Am 7. Juni 2021 veröffentlichte die EU-Kommission die finale Fassung der neuen Standarddatenschutzklauseln für Übermittlungen personenbezogener Daten in ein Drittland.
Hintergrund
Die neuen Standarddatenschutzklauseln sorgen für mehr Rechtssicherheit, nach dem das EU-US-Privacy-Shield durch den Europäischen Gerichtshofes für rechtswidrig erklärt wurde. Für Unternehmen kommen durch die neuen Standarddatenschutz-klauseln auch einige Änderungen zu.
Dass eine neue Fassung der Standarddatenschutzklauseln eigentlich schon längst überfällig ist, wird dadurch ersichtlich, dass die bisher gebräuchlichen Klauseln aus den Jahren 2001, 2004 und 2010 stammen und damit gar nicht allen Anforderungen der Datenschutz Grundverordnung („DSGVO“) entsprechen können. Diese ist schließlich erst im Mai 2018 in Kraft getreten.
Wozu Standarddatenschutzklauseln?
Relevant werden die Standarddatenschutzklauseln dann, wenn personenbezogene Daten aus der EU in ein Drittland übermittelt werden (also einem Land außerhalb der EU/EWR). Problematisch an dieser Stelle ist, dass die Datenschutzgesetze in den Drittländern (z.B. USA) oft erheblich geringere datenschutzrechtliche Schutzstandards aufweisen als innerhalb der EU. Bei den Standarddatenschutzklauseln handelt es sich um ein von der EU-Kommission erstelltes Vertragsmuster (gem. Art. 46 Abs. 2 lit. c DSGVO), die genau so einen Datentransfer regeln sollen.
Die Standarddatenschutzklauseln werden also eingesetzt, um eine Brücke zwischen unseren Datenschutzstandards und derer Drittländern zu bauen. Die Klauseln sollen gewährleisten, dass die Daten der EU-Bürger auch in Drittländern gleichwertigem EU-Datenschutz unterliegen.
Während das EU-US-Privacy-Shield vom EuGH (Schrems-II Urteil (Rechtssache C-311/18) für ungültig erklärt wurde – da nach Auffassung des Gerichts der Privacy-Shield den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang einräume und somit Eingriffe in die Grundrechte der betroffenen Personen einräume. Der Beschluss beinhaltete auch die Aufforderung, die Standardvertragsklauseln auf den aktuellen Stand der DSGVO zu bringen. Berücksichtigt sollten ferner die Entwicklungen der vergangenen Jahre in der digitalen Wirtschaft sowie die zunehmende Komplexität der Verarbeitungsvorgänge.
Zu den in Frage stehenden Drittländern gehört vor allem die USA. Daher ist das Update im Grunde von nahezu allen Unternehmen zu beachten, da vor allem US-Dienstleister wie z.B. Microsoft, Google, Twitter, Facebook, Amazon und Co. betroffen sind.
Was hat sich an den Standarddatenschutzklauseln geändert?
Die nun von der Kommission verabschiedeten neuen Standarddatenschutzklauseln sehen eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vor. Die neuen Standartvertragsklauseln sind in Modulen aufgebaut und können in folgenden Konstellationen eingesetzt werden:
- Verantwortlicher an Verantwortlichen (Modul 1)
- Verantwortlicher an Auftragsverarbeiter (Modul 2)
- Auftragsverarbeiter an (Unter-)Auftragsverarbeiter (Modul 3)
Hierin ist eine wesentliche Erneuerung der Standarddatenschutzklauseln normiert, denn erstmals können diese auch in Konstellationen zwischen zwei Auftragsverarbeitern eingesetzt werden. - Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland (Modul 4)
Auch dies ist eine neue Konstellation. Es werden Fälle abgedeckt, in denen ein Unternehmen aus einem Drittland einen Auftragsverarbeiter in der EU beauftragt, personenbezogene Daten, die der DSGVO nicht unterfallen (z.B. Daten von US-Bürgern), zu verarbeiten.
