Neue Standardvertragsklauseln für internationalen Datentransfer und für Auftragsverarbeitungsverträge

ür die Unternehmen gelten folgende Umsetzungsfristen ab dem 15.06.2021:

• 27.06.2021: Inkrafttreten (20 Tage nach Veröffentlichung im Amtsblatt der EU). Die neuen Standardvertragsklauseln können verwendet werden.
• Bis 27.09.2021: Drei Monate lang dürfen noch die bisherigen Standardvertragsklauseln vereinbart werden. Hiermit möchte die EU-Kommission verhindern, dass Unternehmen in bereits laufenden Vertragsverhandlungen hinsichtlich der Standardvertragsklauseln wieder neu in Verhandlungen einsteigen müssen.
• Ab 27.09.2021: Ab diesem Zeitpunkt dürfen bei Vertragsabschlüssen ausschließlich noch die neuen Standardvertragsklauseln abgeschlossen werden.
• 27.12.2022: Spätestens bis zu diesem Zeitpunkt müssen die bisherigen Standardvertragsklauseln auf die neuen umgestellt werden.“

Löchriger Schutzschild: US-Datenschutz unzureichend. EU-Kommission veröffentlicht neue Standardvertragsklauseln für den internationalen Datentransfer und für Auftragsverarbeitungen

Die Europäische Kommission hat am 4. Juni 2021 die finale Fassung der neuen Standardvertragsklauseln für Übermittlungen personenbezogener Daten in Drittländer veröffentlicht. Damit wird dieses wichtige Instrument für den internationalen Datentransfer drei Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) endlich angepasst. Zugleich hat die EU-Kommission die finale Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge („AVV“) für Verarbeitungen in der EU verabschiedet.

Der folgende Beitrag erläutert die Hintergründe und zeigt anhand einer Checkliste, was Unternehmen nun dringend veranlassen müssen.

Worum geht es? – Der Hintergrund

Es geht um die Rechtmäßigkeit der Übermittlung von Daten in Länder außerhalb der EU bzw. des EWR (Drittstaaten) bei der Beauftragung von Dienstleistern (z. B. Cloud- und E-Mail-Services, Tracking- und Analyse-Tools usw.). Dies wird grundsätzlich in zwei Stufen festgestellt:

• Auf der ersten Stufe muss eine taugliche Rechtsgrundlage für die Datenübermittlung vorliegen, z. B. 6 Abs. 1 lit. a) DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. b) DSGVO (erforderlich für die Vertragserfüllung).
• Auf der zweiten Stufe wird geprüft, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht.

Ein solches Schutzniveau kann für ein Land mit einem Angemessenheitsbeschluss durch die EU-Kommission festgestellt werden.

Daneben kann nach Art. 46 DSGVO ein angemessenes Schutzniveau auch durch geeignete Garantien hergestellt werden. Eine dieser Garantien sind von der EU-Kommission angenommene Standardvertragsklauseln – oder Standarddatenschutzklauseln, wie sie in Art. 46 Abs. 2 c) DSGVO bezeichnet werden. Dabei handelt es sich um Musterverträge, die beide Parteien dazu verpflichten, ein mit der EU vergleichbares Datenschutzniveau einzuhalten.

EuGH-Urteil: US-Datenschutzstandard ist nicht EU-konform

Der Europäische Gerichtshof (EuGH) erklärte in seinem Schrems-II-Urteil vom 16. Juli 2020 (Rs. C-311/18) die Grundlage des Angemessenheitsbeschlusses der EU-Kommission – der EU-US Privacy Shield – für ungültig. Der Privacy Shield war die wichtigste rechtliche Grundlage für den Transfer von personenbezogenen Kunden- und Mitarbeiterdaten in die USA. Die Luxemburger Richter befanden zum wiederholten Mal, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) einen weitreichenden Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichen und der Datenschutzstandard in den USA daher nicht dem in der EU entspricht.

Die Standardvertragsklauseln, die ebenfalls eine Grundlage für den transatlantischen Datenverkehr darstellen, sollten im Grundsatz weiterhin ihre Gültigkeit behalten. Allerdings müsse der Datenexporteur im Einzelfall prüfen, ob die Umstände der Übertragung und ggf. weitere mögliche Schutzmaßnahmen im Drittland ein angemessenes Schutzniveau sicherstellten.

