Die Europäische Kommission hat am 4. Juni 2021 die finale Fassung der neuen Standardvertragsklauseln für Übermittlungen personenbezogener Daten in Drittländer veröffentlicht. Damit wird dieses wichtige Instrument für den internationalen Datentransfer drei Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) endlich angepasst. Zugleich hat die EU-Kommission die finale Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge („AVV“) für Verarbeitungen in der EU verabschiedet.
US-Datenschutzstandard nicht EU-konform
Der Europäische Gerichtshof (EuGH) erklärte in seinem Schrems-II-Urteil vom 16. Juli 2020 das EU-US Privacy Shield für ungültig. Das Privacy Shield war die wichtigste rechtliche Grundlage für den Transfer von personenbezogenen Kunden- und Mitarbeiterdaten in die USA. Die Luxemburger Richter befanden zum wiederholten Mal, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) einen weitreichenden Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichen und der Datenschutzstandard in den USA daher nicht dem in der EU entspricht.
Die ebenfalls eine Grundlage für den transatlantischen Datenverkehr darstellenden Standardvertragsklauseln sollten im Grundsatz weiterhin ihre Gültigkeit behalten. Allerdings müsse der Datenexporteur im Einzelfall prüfen, ob die Umstände der Übertragung und ggf. weitere mögliche Schutzmaßnahmen im Drittland ein angemessenes Schutzniveau sicherstellten.
Das Urteil ließ Unternehmen bis heute ratlos zurück, zumal auch die Datenschutzbehörden keine verlässliche und einheitlichen Leitlinien herausgegeben haben. So lieferten beispielsweise die Orientierungshilfe der baden-württembergischen Aufsichtsbehörde und den Empfehlungen des Europäischen Datenschutzausschusses EDSA nur bedingt Antworten. Die EU-Kommission hielt es daher für angebracht, die Standardvertragsklauseln als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen. Zudem wollte sie Anforderungen der DSGVO in den Klauseln berücksichtigen.
Neue Standardvertragsklauseln für internationalen Datentransfer
Die nun von der Kommission verabschiedeten neuen Standarddatenschutzklauseln sehen eine Reihe von Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vor. Insbesondere sollen die neuen Standarddatenschutzklauseln im Sinne eines modularen Ansatzes folgende Konstellation abbilden:
- Übermittlungen zwischen Verantwortlichen (Modul 1),
- Transfers von Verantwortlichen an Auftragsverarbeiter (Modul 2),
- Übermittlungen von Auftragsverarbeitern an weitere (Unter-)Auftragsverarbeiter (Modul 3),
- Transfers von Auftragsverarbeitern an einen Verantwortlichen (Modul 4).
Nach Auffassung der EU-Kommission berücksichtigen die neuen Standarddatenschutzklauseln auch die Anforderungen des EuGH aus seiner Schrems-II-Entscheidung.
Die neuen Standarddatenschutzklauseln schreiben erstmals Garantien vor, „um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem vorab zu klären, „wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist“. Getragen werden die Regeln von dem Verständnis, dass Gesetze, die das Wesen der Grundrechte und -freiheiten respektieren und in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, nicht im Widerspruch zu den Klauseln stehen.
Der Datenimporteur soll mit einem Zusatz zu den Standardvertragsklauseln versichern, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Daten erhält. Mitzuteilen sind dabei Details zu den angeforderten personenbezogenen Daten, das anfragende Amt, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn ihm dieser Schritt untersagt wird, muss er sich „nach besten Kräften um eine Aufhebung des Verbots“ bemühen. Zudem soll die Daten beziehende Stelle gegebenenfalls „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen.
Obligatorische Risikoeinschätzung
Die neuen Standardvertragsklauseln sehen eine obligatorische Risikoeinschätzung vor, die von den Beteiligten durchgeführt werden muss. (Der Europäische Datenschutzbeauftragte spricht von einem „Transfer Impact Assessment”.) Beide Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Bei der Zusicherung sollen u.a. insbesondere relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes – einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten – berücksichtigt werden. Die Risikoeinschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen.
Handlungsbedarf für Unternehmen
Auf Grund ihrer Natur als Vertragsklauseln können auch die neuen Standarddatenschutzklauseln etwaige Konflikte mit nationalem Recht von Drittstaaten in letzter Konsequenz nicht abschließend lösen. Die EU-Kommission weist in ihrem Beschluss zu den Standarddatenschutzklauseln sogar ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten.