Neu ist auch, dass Haftungsklauseln ergänzt wurden. So sehen die neuen Standarddatenschutzklauseln z.B. vor, dass eine Haftung der Parteien für Pflichtverletzungen nicht nur gegenüber den betroffenen Personen erfolgen soll, sondern auch im Verhältnis zueinander. Ferner darf die Haftung der Vertragsparteien grundsätzlich nicht durch externe Haftungsausschlüsse in AGB eingeschränkt wird. Bezüglich der AGB gilt zudem, dass die Standarddatenschutzklauseln Vorrang haben und widersprechende Vertrags- oder AGB-Klauseln verdrängen
Die neuen Standarddatenschutzklauseln enthalten zudem sogenannte „docking clauses“. Diese ermöglichen eine Mehrparteienbasis, so dass unkompliziert der Beitritt weiterer Parteien zu den Standarddatenschutzklauseln ermöglichet werden kann.
Ein großer Vorteil der neuen Standarddatenschutzklauseln besteht auch darin, dass der zusätzliche Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO nun entbehrlich wird. Die neuen Standarddatenschutzklauseln entsprechen nämlich zugleich den Anforderungen an einen solchen Vertrag. Dies gilt nicht für Modul 4.
Die Vertragsparteien können nach Abschnitt IV, Klauseln 17 und 18 das anwendbare Recht und den Gerichtsstand wählen. Dies gilt allerdings nur innerhalb der EU. D.h. es kann z.B. die Geltung des deutschen Rechts festgelegt werden, auch wenn die Standarddatenschutzklauseln von einem Tochterunternehmen in Spanien geschlossen werden.
Der Beschluss mit den neuen Standarddatenschutzklauseln wurde am 7. Juni 2021 veröffentlicht und ist am 27. Juni 2021 in Kraft getreten. Die neuen Standarddatenschutzklauseln können ab diesem Tag verwendet werden, sind aber spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 ist auch eine Umstellung alter Verträge auf die neuen Standarddatenschutzklauseln zu erfolgen.
Im Falle von behördlichen Informationsersuchen im Drittland muss sich der Datenimporteur dagegen zur Wehr setzen und den Datenexporteur sowie betroffene Personen darüber informieren.
Es werden zusätzlich dritte Personen in die Schutzwirkung bestimmter Standarddatenschutzklauseln einbezogen (z.B. Nutzer oder Kunden von Unternehmen).
Die Datentransfer-Folgenabschätzung
Innerhalb der neuen Standarddatenschutzklauseln wurde ein sogenanntes „Transfer Impact Assessment eingefügt, welches eine Datentransfer Folgenabschätzung darstellt. Diese sind für die Unternehmer mit die aufwendigsten Bestimmungen in den neuen Standarddatenschutzklauseln. Damit wurde insbesondere dem Schrems-II Urteil Rechnung getragen. Die Unternehmen sind nun in der Pflicht nachzuweisen, dass der Vertragspartner angesichts der rechtlichen Situation im Drittland auch in der Lage ist, seine in den Klauseln genannten Pflichten, zu erfüllen. Dazu gehört insbesondere die Sicherstellung, dass die vertraglichen Regelungen zum Schutz vor unverhältnismäßigen Behördenzugriffen eingehalten werden. Die Risikoeinschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen. Sollte eine Datenübertragung nachträglich von den Standards abweichen, so ist der Datenimporteur verpflichtet, dies dem Datenexporteur mitzuteilen. Die Datenübermittlung ist dann sofort einzustellen, es sei denn die Aufsichtsbehörde erlaubt ihre Fortsetzung.
Mit den neuen Standarddatenschutzklauseln wurden diese endlich dem aktuellen Stand der DSGVO angepasst. Mit den neuen Anforderungen wurde ein großer Schritt in Richtung sicherer Datentransfer in Drittländer getan. Nach wie vor unsicher stellt sich der Datentransfer aber dann, wenn die Sicherheitsbehörden eines Drittlandes in unverhältnismäßiger Weise auf die übermittelten Daten zugreifen. Hier wird wohl noch weiter Handlungsbedarf und interstaatliche Kooperation erfolgen müssen.