Aktualisierung der Standardvertragsklauseln

Wenn man von Standardvertragsklauseln spricht (im Gesetz als „Standardschutzklauseln“ bezeichnet, Art.46 Abs. 2 lit. c DSGVO), geht es um Musterverträge.

Diese Musterverträge sind im Fall von Transfers von personenbezogenen Daten durch „Datenexporteure“ an „Datenimporteure“ in Drittländern, also Ländern außerhalb der EU/EWR, notwendig.

Wenn also beispielsweise Kundendaten auf dem Server eines US-Anbieters gespeichert werden oder US-Anbietern Zugriff auf diese Daten gewährt wird, dann muss mit den US-Anbietern ein Vertrag auf Grundlage der Standardvertragsklauseln geschlossen werden.

Dabei verpflichtet sich die US-Anbieter das EU-Datenschutzniveau bei der Verarbeitung der maßgeblichen Daten einzuhalten.

Die Standardvertragsklauseln sind für Unternehmen derzeit wohl das wichtigste Mittel, um personenbezogene Daten in Länder außerhalb der EU und des EWR zu übermitteln.

Das EU-US Privacy Shield diente in der Vergangenheit für die Datentransfers in die USA als Grundlage solcher Übermittlungen.

Jedoch erklärte der Europäische Gerichtshof (EuGH) mit dem Urteil vom 16. Juli 2020 das EU-US Privacy Shield für ungültig.

Daher können Datenübermittlungen an Dienstleiser aus den USA nicht mehr auf Basis dieses früheren Angemessenheitsbeschlusses erfolgen.

Um heutzutage also einen angemessenen Schutz für personenbezogene Daten sicherstellen zu können, verwenden Unternehmen das vorgefertigte Vertragsmuster der Standardvertragsklausel, welches unverändert eingesetzt werden muss.

Dabei ist zu beachten, dass die Standardvertragsklauseln nicht nur speziell für die Datenübermittlung in die USA konzipiert sind.

Sie können auch für die Übermittlung in alle weiteren Drittländer zum Einsatz kommen, also beispielsweise auch für China, Russland oder Indien.

Am 04.06.2021 hat die EU-Kommission neue Standardvertragsklauseln für den internationalen Datentransfer (auch „Standard Contractual Clouses“, kurz SCC) angenommen und veröffentlicht.

Da die alten Standardvertragsklauseln bereits über 10 Jahre im Einsatz waren, wurden die neuen Klauseln schon lange erwartet.

Aufgrund ihres Alters konnten diese Regelungen weder die Voraussetzung hinsichtlich des Drittstaatenverfahrens der DSGVO noch das bedeutende Schrems II-Urteil vom 16.07.2020 mit einbinden.

Daher war der Drittstaatentransfer problematisch geworden und nicht erst in letzter Zeit von den Aufsichtsbehörden, auch in Deutschland, ins Visier genommen worden.

Neu an der mittlerweile geltenden SCC ist vor allem der Aufbau.

Die verschiedenen Varianten der Datentransfers sind nicht länger auf zwei verschiedene SCC-Muster verteilt, sondern sie finden sich in einem Dokument wieder. Dort werden sie in vier verschiedene „Module“ gegliedert.

Durch die verschiedenen Module soll eine flexible Vertragsgestaltung ermöglicht werden.

Dafür soll das entsprechende Modul gemäß dem Verhältnis der Parteien ausgewählt werden.

Folgende Module sind in den neuen SCC enthalten:

Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen

Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter

Übermittlung von personenbezogenen Daten zwischen zwei Auftagsverarbeitern

Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen

Außerdem inhaltlich neu ist die Pflicht zur Datentransfer-Folgeabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittsaat in der Lage ist, seine Pflichten aus den aktuellen SCC nachzukommen.

Auch neu sind darüber hinaus die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen.

Ferner ist das Informieren der zuständigen Aufsichtsbehörden über diese Anfragen notwendig geworden.

Die Datentransferfolgeabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Die neuen Standardvertragsklauseln wurden am 4. Juni verabschiedet.

Ab dem 27. September 2021 dürfen die alten SCCs nicht mehr für neue Vereinbarungen verwendet werden.

Für „Altfälle“ haben Unternehmen jetzt 18 Monate Zeit, um die neuen Standardvertragsklauseln in bestehende Vereinbarungen einzuarbeiten.

Die Verarbeitung personenbezogener Daten außerhalb der EU wird von der DSGVO verboten, wenn in den so genannten „Drittländern“ kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO).

Dass ein angemessenes Datenschutzniveau vorliegt, kann vor allem in den folgenden Fällen angenommen und geprüft werden:

Derartige Angemessenheitsbeschlüsse existieren beispielsweise für die Schweiz, Andorra, Neuseeland, Argentinien, die Färöer-Inseln, Japan, Guernsey und im Wesentlichen für Kanada, Israel und seit Juni 2021 auch für Großbritannien.

Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln festlegen. Da eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlagen Daten in Drittländer zu transferieren (ähnlich wie bei der Standardschutzklausel) ist diese Alternative eher selten.

Die Standardvertragsklausel verpflichtet den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus. Allerdings erlauben sie Datentransfers nur, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird.

Die Einwilligung der betroffenen Personen sind recht umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (beispielsweise bei Arbeitnehmern, § 26 BDSG) oder fehlender Einwilligung (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.

Ist die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in den USA verschickt wird).

Andere Ausnahmen kann man Art. 49 DSGVO entnehmen. Die Dort aufgeführten Ausnahmen können zwar vorkommen, jedoch nur unter strengen Voraussetzungen.