Das Urteil ließ Unternehmen bis heute ratlos zurück, zumal auch die Datenschutzbehörden keine verlässlichen und einheitlichen Leitlinien herausgegeben haben. So lieferten beispielsweise die Orientierungshilfe der baden-württembergischen Aufsichtsbehörde und die Empfehlungen des Europäischen Datenschutzausschusses EDSA nur bedingt Antworten. Die EU-Kommission hielt es daher für angebracht, die Standardvertragsklauseln als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen. Zudem wollte sie Anforderungen der DSGVO in den Klauseln berücksichtigen.

Erste Entwürfe der nun verabschiedeten Klauseln hatte die EU-Kommission bereits am 12. November 2020 zur öffentlichen Konsultation vorgelegt. Zu den Entwürfen hatten unter anderem der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) in einer gemeinsamen Erklärung Stellung bezogen.

Viel Neues: Geänderte Standardvertragsklauseln für den internationalen Datentransfer

Die neuen Standarddatenschutzklauseln lösen die bislang noch geltenden Standardvertragsklauseln für Verantwortliche aus 2001 und Standardvertragsklauseln für Auftragsverarbeiter aus 2010 für die Übermittlung personenbezogener Daten in Drittländer ab (vgl. Art. 46 Abs. 2 lit. c) DSGVO).

Die nun von der Kommission verabschiedeten neuen Standarddatenschutzklauseln sehen eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vor. Insbesondere sollen die neuen Standarddatenschutzklauseln im Sinne eines modularen Ansatzes folgende Konstellation abbilden:

• Datenübermittlungen zwischen Verantwortlichen (Modul 1)
• Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter (Modul 2)
• Datenübermittlungen von Auftragsverarbeitern an weitere (Unter-)Auftragsverarbeiter (Modul 3)
• Datenübermittlungen von Auftragsverarbeitern an einen Verantwortlichen (Modul 4)

Nach Auffassung der EU-Kommission berücksichtigen die neuen Standarddatenschutzklauseln auch die Anforderungen des EuGH aus seiner Schrems-II-Entscheidung.

Die neuen Standarddatenschutzklauseln schreiben erstmals Garantien vor, „um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem, vorab zu klären, „wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist“. Getragen werden die Regeln von dem Verständnis, dass Gesetze, die das Wesen der Grundrechte und -freiheiten respektieren und in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, nicht im Widerspruch zu den Klauseln stehen.

Der Datenimporteur soll mit einem Zusatz zu den Standardvertragsklauseln versichern, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Daten erhält. Mitzuteilen sind dabei Details zu den angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn dem Datenimporteur dieser Schritt untersagt wird, muss er sich „nach besten Kräften um eine Aufhebung des Verbots“ bemühen. Zudem soll der Datenimporteur gegebenenfalls „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen.

Obligatorische Risikoeinschätzung

Die neuen Standardvertragsklauseln sehen eine obligatorische Risikoeinschätzung vor, die von den Beteiligten durchgeführt werden muss. (Der Europäische Datenschutzbeauftragte spricht von einem „Transfer Impact Assessment“.) Beide Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Bei der Zusicherung sollen u. a. insbesondere relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes berücksichtigt werden – einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten. Die Risikoeinschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen. 

Handlungsbedarf: Unternehmen müssen aktiv werden

Aufgrund ihrer Natur als Vertragsklauseln können auch die neuen Standarddatenschutzklauseln etwaige Konflikte mit nationalem Recht von Drittstaaten in letzter Konsequenz nicht abschließend lösen. Die EU-Kommission weist in ihrem Beschluss zu den Standarddatenschutzklauseln (Rn. 19) sogar ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten.

