieses Risiko lässt sich auch durch die neuen SCC nicht ausschließen. Vielmehr enthält Klausel 14 eine Pflicht, sich davon zu überzeugen, dass der Datenimporteur im Drittland in der Lage ist, seinen Pflichten aus den Klauseln nachzukommen.
„Auch bei den neuen Standardvertragsklauseln es weiterhin erforderlich, eine Risikobewertung zum Zielland des Datentransfers durchzuführen und ggf zusätzliche Maßnahmen zu ergreifen.“
Werden die Anforderungen der Art. 44 ff. DSGVO nicht erfüllt, drohen – wie bisher – Bußgelder von bis zu 20 Mio. EUR bzw. bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Erst am 1. Juni 2021 haben die deutschen Datenschutzaufsichtsbehörden angekündigt, länderübergreifend die Drittlandtransfers und die Umsetzung des „Schrems II“-Urteils in Unternehmen prüfen zu wollen. In diesem Rahmen verlangen die Aufsichtsbehörden, unzulässige Drittlandtransfers auszusetzen, und drohen an, dies auch mit aufsichtsbehördlichen Maßnahmen durchzusetzen.
Eine weitere gute Nachricht aus Brüssel am Rande: Eine Umstellung auf die neuen SCC bei Datentransfers in das Vereinigte Königreich können sich Unternehmen wohl sparen. Die Kommission hat durchblicken lassen, in den nächsten Tagen einen Angemessenheitsbeschluss zugunsten des Vereinigten Königreichs zutreffen.
Was müssen Sie tun?
- Identifikation relevanter Verarbeitungsprozesse:
Identifikation, in welchen Datenverarbeitungsprozessen in Ihrem Unternehmen eigene Gesellschaften, Niederlassungen oder externe Dienstleister (z.B. Service Provider oder Hosting-Anbieter) eingebunden werden (inkl. ihrer Rolle als Auftragsverarbeiter, gemeinsam Verantwortlicher oder selbstständig Verantwortlicher), die sich außerhalb von EU und EWR befinden. - Umstellung auf die neuen Standardvertragsklauseln:
Ersetzung alter Standardvertragsklauseln bzw. Abschluss von neuen Standardvertragsklauseln mit Stellen im Drittland. - Prozess zur Risikobewertung:
Falls nicht vorhanden, Einführung einer Methodik und eines Prozesses, wie das Risiko der Übermittlung in ein Drittland durchgeführt wird, Durchführung des Transfer Impact Assessments sowie Implementierung zusätzlicher Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus (z.B. durch Vereinbarung erweiterter technischer und/oder organisatorischer Maßnahmen).
Soweit im Rahmen des Brexit Standardvertragsklauseln mit UK-Dienstleistern abgeschlossen wurden, bietet es sich an, die weiteren Entwicklungen im Auge zu behalten und diese Standardvertragsklauseln nach einer UK-Angemessenheitsentscheidung der Kommission zu kündigen. - Anpassung bestehender Datenschutzdokumente:
Anpassung der bestehenden Datenschutzdokumente, insbesondere Ihrer Datenschutzinformationen (Art. 13/14 DSGVO) und etwaiger Muster zur Auskunftserteilung nach Art. 15 DSGVO, in denen über etwaige Datentransfers in Drittländer sowie die getroffenen Garantien zum Datenschutz zu informieren ist.
Aktualisierung der Verzeichnisse der Verarbeitungstätigkeiten (Art. 30 DSGVO) bzgl. Datenübermittlungen und Dokumentation der jeweiligen Garantien.
Aktualisierung der Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und der damit einhergehenden Risikoanalyse.
Update 17. August 2022: Die redaktionell falsch genannte Umsetzungsfrist für bereits abgeschlossene SCC wurde in vorstehendem Artikel korrigiert auf den 27. Dezember 2022.