Die EU Kommission hat am 4.6.2021 überarbeitete Standardvertragsklauseln erlassen. Deren deutsche Version finden Sie hier, die englische hier.
Die Veröffentlichung der neuen Standardvertragsklauseln hat unmittelbare Auswirkungen auf die Datenschutzpraxis und zwingt zum Handeln. Auf die Handlungsempfehlungen am Ende des Textes und die Umsetzungsfristen wird verwiesen.
Was sind Standardvertragsklauseln?
Standardvertragsklauseln (englisch Standard Contractual Clauses – SCC) sind Vertragsmuster der EU Kommission, mittels derer sich die Parteien eines solchen Vertrags untereinander, Datenschutz-Aufsichtsbehörden und betroffenen Datensubjekten (die Personen, deren Daten übertragen werden) gegenüber zur Einhaltung von Datenschutzregelungen verpflichten. Diese Datenschutzregelungen formulieren die Standardvertragsklauseln im Einzelnen wie AGB vor. Auf diese Weise sollen Transfers personenbezogener Daten aus der EU / dem EWR in Drittländer ohne – aus Sicht der EU – angemessenes Datenschutzniveau ermöglicht werden: Ist das empfangende Unternehmen (der Datenimporteur) durch die Datenschutzgesetze seines Landes nicht zu der Einhaltung eines europäischen Datenschutzniveaus gezwungen, sollen die Standardvertragsklauseln zwischen Datenimporteur und Datenexporteur (die die Daten übermittelnden Stelle) den Datenimporteur zur Einhaltung von Regelungen verpflichten, die ein europäisches Datenschutzniveau etablieren. Kurz: Die Schwäche des Datenschutzrechts im Empfängerland soll durch eine Vereinbarung zwischen Datenexporteur und Datenimporteur ausgeglichen werden. Den Standardvertragsklauseln.
Beispielsweise verpflichtet sich der Datenimporteur durch Vereinbarung der Standardvertragsklauseln mit dem Datenexporteur, die Verarbeitungsgrundsätze der DSGVO einzuhalten: Abschnitt II der neuen Standardvertragsklauseln verpflichtet den Datenimporteur zur Verarbeitung nur für den zwischen den Parteien genannten Zweck, zur Transparenz, zur Verarbeitung von ausschließlich richtigen Daten, zur Datenminimierung, zur zeitlichen Begrenzung der Speicherdauer und zur Implementierung technischer und organisatorischer Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
Standardvertragsklauseln zählen zum Katalog der Voraussetzungen der Artt. 44 ff DSGVO, unter denen die Übermittlung von personenbezogenen Daten in Drittländer (Länder außerhalb der EU / des EWR) gestattet ist. Wegen der alternativen Legitimationsgründe wird auf einen Beitrag verwiesen. Greift keine der Legitimationen, muss die Übermittlung unterbleiben. Für die Datenübermittlung in Länder, denen die EU ein unangemessen niedriges Datenschutzniveau attestiert – wie insbesondere den USA, halten die Standardvertragsklauseln als praktisch relevantestes Legitimationsmittel her.
Terminologie
Die EU Kommission verwendet den Begriff der „Standardvertragsklauseln“ (etwa im Titel des neuen Vertragsmusters), während die Rechtsgrundlage für dieses Rechtsinstrument, Art 46 Abs. (2) DSGVO, von „Standarddatenschutzklauseln“ spricht. In der Sache bedeutet das allerdings keinen Unterschied.
Was ist neu gegenüber der Altversion?
Die Altversionen der Standardvertragsklauseln stammen aus einer Zeit vor der DSGVO und ihre Anpassung an das seit dem 25. Mai 2018 anzuwendende neue Datenschutzrecht war überfällig. Zuletzt hat auch das Urteil des EuGH in Sachen Schrems II die Kommission zur inhaltlichen Anpassung gezwungen. Klauseln 14 und 15 des Vertragsmusters gehen auf das Urteil zurück.
Die Altversionen der Standardvertragsklauseln stellten 2 Sets an Vertragsmustern zur Verfügung – für den Datenverkehr von Verantwortlichem zu Verantwortlichem (Controller to Controller – C2C) und von Verantwortlichem zum Auftragsverarbeiter (Controller to Processor – C2P). Die aktualisierte Version der Standardvertragsklauseln kommt mit einem einzigen Vertragsmuster aus, das neben den beiden vorgenannten Modellen auch die grenzüberschreitende Datenübermittlung von einem Auftragsverarbeiter zu einem weiteren und von einem Auftragsverarbeiter zu einem Verantwortlichen abdeckt. Diese vier Anwendungsfälle erfordern allerdings verschiedene Inhalte, so dass das Vertragsmuster an mehreren Stellen des Vertrags unterschiedliche Regelungen für die vier Fälle in sogenannten „Modulen“ bereithält.
In Anwendung der fakultativen Klausel 7 kann eine „Einrichtung“, die nicht Partei des Vertrags ist, jederzeit entweder als Datenimporteur oder als Datenexporteur mit Zustimmung der Parteien dem Vertrag „beitreten“.
Für die Module zwei und drei (C2P und P2P) enthalten die Standardvertragsklauseln ferner Regelungen für die Durchführung der Auftragsverarbeitung, wie Klausel 2 Buchstabe b) der Standardvertragsklauseln selbst feststellt. Soweit also der Datenexporteur die Stelle in einem Drittland als Auftragsverarbeiter nutzt, müssen die Parteien nicht zusätzlich noch einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO schließen.
