Neue Standardvertragsklauseln für internationalen Datentransfer

Die EU-Kommission hat einen neuen Entwurf der Standardvertragsklauseln (Standard Contractual Clauses – SCCs) veröffentlicht. Diese sollen künftig als Mittel dienen, die Übermittlung personenbezogener Daten in Länder außerhalb der EU zu legitimieren.

Nachdem die bisherigen Standardvertragsklauseln durch die Schrems-II-Entscheidung des Europäischen Gerichtshofes (zu den Auswirkungen unser Beitrag hier) schwer unter Beschuss geraten waren, hat die EU-Kommission nunmehr eine neue Version veröffentlicht. Die öffentliche Konsultation, innerhalb derer Meinungsäußerungen zu dem Entwurf eingereicht werden können, endet am 10. Dezember 2020. Es steht zu erwarten, dass die EU-Kommission die neuen Klauseln zügig danach verabschieden wird.

Die neuen Standardvertragsklauseln bestehen, wie schon die bisherigen Varianten, aus einem entsprechenden Beschluss der Kommission (Entwurf hier) und den eigentlichen Vertragsklauseln (Entwurf hier). Die Vertragsklauseln können dann als Bestandteil eines Vertrages verwendet werden, der eine Datenübermittlung an eine Person außerhalb der Europäischen Union (bzw. präziser des Europäischen Wirtschaftsraumes) beinhaltet.

Was ist neu?

Die neuen Standardvertragsklauseln tragen nicht nur der Schrems-II-Entscheidung Rechnung, sondern adressieren weitere Problempunkte, die in Bezug auf die Anwendung der Standardvertragsklauseln bestanden.

Ein Set für alle Fälle

Nachdem es bisher separate Sets für die Übermittlung an einen anderen Verantwortlichen und die Übermittlung an einen Auftragsverarbeiter gibt, vereint der neue Entwurf beide Konstellationen in einem Vertragstext. Doch nicht nur das: Auch der praktisch sehr relevante Fall, dass nicht der eigentliche Auftragnehmer außerhalb der EU sitzt, sondern erst dessen Sub-Auftragnehmer, ist in dem neuen Set geregelt. Diese Konstellation wurde über die bisherigen Standardvertragsklauseln nicht abgedeckt und musste mühsam über Umwege und an den eigentlichen Beziehungen des Leistungsvertrages vorbei (Direktabschluss zwischen Auftraggeber und Sub-Auftragnehmer) konstruiert werden. Der Fall liegt z. B. vor, wenn ein deutsches Unternehmen einen Vertrag mit der EU-Niederlassung eines US-Anbieters schließt, Teile der Datenverarbeitung aber bei deren Muttergesellschaft in den USA stattfinden sollen. Auch die bisher unklare Konstellation eines in der EU belegenen Auftragsverarbeiters, der für einen außerhalb der EU ansässigen Auftraggeber verarbeitet, wird in dem neuen Set abgedeckt.

Die neuen Standardvertragsklauseln differenzieren die verschiedenen Konstellationen in unterschiedlichen Modulen, die jedoch Bestandteil ein und desselben Vertragssets sind:

  • Modul 1: Übermittlung Verantwortlicher an Verantwortlicher
  • Modul 2: Übermittlung Verantwortlicher an Auftragsverarbeiter
  • Modul 3: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
  • Modul 4: Übermittlung Auftragsverarbeiter an Verantwortlicher

Damit mutieren die neuen Standardvertragsklauseln also erfreulicherweise zum „Schweizer Taschenmesser“ der internationalen Datentransfers – die Auswahl des richtigen Klauselsets oder juristische „Klimmzüge“, um diese für die Anwendungssituation erst passend zu gestalten, entfällt künftig.

Unternehmen müssen intensiv prüfen

Erwartungsgemäß nehmen die neuen Standardvertragsklauseln insbesondere die Auswirkungen der EuGH-Rechtsprechung in den Blick. Und bei aller Euphorie über das neue Vertragsset: Die Zeiten, in denen mit dem mechanischen Abschluss von Standardvertragsklauseln automatisch alle Probleme des Drittlandstransfers gelöst schienen, sind wohl endgültig vorbei. Klauseln II.2 und II.3 beschäftigen sich intensiv mit dem Einfluss des jeweiligen nationalen Rechts auf die Werthaltigkeit der in den Standardvertragsklauseln verbürgten Datenschutzgarantien. Demnach ist künftig insbesondere eine individuelle Einschätzung nach den folgenden Kriterien erforderlich (Klausel II.2.b):

