von Dipl.-Jur. Michelle Gaul
Zum 27.06.2021 traten die neuen Standardvertragsklauseln (auf Englisch: standard contractual clauses, kurz:„SCC“) der EU in Kraft. Dabei handelt es sich um Vorlagen der EU, auf deren Basis die Übermittlung von personenbezogenen Daten außerhalb der EU zulässig ist, insbesondere in die USA, nach Indien oder Russland.
Dieser Artikel fasst in Kürze die wichtigsten Änderungen zusammen und zeigt auf, an welchen Stellen aktuell Handlungsbedarf besteht. Hier können sie die neue Fassung abrufen.
Was sind SCC und wieso gibt es sie?
Gem. Art. 46 Abs. 1 DSGVO dürfen personenbezogene Daten nur dann an ein Drittland (= Land außerhalb des EWR) übermittelt werden, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat, um einen effektiven Datenschutz und die Durchsetzung von Rechten des Betroffenen zu gewährleisten.
Eine solche Garantie sollte zunächst durch bilaterale Verträge, wie dem Safe-Harbor-Abkommen zwischen der EU und den USA aus dem Jahr 2000, begründet werden. Gegenüber einer vertraglichen Verpflichtung für den Einzelfall sollte das Abkommen den Vorteil haben, dass sich ein Unternehmen in einem Drittland schlicht im Wege der Teilnahme an dem Abkommen selbst verpflichten konnte, einen angemessenen Datenschutz sicherzustellen. Der Vertragspartner in der EU konnte dann diese Selbstverpflichtung als Garantie zugrunde legen.
Sukzessive wurden dann (im Jahr 2001 und 2004) verschiedene „Sets“ an Standardvertragsklauseln erlassen, welche Datentransfers zwischen Verantwortlichen zum Gegenstand hatten, im Jahr 2010 folgte dann ein Katalog an Standardvertragsklauseln für Datentransfers vom Verantwortlichen an den Auftragsverarbeiter. Dabei handelt es sich um einen Katalog von Musterklauseln, welche vorab für die Verwendung zur Sicherstellung eines angemessenen Datenschutzniveaus durch die EU genehmigt wurden. Sinn dieser Standardvertragsklauseln war es, den Verantwortlichen eine praktikable Lösung zu bieten, mit einem in einem Drittstaat ansässigem Unternehmen einen Datenverarbeitungsvertrag zu schließen, welcher ein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO garantiert.
Der Anwendungsbereich dieser Klauseln reduzierte sich in den meisten Fällen auf Drittenstaaten, mit welchem kein Abkommen bestand, da Unternehmen die Berufung auf das Abkommen bevorzugten, anstatt individualvertragliche Abreden schließen zu müssen.
Wieso gibt es neue SCC?
Im Wege der Schrems-I-Entscheidung wurde das Safe-Harbor-Abkommen allerdings am 06.10.2015 durch den EuGH mit sofortiger Wirkung für unwirksam erklärt, da das Abkommen gerade kein angemessenes Schutzniveau sicherstellen konnte. Durch das Safe-Harbor-Abkommen werde den US-amerikanischen Nachrichtendiensten nämlich uneingeschränkter Zugang zu den personenbezogenen Daten gewährt. Dies sei mit dem europäischen Datenschutzrecht unvereinbar.
Im Zuge dessen erging am 12.06.2016 ein sog. Angemessenheitsbeschluss (Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA, das sog. „Privacy Shield“), welcher einen Datentransfer in die USA für zulässig erklärte.
Da nach der Unwirksamkeit des Abkommens in der Zwischenzeit die Unternehmen gezwungen waren, individualvertraglich ein angemessenes Datenschutzniveau sicherzustellen, um weiterhin einen internationalen Datentransfer führen zu können, wurde vermehrt auf die (alten) SCC zurückgegriffen. Die teilweise mehr als 15 Jahre alten Klauseln stießen allerdings – gerade angesichts des stetigen (digitalen) Wandels – immer öfter auf Kritik.
Im Rahmen der Schrems-II-Entscheidung hatte der EuGH zwar 2020 festgestellt, dass die Standardvertragsklauseln (anders als das Privacy Shield) nicht nichtig seien, jedoch hat er in seiner Entscheidung anhand konkreter Vorgaben hohe Hürden dargelegt, wann durch die SCC ein sicherer Datentransfer gewährleistet werden kann und in welchen Fällen ein Datentransfer gänzlich ausscheidet.
