Am 04. Juni 2021 hat die Europäische Kommission die überarbeiteten Standardvertragsklauseln verabschiedet. Nach dem sogenannten „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Darüber hinaus sind nach Urteil des EuGH ergänzend zu diesen im Rahmen eines Drittlandtransfers weitere geeignete Garantien zu treffen, welche ein adäquates Datenschutzniveau gewährleisten können. Dies sorgte in den vergangenen Monaten insbesondere im Rahmen der Inanspruchnahme US-amerikanischer Dienstleister verbreitet für erhebliche Rechtsunsicherheiten. Die neuen Standardvertragsklauseln sollen hierbei unter Berücksichtigung der Anforderungen des EuGH-Urteils „unkomplizierte“ Abhilfe schaffen. Doch ist dem wirklich so?
WAS SIND STANDARDVERTRAGSKLAUSELN?
Im Falle einer Übermittlung personenbezogener Daten an ein datenschutzrechtliches Drittland – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) – oder an internationale Organisationen, richtet sich die Rechtmäßigkeit der Verarbeitung neben den allgemeinen Grundsätzen ebenfalls nach den besonderen Bestimmungen des Kapitel V der Datenschutz-Grundverordnung (DS-GVO). Die Übermittlung kann nach diesem Kapitel unter anderem dann zulässig sein, sofern geeignete Garantien nach Art. 46 DS-GVO vorliegen. Hierzu gehören gemäß Art. 46 Abs. 2 lit. c DS-GVO die sogenannten Standarddatenschutzklauseln, auch Standardvertragsklauseln genannt. Diese werden in einem Prüfverfahren durch die Europäische Kommission erlassen.
Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Als gängiges Beispiel ist hierbei die Gewährleistung der Verschlüsselung personenbezogener Daten zu nennen.
In der Praxis stieß die Anforderung an weitere geeignete Garantien auf allgemeine Verunsicherung, solche lassen sich nur sehr schwer oder kaum umsetzen. Zu Teilen ist gänzlich unklar, ob und wie ein rechtskonformer Einsatz von entsprechenden Dienstleistern erfolgen kann. Doch die neuen Standardvertragsklauseln sollen genau an diesem Punkt ansetzen, sodass ein „höchstmögliches Niveau an Rechtssicherheit“ erreicht werden kann.
WAS BEINHALTEN DIE NEUEN STANDARDVERTRAGKLAUSELN?
Mit Veröffentlichung der neuen Standardvertragsklauseln durch die Europäische Kommission, treten diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914 der Kommission). Neben den Standardvertragsklauseln für Datenübermittlungen an Drittländer wurde ebenfalls eine Version für Datenübermittlungen innerhalb der EU und des EWR bereitgestellt. Die Nutzung dieser bietet sich beispielsweise an, wenn sowohl Verantwortlicher als auch Auftragsverarbeiter auf den Abschluss eines „neutralen“ Vertrages zur Auftragsverarbeitung bestehen (vgl. Erwägungsgrund 81 Satz 4 zur DS-GVO).
Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.
Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils des EuGH gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation hinsichtlich der beteiligten Akteure, der Art und Sensibilität der zu verarbeitenden personenbezogenen Daten, der jeweiligen rechtlichen Rahmenbedingungen im Drittland sowie die diesbezüglich getroffenen vertraglichen, technischen oder organisatorischen Garantien, vorzunehmen. Zu letztgenannten Punkt sind die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu „Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus von personenbezogenen Daten“ vom 10. November 2020 lesenswert. Derartige Garantien müssen grundsätzlich geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.
Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den bzw. die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.
Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können.
WIE KANN EINE UMSETZUNG ERFOLGEN?
Im Rahmen von neuen Vertragsschlüssen dürfen die bisherigen Standardvertragsklauseln nur noch bis September 2021 verwendet werden (vgl. Art. 4 Abs. 2, 3 des Durchführungsbeschluss 2021/914 der Kommission). Bis Dezember 2022 sind darüber hinaus in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen (vgl. Art. 4 Abs. 4 des Durchführungsbeschluss 2021/914 der Kommission). Für verantwortliche Stellen ergibt sich somit eine maximale Umsetzungsfrist von 18 Monaten. Hierbei empfehlen wir folgendes Vorgehen:
– Evaluierung eingesetzter Dienstleister mit Bezug zu einem Drittland. Dieser kann bereits dann gegeben sein, wenn es sich bei dem Dienstleister um ein Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens handelt;
– Durchführung einer Risikoabschätzung für den jeweiligen Einzelfall unter Beachtung der oben aufgeführten Kriterien. Fällt diese positiv aus, kann ein Abschluss der neuen Standardvertragsklauseln erfolgen;
– Auswahl der erforderlichen Module sowie gegebenenfalls Ergänzung von vertraglichen Regelungen und Zusendung der Standardvertragsklauseln an den Dienstleister im Drittland zur Unterzeichnung.
ÜBERPRÜFUNG DURCH AUFSICHTSBEHÖRDEN
Auch wenn den verantwortlichen Stellen eine Übergangsfrist von 18 Monaten gewährt wird, empfiehlt sich die zeitnahe Anwendung der neuen Standardvertragsklauseln unter Durchführung des dargestellten Verfahrens. Eine Vielzahl datenschutzrechtlicher Aufsichtsbehörden überprüfen derzeit bundesländerübergreifend bei verantwortlichen Stellen die Gewährleistung einer rechtskonformen Übermittlung personenbezogener Daten in Drittländer. Hierbei werden insbesondere die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil sowie hinsichtlich der oben genannten empfohlenen Maßnahmen des EDSA überprüft.
FAZIT
Zusammenfassend lässt sich festhalten, dass die neuen Standardvertragsklauseln das in den letzten Monaten bereits etablierte Vorgehen im Zusammenhang mit einem Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern aufgreift und in einen (zunächst) rechtssicheren Rahmen packt. Der bisherige Aufwand wird hierdurch jedoch keinesfalls reduziert, die Verpflichtung zur Erstellung einer umfangreichen Dokumentation verbleibt. Unklar bleibt jedoch, für welchen Zeitraum die neuen Standardvertragsklauseln tatsächlich Rechtssicherheit bringen. Die Organisation noyb des Gründers Max Schrems äußerte sich hierzu bereits teilweise kritisch.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