Wirklich rechtssicher für europäische Unternehmen wäre hinsichtlich des Einsatzes der marktbeherrschenden US-amerikanischen Dienstleister wie Google, Amazon Web Service oder Microsoft allein eine politische Lösung mit einer Nachfolgevereinbarung für das EU-US Privacy Shield. Aber obwohl allen klar ist, dass es ohne die amerikanischen Dienstleister nicht geht und Presseberichten zufolge der amerikanische Präsident Biden auf eine politische Vereinbarung mit der EU drängt, „um das Vertrauen in den Datenfluss über den Atlantik wiederherzustellen“, dämpft die EU-Kommission derzeit noch die Hoffnungen. So ist nach Aussagen des EU-Justizkommissars Didier Reynders, der zurzeit mit der amerikanischen Wirtschaftsministerin Gina Raimondo verhandelt, gegenüber dem Handelsblatt und anderen europäischen Medien „kurz- und mittelfristig“ nicht damit zu rechnen, dass eine Übereinkunft gefunden werden kann, die den europäischen Anforderungen entspricht. „Wir wollen eine Schrems-III-Entscheidung verhindern“, unterstrich Reynders.
Checkliste
Datenexportierende Unternehmen werden also in aller Regel auch auf Grundlage der neuen Standarddatenschutzklauseln nicht umhin kommen, sämtliche auf Standarddatenschutzklauseln gestützte Übermittlungen in Drittländer im Einzelnen zu prüfen. Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren. Eine solche zu dokumentierende Risikoeinschätzung sollte mindestens folgende Punkte umfassen:
- Bestandaufnahme zu in Anspruch genommenen Dienstleistern und Sub-Dienstleistern
- Vereinbarung der Standardvertragsklauseln
- Prüfung möglicher technischer Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Anonymisierung, Serverstandort in der EU usw.)
- Prüfung des Datenschutzniveaus im Drittstaat („Welchen Gesetzen unterliegt der jeweilige Datenimporteur im Drittland?“)
- Prüfung von europäischen Alternativen
- Dokumentation
Datenschutzbehörden verschicken Fragebögen an Unternehmen
Zahlreiche Datenschutzbehörden (Berlin, Hamburg, Brandenburg, Bremen, Niedersachsen, Rheinland-Pfalz, Baden-Württemberg, Bayern und das Saarland) verschicken seit dem 1. Juni 2021 Fragebögen an Unternehmen, wie diese mit dem Thema internationaler Datentransfer und der Schrems-II-Entscheidung des EuGH umgehen. Es gibt unterschiedliche Fragebögen für nahezu alle relevanten Dienstleistungen:
- zum Einsatz von Dienstleistern zum E-Mail-Versand
- Zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten
- Zum Einsatz von Webtracking
- Zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten
- Zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten
Die einzelnen Fragebögen finden Sie hier.
Die Datenschutzbehörden wollen zumindest sehen, dass sich die Unternehmen mit dem Thema befasst haben und möglichst sensibel damit umgehen. So hat die Datenschutzaufsicht aus Baden-Württemberg in einer ihrer Orientierungshilfen zum Umgang mit Schrems II Folgendes geschrieben:
„Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.“
Ähnlich liest sich die Begründung einer Untersagung des US-amerikanischen Maildienstes Mailchimp durch das BayLDA im März 2021.
Umsetzungsfrist
Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer verwenden, sieht der Beschluss der EU-Kommission zu den neuen Standarddatenschutzklauseln nach Veröffentlichung im Amtsblatt der EU eine Übergangsfrist von 18 Monaten vor. Bei allen neu geschlossenen Verträgen müssen nunmehr die neuen Standardvertragsklauseln berücksichtigt werden.
Standardvertragsklauseln ersetzen Auftragsverarbeitungsverträge
Schließlich schafft die EU-Kommission mit den neuen Standardvertragsklauseln für Datenverarbeitungen im Auftrag gemäß Art. 28 DSGVO erstmalig eine EU-weit einheitliche Vertragsvorlage für Auftragsverarbeitungskonstellationen in der EU. Damit macht die Kommission von ihrem in Art. 28 Abs. 7 DSGVO eingeräumten Gestaltungsspielraum Gebrauch. Diese Standardverträge können die unterschiedlichen, in Deutschland verwendeten Muster-Auftragsverarbeitungverträge ersetzen und vereinheitlichen.
Illustrationen: FPS