Der neue Vertragstext sieht in Klausel 12 eine Haftungsregelung zwischen den Parteien und zugunsten betroffener Personen vor. Formulierungen zur Beschränkung der Haftung finden sich im Text nicht. Da von den Regelungen der Standardvertragsklauseln nicht abgewichen werden darf, ohne dass ihre Wirkung entfiele, Klausel 2 der Standardvertragsklauseln und Erwägungsgrund 3 des Durchführungsbeschlusses, dürfte die Möglichkeit einer Haftungsbeschränkung auszuschließen sein.
Reicht der Abschluss der neuen Muster für die Datenübermittlung in Drittländer (z.B. USA) aus?
Nein! Und das galt bereits für die alten Standardvertragsklauseln nicht.
Der Datenimporteur – in der Praxis regelmäßig eines der großen US-amerikanischen IT-Unternehmen – musste gemäß Klausel 5 Ziffer a des alten Standardvertragsmusters I garantieren, „dass er seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen …wird.“ Nach dem Verständnis des EuGH in Sachen Schrems II zu den alten Standardvertragsklauseln sind der Verantwortliche und sein Datenempfänger verpflichtet zu überprüfen, ob nationale Gesetze dem Datenimporteur die Erfüllung seiner Vertragspflichten unmöglich machen. Fällt eine solche Prüfung negativ aus, müssen die Parteien zusätzliche Garantien zum Schutz der Daten betroffener Datensubjekte schaffen. Der Europäische Datenschutzausschuss hatte auf das Urteil des EuGH reagiert, indem er Handlungsempfehlungen für den grenzüberschreitenden Datenfluss veröffentlichte. Deren Inhalte finden sich in der aktualisierten Version der Standardvertragsklauseln wieder.
Klausel 14 der neuen Standardvertragsklauseln schreibt ein Transfer Impact Assessment (TIA) vor, das beide Vertragsparteien in die Pflicht nimmt. Die Parteien sichern in Klausel 14 Buchstabe a) zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland das zwischen ihnen vereinbarte Datenschutzniveau torpedieren.
Der Grund ist: Datenexporteur und Datenimporteur mögen sich mittels der Standardvertragsklauseln dazu verpflichten, Regeln zum Schutz personenbezogener Daten einzuhalten. Für Dritte sind die Vereinbarungen nicht bindend. Dritte sind zum Beispiel die Sicherheitsbehörden der US-Administration, Russlands oder Chinas. Für die Rechtslage in den USA hat der EuGH in seinem Schrems II – Urteil – auch angesichts der Snowden-Enthüllungen – bereits festgestellt, dass u.a. die Datengefräßigkeit US-amerikanischer Sicherheitsbehörden ein Grund zu der Annahme ist, dass das durch Standardvertragsklauseln vereinbarte Datenschutzniveau unterlaufen wird und die Übermittlung in die USA ohne die Implementierung zusätzliche Mechanismen nicht rechtmäßig ist. Die Rechtslage ist dann eine andere, wenn ausgeschlossen werden kann, dass die Sicherheitsbehörden Zugriff auf die Daten nehmen.
Klausel 14 legt im Weiteren detailliert fest, welche Aspekte bei Durchführung eines solchen TIA zu berücksichtigen sind und verpflichtet die Parteien zu entsprechender Dokumentation. Ferner muss der Datenimporteur den Datenexporteur bei nachteiligen Rechtsänderungen informieren. Der Datenexporteur wiederum ist verpflichtet, geeignete Maßnahmen zu ergreifen, um „Abhilfe zu schaffen“, wenn der Datenimporteur seinen Pflichten zur Aufrechterhaltung des Datenschutzniveaus aus den Standardvertragsklauseln wegen einer solchen Rechtsänderung nicht mehr nachkommen kann. Notfalls muss er den Datenabfluss unterbrechen.
Klausel 15 verpflichtet den Datenimporteur u.a., sich Behördenanfragen, die dem durch die Standarddatenschutzklauseln geschaffenen Datenschutzniveau entgenlaufen, zu widersetzen. Er muss den Datenexporteur, soweit gestattet, über den Vorgang informieren, die Rechtmäßigkeit der Anfrage selbst untersuchen und Rechtsmittel einlegen.
Ab wann sind die neuen Versionen der Standardvertragsklauseln zu verwenden und genießen bereits abgeschlossene Altverträge Bestandsschutz?
Die alten Muster können für eine Dauer von drei Monaten zuzüglich 20 Tagen ab der Veröffentlichung der neuen Muster im Amtsblatt der EU am 07.Juni 2021 verwendet werden, Art 4 des Durchführungsbeschlusses. Damit will die Kommission sicherstellen, dass aktuelle Verhandlungen nicht auf der Grundlage der neuen Muster von vorn beginnen müssen.
Spätestens mit Ablauf weiterer 15 Monate (also 18 Monate + 20 Tage ab offizieller Veröffentlichung) müssen bestehende Altverträge durch neue Standardvertragsklauseln ausgetauscht werden, Art 4 Abs. (4) des Durchführungsbeschlusses.
Was ist jetzt zu tun?
- Analysieren Sie den Handlungsbedarf. Stellen Sie fest, welche Bestandsverträge durch die neuen Standardvertragsklauseln auszutauschen sind. Ein gut gepflegtes Verzeichnis der Verarbeitungstätigkeiten Ihres Unternehmens kann hier als Werkzeug dienen.
- Erstellen Sie aus den neuen modularen Standardvertragsklauseln Vertragsvorlagen für die vier Anwendungsfälle (s.o. unter „Was ist neu gegenüber der Altversion?“) und laden Sie diese in Ihr Verzeichnis von Musterverträgen.
- Führen Sie Transfer Impact Assessments durch.
- Passen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten an und dokumentieren Sie die TIAs.
Datenschutz / grenzüberschreitender Datenverkehr