Neue Standardvertragsklauseln: Die Übermittlung von personenbezogenen Daten ins Ausland ist inzwischen keine Seltenheit. Sie gehört mittlerweile vielmehr zur Praxis. Dabei ist – insbesondere bei der Übermittlung der Daten ins nicht europäische Ausland – wichtig, dass in dem Land, in dem die personenbezogenen Daten verarbeitet werden, das Schutzniveau der DSGVO gewährleistet wird. Das sollen u.a. die Standardvertragsklauseln sicherstellen.
Seit dem 27. Dezember 2022 müssen die bestehenden Verträge zwischen Verantwortlichen und Auftragsverarbeitern etc. auf neue Standardvertragsklauseln umgestellt worden sein. In diesem Blogbeitrag gehen wir näher auf die Frage ein, welche Konsequenzen daraus für europäische Unternehmen mit Vertragspartnern in Drittstaaten wie den USA resultieren.
Inhaltsverzeichnis
I. Historischer Kontext
Die DSGVO gilt nicht in Drittstaaten. Eines dieser Drittstaaten sind die USA. Es ist gleichwohl erforderlich und zwingend, dass das Schutzniveau der DSGVO gewahrt wird, soweit personenbezogene Daten im Anwendungsbereich der DSGVO ganz oder teilweise in Drittstaaten verarbeitet werden. Das US-amerikanische Recht kennt und kannte jedoch kein Pendant zum europäischen Datenschutzrecht, sodass betroffenen Unternehmen das Übertragen, Speichern und sonstige Verarbeiten der personenbezogenen Daten ihrer Kunden in den USA grundsätzlich untersagt war (vgl. aber Art. 26 Abs. 2 u. 4 der Datenschutzrichtlinie 95/46/EG). Deshalb wurde das sog. „Safe-Harbor“-Verfahren ins Leben gerufen.
US-Unternehmen konnten dem Safe-Harbor beitreten und sich in entsprechende Listen beim FTC (Federal Trade Commission), des US-amerikanischen Handelsministeriums, eintragen lassen. Sie gaben Selbsterklärungen ab, wonach sie verbindlich erklärten, die Safe-Harbor-Principles (Grundsätze des sicheren Hafens) und verbindliche FAQ einzuhalten. In einem Durchführungsbeschluss der Europäischen Kommission vom 16. Juli 2000 bestätigte diese, dass die Unternehmen, die dem Safe-Harbor beigetreten seien, angemessenen Schutz für die Datenübermittlung gewährleiteten. Dieser Durchführungsbeschluss ist ein sog. Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO. Hiernach darf eine Übermittlung personenbezogener Daten an ein Drittland
„[…] vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet“.
Ein Durchführungsbeschluss wird von der Kommission erlassen und stellt eine (Datenschutz-)Garantie im Sinne des Art. 46 Abs. 1 lit. c DSGVO dar. Die personenbezogenen Daten können demnach aus dem Europäischen Wirtschaftsraum (EWR) (d.h. aus den 27 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island) in das betreffende Drittland fließen. Weitere Bedingungen oder Genehmigungen sind für den Transfer ins Drittland nicht erforderlich. Die sog. „2-Stufen-Prüfung“ wird dadurch allerdings nicht entbehrlich.
2-Stufen-Prüfung
Auf der ersten Stufe ist für die Datenübermittlung erforderlich, dass die Datenverarbeitung den Anforderungen des Art. 6 DSGVO entspricht. Die Datenverarbeitung muss also zunächst an sich rechtmäßig sein.
Auf der zweiten Stufe ist festzustellen, ob im Ausland für die Datenverarbeitung ein angemessenes Datenschutzniveau besteht.
Die rechtmäßige Datenübermittlung setzt voraus, dass die Prüfung auf beiden Stufen zu einem positiven Ergebnis führt.
Angemessenheitsbeschlüsse dieser Art existieren gegenwärtig u.a. für die Länder Japan, Jersey, Uruguay, Kanada, Schweiz, Neuseeland, das Vereinigte Königreich (UK), Israel und die Republik Korea (Südkorea). Weitere Informationen diesbezüglich finden Sie auf dieser FAQ-Seite der EU-Kommission.
Mit dem Schrems-I Urteil des EuGH vom 6. Oktober 2015 (Rechtssache C-362/14) wurde das Safe-Harbor-Abkommen für ungültig erklärt. Hintergrund dieser Entscheidung war der Umstand, dass durch die Selbsterklärungen nur die US-Unternehmen selbst, nicht jedoch US-amerikanische Sicherheitsbehörden verpflichtet seien, das Schutzniveau des europäischen Datenschutzrechtes zu wahren. Der unberechtigte Zugriff auf die Daten sei nicht ausgeschlossen.