Wirklich rechtssicher für europäische Unternehmen wäre hinsichtlich des Einsatzes marktbeherrschender US-amerikanischer Dienstleister wie Google, Amazon Web Service oder Microsoft allein eine politische Lösung mit einer Nachfolgevereinbarung für den EU-US Privacy Shield. Aber obwohl allen klar ist, dass es ohne die amerikanischen Dienstleister nicht geht, und Presseberichten zufolge der amerikanische Präsident Biden auf eine politische Vereinbarung mit der EU drängt, „um das Vertrauen in den Datenfluss über den Atlantik wiederherzustellen“, dämpft die EU-Kommission derzeit noch die Hoffnungen. So ist nach Aussagen des EU-Justizkommissars Didier Reynders, der zurzeit mit der amerikanischen Wirtschaftsministerin Gina Raimondo verhandelt, gegenüber dem Handelsblatt und anderen europäischen Medien „kurz- und mittelfristig“ nicht damit zu rechnen, dass eine Übereinkunft gefunden werden kann, die den europäischen Anforderungen entspricht. „Wir wollen eine Schrems-III-Entscheidung verhindern“, unterstrich Reynders.

Was Unternehmen prüfen sollten: eine erste Checkliste

Datenexportierende Unternehmen werden also in aller Regel auch auf Grundlage der neuen Standarddatenschutzklauseln nicht umhinkommen, sämtliche auf Standarddatenschutzklauseln gestützte Übermittlungen in Drittländer im Einzelnen zu prüfen. Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren. Eine solche zu dokumentierende Risikoeinschätzung sollte mindestens folgende Punkte umfassen:

• Bestandsaufnahme zu in Anspruch genommenen Dienstleistern und Sub-Dienstleistern
• Vereinbarung der Standardvertragsklauseln
• Prüfung möglicher technischer Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Anonymisierung, Serverstandort in der EU usw.)
• Prüfung des Datenschutzniveaus im Drittstaat („Welchen Gesetzen unterliegt der jeweilige Datenimporteur im Drittland?“)
• Prüfung von europäischen Alternativen
• Dokumentation

Schon jetzt: Datenschutzbehörden verschicken Fragebögen an Unternehmen

Zahlreiche Datenschutzbehörden (Berlin, Hamburg, Brandenburg, Bremen, Niedersachsen, Rheinland-Pfalz, Baden-Württemberg, Bayern und das Saarland) verschicken seit dem 1. Juni 2021 Fragebögen an Unternehmen, wie diese mit dem Thema internationaler Datentransfers und der Schrems-II-Entscheidung des EuGH umgehen. Es gibt unterschiedliche Fragebögen für nahezu alle relevanten Dienstleistungen:

• zum Einsatz von Dienstleistern zum E-Mail-Versand
• Zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten
• Zum Einsatz von Webtracking
• Zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten
• Zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten

Die einzelnen Fragebögen finden Sie hier. Die Datenschutzbehörden wollen zumindest sehen, dass sich die Unternehmen mit dem Thema befasst haben und möglichst sensibel damit umgehen. So hat die Datenschutzaufsicht aus Baden-Württemberg in einer ihrer Orientierungshilfen zum Umgang mit Schrems II Folgendes geschrieben:

„Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.“

Ähnlich liest sich die Begründung einer Untersagung des US-amerikanischen Maildienstes Mailchimp durch das BayLDA im März 2021.

Die Zeit drängt – Umsetzungsfrist

Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer verwenden, sieht der Beschluss der EU-Kommission zu den neuen Standarddatenschutzklauseln nach Veröffentlichung im Amtsblatt der EU eine Übergangsfrist von 18 Monaten vor (Rn. 24). Bei allen neu geschlossenen Verträgen müssen nunmehr die neuen Standardvertragsklauseln berücksichtigt werden.

Zu guter Letzt: Standardvertragsklauseln ersetzen Auftragsverarbeitungsverträge

Schließlich schafft die EU-Kommission mit den neuen Standardvertragsklauseln für Datenverarbeitungen im Auftrag gemäß Art. 28 DSGVO erstmalig eine EU-weit einheitliche Vertragsvorlage für Auftragsverarbeitungskonstellationen in der EU. Damit macht die Kommission von ihrem in Art. 28 Abs. 7 DSGVO eingeräumten Gestaltungsspielraum Gebrauch. Diese Standardverträge können die unterschiedlichen, in Deutschland verwendeten Muster-Auftragsverarbeitungsverträge ersetzen und vereinheitlichen.