Um den neuen Entwicklungen Rechnung zu tragen, sah sich die EU gezwungen hier nachzubessern und ein neues Regelwerk zu erlassen, die EU hatte daher am 04.06.2021 die neuen Standardvertragsklauseln beschlossen.
Wie unterscheiden sich die neuen SCC von der vorherigen Fassung?
Die neuen SCC unterscheiden sich in diversen Punkten von der alten Fassung. Neu ist beispielsweise, dass die SCC jetzt in vier verschiedene Module aufgespalten sind. Je nach dem Kreis der Adressanten und der Empfänger sollen so zweckmäßige Regelungen umfasst sein. Neben Regelungen zwischen Verantwortlichen und Verantwortlichen (I.) und Regelungen betreffend den Transfer eines Verantwortlichen an einen Auftragsverarbeiter (II.), wurden jetzt Regelungen zwischen Auftragsverarbeitern (III.) und eines Auftragsverarbeiters an einen Verantwortlichen ergänzt (IV.). Insbesondere die dritte Konstellation könnte sich als sehr relevant erweisen, insbesondere in den Fällen, in denen ein europäischer Auftragsverarbeiter sich eines weiteren Auftragsverarbeiters – außerhalb des EWR – als Sub-Dienstleister bedienen möchte.
Ein Vorteil der Verwendung der SCC im Falle der Inanspruchnahme eines Auftragsverarbeiters ist, dass in diesen Fällen kein gesonderter Auftragsdatenverarbeitungsvertrag mehr notwendig wird, die Klauseln entsprechen den Anforderungen des Art. 28 DSGVO inhaltlich.
Wer jetzt allerdings denkt, mit der Verwendung der neuen SCC seien die datenschutzrechtlichen Probleme gelöst, der irrt. Die Verwendung der SCC ist nicht in jedem Drittstaat ausreichend, um ein angemessenes Datenschutzniveau zu garantieren. In vielen Fällen müssen daher noch zusätzliche Abreden geschlossen werden. Wann und für welchen Drittstaat dies der Fall ist, kann die Vertragspartei lediglich anhand einer Analyse des entsprechenden Rechtssystems des Unternehmens und dessen Risiken erkennen (s. Klausel 14 der neuen SCC). Es besteht hier eine Pflicht diese Risikoabwägung zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.
Ein ausreichendes Datenschutzniveau kann beispielsweise für Staaten mit allumfassenden Zugriffsrechten der Geheimdienste sichergestellt werden, indem der Verantwortliche oder Auftragsverarbeiter sich verpflichtet bei einem Zugriff von nationalen Behörden, diese Verarbeitung zu melden und jegliche, mögliche Rechtsmittel anzuwenden.
Unternehmen haben jetzt zwei grundlegende Fristen zu beachten: Bis zum 27. September dieses Jahrs dürfen Verträge noch mit der aktuell gültigen Fassung der SCC abgeschlossen werden, danach müssen zwingend als Muster die neuen SCC verwendet werden. Verwendet werden dürfen die neuen SCC allerdings bereits mit ihrem Inkrafttreten, also seit dem 27. Juni 2021.
Liegen Verträge auf Grundlage der alten SCC vor, so müssen diese bis zum 27. Dezember 2022 an die neuen SCC angepasst werden, denn 18 Monate nach dem Inkrafttreten der neuen SCC verlieren die alten SCC ihre Gültigkeit.
Einige Landesdatenschutzbehörden haben bereits angekündigt ab Juni 2021 Fragenkataloge zu den internationalen Datentransfers an Unternehmen zu schicken. Eine breite Überprüfung von Unternehmen aus allen Branchen ist daher zu erwarten.
Unternehmen ist daher dringend geraten, für künftige Verträge bereits jetzt die neuen SCC zu verwenden und zu prüfen, ob die Verwendung der SCC ausreichend ist, um ein angemessenes Datenschutzniveau zu garantieren. Erforderlichenfalls sollten weitere Maßnahmen ergriffen sowie die erfolgte Risikoabwägung dokumentiert werden.
Wie können wir Ihnen helfen? Bei der Prüfung und Anpassung Ihrer bestehenden Verträge unterstützt und berät Sie das Team der Heidrich Rechtsanwälte gerne! Nehmen Sie unverbindlich über unser Kontaktformular Kontakt mit uns auf.