Nach Schrems II: Neue EU-Standardvertragsklauseln (SCC) treten in Kraft

Hintergrund:

Der Austausch von personenbezogenen Daten mit Dienstleistern, Geschäftspartnern oder verbundenen Unternehmen in einem Land außerhalb des Europäischen Wirtschaftsraums (EWR) gehört mittlerweile zur Praxis in vielen Unternehmen. Im letzten Jahr hatte der Europäische Gerichtshof das EU-US-Privacy Shield (welches bislang als Grundlage für Datenübermittlungen in die USA diente) mit sofortiger Wirkung für unwirksam erklärt (EuGH C-311/18 – „Schrems II“). Im Fokus stehen seither einmal mehr die sog. EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DS-GVO) („SCC“) als Instrument für den internationalen Datentransfer.

Vor dem Hintergrund des Schrems-II-Verfahrens und immer komplexer werdender internationaler Verarbeitungsketten hat die EU-Kommission am 04.06.2021 neue SCC veröffentlicht. Sie treten am 27.06.2021 in Kraft. Mit einer Übergangsfrist von drei Monaten können die bisherigen SCC weiter vereinbart werden. Bis zum 27.12.2022 müssen alle alten SCC ersetzt werden, sonst entfällt die Grundlage für den Datentransfer.

Neuerungen:

Die Klauseln sehen einen modularen Ansatz vor. Sie erlauben es, verschiedene Konstellationen mit mehreren Vertragsparteien abzubilden, und finden immer Anwendung, wenn personenbezogene Daten an einen Empfänger in einem Drittland (Datenimporteur) übermittelt werden, für den die DS-GVO nicht unmittelbar gilt. Das schließt auch die Übermittlung durch Unternehmen in einem Drittland ein, auf die aufgrund ihrer Tätigkeit die DS-GVO Anwendung findet. Die verschiedenen Module der Klauseln sehen folgende Konstellationen der Datenübermittlung vor:

• Verantwortlicher, für den die DS-GVO gilt (Datenexporteur) – anderer Verantwortlicher im Drittland (Datenimporteur)
• Verantwortlicher, für den die DS-GVO gilt (Datenexporteur) – Auftragsverarbeiter im Drittland (Datenimporteur)
• Auftragsverarbeiter in der EU (Datenexporteur) – Unterauftragsverarbeiter im Drittland (Datenimporteur)
• Auftragsverarbeiter in der EU (Datenexporteuer) – Auftraggeber (Verantwortlicher) im Drittland (Datenimporteur)

Zudem erlauben es die SCC, dass weitere Parteien als Datenexporteur oder Datenimporteur der Vereinbarung mit Wirkung für die Zukunft beitreten können.

Abhängig von seiner Rolle unterwerfen die SCC den Datenimporteur vertraglich den wesentlichen Grundsätzen und Verpflichtungen der DS-GVO. Hierzu gehören insbesondere die

• Bindung an die Grundsätze der Richtigkeit und Datenminimierung und Speicherbegrenzung,
• Gewährleistung der Sicherheit der Datenverarbeitung,
• Einhaltung von Informations-, Meldepflichten sowie Betroffenenrechten.

Die Rechenschaftspflichten der Parteien beziehen sich explizit auch auf die Einhaltung der vereinbarten SCC.

Schließlich beinhalten die Standardvertragsklauseln erstmals Regelungen, mit welchen die Anforderungen an eine Auftragsverarbeitung nach Art. 28. Abs. 3 und 4 DS-GVO wirksam vereinbart werden können. Das hat nicht nur für die Auftragsverarbeitung im internationalen Kontext Relevanz.

Die EU-Kommission reagiert auch auf Risiken für den Schutz personenbezogener Daten, die aus Vorschriften und Behördenpraktiken im Empfängerland resultieren. Der weitreichende Zugriff US-amerikanischer Sicherheitsbehörden auf Daten hatte den EuGH im Schrems-II-Verfahren veranlasst, den USA ein „im Wesentlichen gleichwertiges Schutzniveau“ im Datenschutz abzusprechen. Nach den neuen SCC müssen sich die Parteien deshalb vor der Datenübermittlung zusichern, keinen Grund zu der Annahme zu haben, dass solche Umstände den Datenimporteur von der Erfüllung seiner Pflichten abhalten. Im Hinblick auf einen Zugriff von Behörden auf Daten beim Datenimporteur obliegen diesem umfassende Benachrichtigungs- und Handlungspflichten (insbesondere zur Abwehr der Maßnahmen).

Damit bleibt eine Übermittlung in ein Drittland weiterhin nicht möglich, wenn dort die Daten nicht vor dem weitreichenden Zugriff der Behörden sicher sind. Dieses Dilemma vermögen auch die neuen SCC nicht zu lösen.

Handlungsbedarf:

In Zukunft werden Datenexporteure bei der Auswahl der Empfänger im Drittland und der Dokumentation besondere Sorgfalt walten lassen müssen. Hinzukommen besondere Zusicherungen und Garantieerklärungen für beide Parteien.

Innerhalb der Übergangsfrist von 18 Monaten sind Unternehmen gehalten, sämtliche bisher vereinbarten SCC zu ersetzen und die sich daraus ergebenden Pflichten umzusetzen.

_{Stand: Juni 2021}