  • die besonderen Umstände der Übermittlung, einschließlich des Inhalts und der Dauer des Vertrags; den Umfang und die Regelmäßigkeit der Übermittlungen; die Länge der Verarbeitungskette, die Anzahl der beteiligten Akteure und die verwendeten Übermittlungskanäle; die Art des Empfängers; den Zweck der Verarbeitung; die Art der übermittelten personenbezogenen Daten; alle einschlägigen praktischen Erfahrungen mit früheren Fällen oder das Fehlen von Offenlegungsersuchen von Behörden, die der Datenimporteur für die Art der übermittelten Daten erhalten hat;
  • die Gesetze des Bestimmungsdrittlandes, die im Lichte der Umstände der Übermittlung relevant sind, einschließlich der Gesetze, die die Offenlegung von Daten gegenüber öffentlichen Behörden vorschreiben oder den Zugang durch diese Behörden genehmigen, sowie die anwendbaren Einschränkungen und Garantien;
  • alle Garantien zusätzlich zu den in diesen Klauseln vorgesehenen Garantien, einschließlich der technischen und organisatorischen Maßnahmen, die während der Übermittlung und bei der Verarbeitung der persönlichen Daten im Bestimmungsland angewandt werden.

Diese Einschätzung ist zu dokumentieren und auf Verlangen der zuständigen Aufsichtsbehörde vorzulegen (Klausel II.2.d).

Klausel II.3. beschäftigt sich dann intensiv mit den Pflichten des Datenimporteurs im Falle eines staatlichen Zugriffs auf die von ihm verarbeiteten Daten. Dieser muss insbesondere und soweit rechtlich zulässig seinen Vertragspartner informieren und sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen – allerdings nur insoweit, wie er „nach sorgfältiger Prüfung zu dem Schluss kommt, dass nach den Gesetzen des Bestimmungslandes Gründe dafür vorliegen“.

Einfaches Andocken weiterer Vertragspartner

Gut gelöst ist ebenfalls die Anbindung weiterer Vertragspartner, seien es weitere Auftraggeber (dies kann z. B. in Konzernen relevant sein), oder weiterer (Sub-)Auftragsverarbeiter. Die treffend als „Docking Clause“ bezeichnete Klausel I.6 ermöglicht es Dritten, die bisher nicht Partei der Standardvertragsklauseln sind, durch Ausfüllen der relevanten Anhänge dem Vertrag beizutreten. Hier macht sich die eben erwähnte Universalität des Sets für alle Verarbeitungskonstellationen bezahlt, denn anstelle der Replikation der Vertragsklauseln zwischen allen Beteiligten oder der Nutzung mitunter rechtlich problematischer Konstruktionen über das Institut der Stellvertretung ist nun ein Beitritt sehr einfach möglich.

Schriftform erforderlich?

Fraglich ist, ob die neuen Standardvertragsklauseln stets in physischer Form (d.h. auf Papier) ausgefertigt werden müssen. Ausdrücklich geregelt ist dies nicht; allerdings sieht der Annex I, in dem die Parteien aufzulisten sind, ausdrücklich eine Unterschrift vor. Ebenso spricht die eben erwähnte Docking Clause davon, dass die zusätzliche Partei für einen Beitritt den Annex I (bzw. dessen Teil A) ausfüllen und unterschreiben müsse. Dies ginge beim praktisch bedeutsamsten Fall der Auftragsverarbeitung über Art. 28 DSGVO hinaus, denn nach dessen Absatz 9 kann der Vertrag auch in einem elektronischen Format geschlossen werden.

Übergangsfrist von einem Jahr

Wenn die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Standardvertragsklauseln innerhalb eines Jahres durch das neue Regelwerk ersetzt werden. Hier wird also auf die Unternehmen ein massiver Anpassungsbedarf zukommen.

Fazit

Die neuen Standardvertragsklauseln stellen eine sinnvolle Anpassung an die gegenwärtige Rechtslage dar. Sie lösen einige in der Praxis sehr relevante Problemstellungen. Über das Grunddilemma, dass sich die vertraglichen Zusagen eines über die Standardvertragsklauseln angebundenen Vertragspartners aufgrund der staatlichen Zugriffsrechte in dessen Sitzland als möglicherweise wertlos herausstellen, vermögen sie jedoch nicht hinwegzuhelfen. Insoweit sind sie leider keine „fire and forget“-Lösung, sondern nötigen den Parteien nach wie vor hohe Anstrengungen ab, ohne dies mit Rechtssicherheit zu entlohnen. Insofern ist die EU-Kommission gefordert, gerade mit Blick auf die USA und andere relevante Drittländer verstärkt echte Angemessenheitsbeschlüsse in den Fokus zu nehmen.

Weitere Artikel zum Thema