Die sodann zwischen der Europäischen Kommission und der US-amerikanischen Regierung im Jahr 2016 getroffene Absprache über das sog. „EU-US-Privacy-Shield“ (EU-US-Datenschutzschild) fand sein Ende im Schrems-II Urteil des EuGH vom 16. Juli 2020 (Rechtssache C‑311/18), mit welchem auch hier der zum EU-US-Privacy-Shield ergangene Angemessenheitsbeschluss der Europäischen Kommission aufgehoben worden war. Auch hier argumentierte der EuGH einmal mehr, dass der Datenschutz der USA kein im Wesentlichen gleichwertiges Schutzniveau biete.
Die Unternehmen, deren Datenübermittlung nunmehr stockte, mussten sich Alternativen ausdenken. Eine Übergangsfrist hat der EuGH nicht eingeräumt. Als Alternative bot sich die EU-Standardvertragsklausel an. Der EuGH hat die Voraussetzungen einer datenschutzkonformen Übermittlung der personenbezogenen Daten in Drittländer konkretisiert, die sich aus den Art. 44 ff. DSGVO ergeben.
II. Neue Standardvertragsklauseln 2021
Die Europäische Kommission hat mit dem Durchführungsbeschluss vom 4. Juni 2021 neue Standardvertragsklauseln (auch SCC, engl. Standard Contractual Clauses) zur Übermittlung personenbezogener Daten in Drittländer und zur Auftragsverarbeitung sowie zwischen den Verantwortlichen verabschiedet. Sie hat im Zuge der Kritik im Rahmen des Schrems-II Urteils hin die alten Standardvertragsklauseln (2010/87/EU) überarbeitet. Bei dem Abschluss neuer Verträge seit dem 27. September 2021 sind die neuen SCC (EU 2021/914) verpflichtend zu verwenden.
1. Umstellungsfrist für Altverträge auf neue Standardvertragsklauseln
Gleichzeitig hat die Europäische Kommission eine Umstellungsfrist bis zum 27. Dezember 2022 für Altverträge gesetzt. Mit Ablauf dieser Frist sind die Altverträge unwirksam und die Datenverarbeitung auf dieser Grundlage wird – mangels einer Garantie für die Gewährleistung eines angemessenen Schutzniveaus – rechtswidrig. Die Datenübermittlung auf Grundlage der alten SCC könnte somit zur Verhängung von Bußgeldern durch die jeweiligen Aufsichtsbehörden führen. An dieser Stelle bietet es sich für betroffene Unternehmen an, die Altverträge durch neue Standardvertragsklauseln zu ersetzen, weil Anpassungen i.d.R. einen erhöhten Arbeitsaufwand verursachen und fehleranfällig sein können.
Neue Standardvertragsklauseln stellen eine Garantie nach Maßgabe des Art. 46 Abs. 2 lit. c, Abs. 1 DSGVO dafür dar, dass im Drittland ein angemessenes (Daten-)Schutzniveau gewahrt wird. Dies insbesondere dadurch, dass der Auftragsverarbeitende den Grundsätzen der DSGVO unterworfen wird. Nach den neuen SCC haben die Unternehmen Zusicherungen zu treffen, dass kein Grund zur Annahme besteht, dass sie ihre Pflichten nicht erfüllen werden können.
Die neuen SCC haben gemäß Abschnitt I, Klausel 5 Vorrang vor anderweitigen Vereinbarungen. Sie sehen überdies gemäß Klausel 3 SCC eine Drittbegünstigung für betroffene Personen vor. Die betroffenen Personen können den Datenexporteuer und/oder dem Datenimporteuer gegenüber (mit einigen Ausnahmen) eigene Rechte geltend machen.
2. Neue Standardvertragsklauseln: 4 Module
Die neuen Standardvertragsklauseln sehen vier Module vor:
- Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
- Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- Modul 3: Übermittlung von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter
- Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche
Den Vereinbarungen nach den vorbenannten Modulen können Dritte nachträglich als Datenexporteur oder Datenimporteur hinzutreten und den bestehenden Vertrag und die Klauseln nutzen. Es ist dafür die Aufnahme der fakultativen Koppelungsklausel 7 SCC erforderlich. Der Beitretende muss den Anhang I.A. unterzeichnen.
Bei Abschluss eines Vertrags mit den neuen SCC ist überdies ein Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 7 DSGVO nicht erforderlich, weil die neuen SCC nach Modul 2 und 3 auch den Anforderungen an einen Auftragsverarbeitungsvertrag genügen. Das Modul 4 erfasst diejenigen Fälle, in denen der Auftragsverarbeiter Daten von Unternehmen (Verantwortliche) aus Drittländern verarbeitet.
Die neuen SCC sehen modular die Möglichkeit der Rechtswahl nach Klausel 17 SCC sowie des Gerichtsstands nach Klausel 18 SCC vor. Zu der Frage, ob eine Haftungsbeschränkung möglich ist, treffen die Klauseln keine Regelung. In diesem Zusammenhang sollten sich Verantwortliche und Auftragsverarbeiter näher mit den Erwägungsgründen 3 und 14 des Durchführungsbeschlusses 2021/914 auseinandersetzen.
Bei der Übermittlung von Daten in Drittländer sind zudem zusätzliche Schutzmaßnahmen über das TIA (Transfer Impact Assessment) zu ergreifen.
3. Transfer Impact Assessment (TIA)
Die TIA meint auch eine sog. Datentransfer-Folgenabschätzung im Sinne der Klauseln 14 und 15 der SCC. In die Gesamtschau der Folgenabschätzung können auch bisherige Erfahrungen mit einschlägigen Erfahrungen über Ersuchen von Behörden in einem Drittland einfließen. Diese Vorgehensweise sehen auch die Empfehlungen des EDSA (Europäischer Datenschutzausschuss) 01/2020, Rn. 47 vor.
In der Klausel 14 SCC sichern die Parteien u.a. zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.
Anforderungen an Klausel 14 SCC
Die Datenexporteure haben nach Klausel 14 lit. b SCC eine Bewertung des Datenschutzniveaus vorzunehmen und ggf. weitere Maßnahmen zwecks Datenschutzes vorzunehmen. Die Bewertung ist zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen. Klausel 14 lit. e SCC formuliert eine Benachrichtigungspflicht für den Fall, dass sich nach der Zustimmung des Datenexporteurs zu den Klauseln das Datenschutzniveau ändert.
Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird, Klausel 14 lit. f S. 2 SCC.
In der Klausel 15 SCC erklären sich die Parteien zudem einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen, wenn er ein rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten einer Behörde erhält, die gemäß den SCC übermittelt werden. Die Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten. Ist die Benachrichtigung nach den Rechtsvorschriften des Bestimmungslandes untersagt, erklärt sich der Datenexporteuer einverstanden, sich um eine Aufhebung des Verbots zu bemühen. Diese Anstrengungen sind zu dokumentieren.
Der Datenimporteur hat gemäß Klausel 15.2 SCC die Rechtmäßigkeit des Offenlegungsersuchens anzufechten und diese Bemühungen zu dokumentieren. Mögliche Rechtsmittel sind einzulegen.
III. Neuer Angemessenheitsbeschluss in Aussicht
Die USA und die EU-Kommission haben sich auf das TADPF „Trans-Atlantic Data Privacy Framework“ (Transatlantischer Datenschutzrahmen) geeinigt. Das TADPF stellt ein Nachfolgemodell zu den bereits unter I. ausgeführten Datenschutzabkommen dar. Der US-amerikanische Präsident hat am 7. Oktober 2022 eine Executive Order (Durchführungsverordnung) unterzeichnet. Es handele sich hierbei um eine Selbstverpflichtung der USA, die „den Schutz der Privatsphäre und der bürgerlichen Freiheiten“ stärkt.
Die Europäische Kommission hat am 13. Dezember 2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet. Der Beschlussentwurf ist veröffentlicht (siehe hier) und dem EDSA zur Stellungnahme übermittelt worden. Laut Kommission biete der Transatlantische Datenschutzrahmen eine Garantie dafür, dass der US-Rechtsrahmen mit dem der EU vergleichbar sei.
Dem Transatlantischen Datenschutzrahmen können sich US-Unternehmen anschließen. Der Datenschutzrahmen sieht eine Datenminimierungs- und Datenlöschungspflicht - sowie die Möglichkeit verschiedene Rechtsbehelfe einzulegen - vor. Darüber hinaus soll der Zugang nationaler Behörden auf die personenbezogenen Daten beschränkt werden. So soll der Zugang zu europäischen Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt werden. Es soll ein Gericht zur Datenschutzüberprüfung geschaffen und die Möglichkeit, auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren, zurückzugreifen, eingerichtet werden. Dies soll EU-Bürger vor der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste schützen.
Neben der Bewertung durch die EDSA ist auch die Zustimmung eines Ausschusses erforderlich, der sich aus Vertretern der EU-Mitgliedsstaaten zusammensetzt. Auch das Europäische Parlament hat ein Recht auf Kontrolle. Nach Abschluss des Verfahrens, kann die Annahme des Beschlussentwurfs erfolgen. Wird der Angemessenheitsbeschluss angenommen, kann der Datentransfer in die USA (vorerst) ohne zusätzliche Datenschutzgarantien erfolgen.
IV. Kontaktieren Sie uns bei offenen Fragen
Wenn Sie erfahren möchten, welche Maßnahmen zu einer DSGVO-konformen Umstellung auf neue Standardvertragsklauseln beitragen, kontaktieren uns gerne über unser Kontaktformular.
Dieser Blogbeitrag kann Ihnen lediglich erste Hinweise in Bezug auf mögliche datenschutzrechtliche Besonderheiten im Zusammenhang mit dem Thema "neue Standardvertragsklauseln" bieten und ersetzt keine Rechtsberatung.
Rechtsanwältin für IT-Recht mit Schwerpunkt im Telekommunikationsrecht und Datenschutzrecht.
