Die neuen Standardvertragsklauseln: Eine Bestandsaufnahme

Fachbeitrag

Am 7. Juni 2021 hat die Europäische Kommission neue Standarddatenschutzklauseln verabschiedet. Die Landesdatenschutzbeauftragte Niedersachens bezeichnet diese als eine ganz erhebliche Verschärfung gegenüber vorherigen Fassungen. Fakt ist, dass die Vereinbarungen keine „check-the-box“-Übungen sind, denn jeder Datentransfer in ein Drittland muss mittels eines „Transfer Impact Assessments“ in den Blick genommen werden. Nun ist die erste Frist der Europäischen Kommission abgelaufen – Zeit für eine Bestandsaufnahme und einen Ausblick.

Wo stehen wir nach 5 Monaten der neuen Standardvertragsklauseln?

Um den aktuellen Stand nachvollziehen zu können, ist ein kurzes Herauszoomen geboten. Wem der nun folgende Überblick, was genau Standardvertragsklauseln sind und wofür sie verwendet werden, zu kurz ist, verweisen wir gerne auf diese Beiträge:

Warum brauchen wir die Standardvertragsklauseln?

Die Übermittlung personenbezogener Daten in Drittländer wird in der Praxis häufig auf sogenannte Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c DSGVO gestützt. Ziel dieser Standardvertragsklauseln – auch SCCs genannt (englisch für „Standard Contractual Clauses“) – ist die vertragliche Vereinbarung eines Datenschutzstandards, der dem der Europäischen Union entspricht. Drittländer, zu denen auch die USA gehören, sind entsprechend all diejenigen Länder, in denen die Datenschutz-Grundverordnung nicht unmittelbar gilt und zu denen es auch keinen Angemessenheitsbeschluss der Europäischen Kommission gibt. Da Drittländer also zunächst nur an ihr nationales Recht im Bereich des Datenschutzes gebunden sind, welches mitunter ein geringeres Datenschutzniveau beinhaltet, als es für die Verarbeitung personenbezogener Daten in der Europäischen Union vorgesehen ist, werden die SCCs benötigt.

Der Mustervertrag der Standardvertragsklauseln wird zwischen dem Verantwortlichen und der Stelle im Ausland abgeschlossen, an die die Daten fließen sollen.

Schrems II und die neuen Standardvertragsklauseln

Standardvertragsklauseln gibt es schon viele Jahre – die letzte Fassung stammt aus dem Jahr 2010. Das viel beachtete Urteil Schrems II des Europäischen Gerichtshof vom 16. Juli 2020 gab der Europäischen Kommission Anlass dazu, die Klauseln zu erneuern. Denn neben der Ungültigkeitserklärung des Angemessenheitsbeschlusses „EU-US Privacy Shield“ für die Datenübermittlung in die USA hat der Europäische Gerichtshof auch die Anforderungen konkretisiert, die für alle Datenübermittlungen in Drittländern aus den Art. 44 ff DSGVO folgen.

Mit den neuen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C (2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021) erhofft sich die Europäische Kommission mehr Rechtssicherheit und Flexibilität beim Datentransfer in Drittländer.

Was sind die wichtigsten Änderungen in den Standardvertragsklauseln?

Statt mehrerer Sets an Standardvertragsklauseln gibt es nun nur noch ein Klauselwerk, das modular aufgebaut ist. Beim Abschluss der SCCs kann nun für die verschiedenen Anwendungsfälle ein entsprechendes Modul ausgewählt werden.

Neu geregelt ist auch der Umgang mit Behördenersuchen (Klausel 15 der neuen SCCs). Der Datenimporteur verpflichtet sich durch die Standardvertragsklauseln, ein Auskunftsersuchen nationaler Behörden auf Rechtmäßigkeit zu überprüfen und gegebenenfalls gegen das Ersuchen vorzugehen. Soweit möglich, muss sich der Datenimporteur darum kümmern, dass der Datenexporteur und eventuell betroffene Personen von dem behördlichen Ersuchen informiert werden.

In einer weiteren Änderung zeigt sich der direkte Einfluss des Schrems-II-Urteils des Europäischen Gerichtshofs. Die Regelung der Klausel 14 schreibt vor, dass vor einem Datentransfer in ein Drittland das Rechtsniveau des Datenschutzes dieses Landes zu beurteilen ist („Transfer Impact Assessment“). Genügen die rechtlichen Voraussetzungen einem europäischen Datenschutzniveau nicht, sind zusätzlich Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.

Der zeitliche Rahmen zur Implementierung der neuen SCCs ist wie folgt:

  • 27. September 2021: Ab diesem Zeitpunkt ist die Verwendung alter Standardvertragsklauseln nicht mehr zulässig. Verträge dürfen ausschließlich nur noch auf der Grundlage des neuen Musters der Schutzklauseln abgeschlossen werden
  • 27. Dezember 2022: Bis zu diesem Zeitpunkt müssen die Verantwortlichen alle bestehenden Verträge auf die neuen Standardschutzklauseln umstellen.

Die erste Frist ist abgelaufen: Was sagen die Aufsichtsbehörden?

Nach und nach gibt es mehr Handreichungen, Orientierungshilfen und Stellungnahme von den deutschen Aufsichtsbehörden. Aus ihnen wir deutlich, dass die Aufsichtsbehörden insbesondere ein Augenmerk auf Klauseln legen, die das Urteil Schrems II des Europäischen Gerichtshof vom 16. Juli 2020 umsetzen. Dies sind die Klauseln 14 und 15 der neuen Standardvertragsklauseln. Doch auch darüber hinaus sprechen die Aufsichtsbehörden Empfehlungen aus.

Was sagen die nationalen Aufsichtsbehörden?

Schon kurz nach der Veröffentlichung der neuen Standardvertragsklauseln hat sich die Datenschutzkonferenz geäußert:

„Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) weist wie auch der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist.“

Ähnliche Töne sind von einzelnen nationalen Aufsichtsbehörden zu hören, beispielsweise aus Nordrhein-Westfalen:

„Insbesondere ist zu prüfen, inwiefern mit den Maßnahmen Pseudonymisierung und Verschlüsselung wirksam gearbeitet werden kann. Bei manchen Diensten oder Softwarelösungen können solche Maßnahmen nur eingeschränkt umgesetzt werden, weil Zugriffsmöglichkeiten im Drittland für die Funktion erforderlichoder sonst fest eingebaut sind.“

Der Landesbeauftragte für Datenschutz und Informationssicherheit des Landes Baden-Württemberg (LfDI BaWü) wurde in seiner aktualisierten Handreichung vom 1.10.2021 konkreter und spricht Klarstellungen und Empfehlungen aus, u.a.:

  • Klausel 15.2 a) sieht vor die Offenlegung personenbezogener Daten in einem gegenüber den jeweiligen Behörden zu unterlassen, bis die geltenden Verfahrensregeln des Rechtswegs dies erforderlich machen. Der LfDI BaWü stellt hier klar, dass eine einstweilige gerichtliche Entscheidung nicht ausreichend sei. Vielmehr bedürfe es einer rechtskräftigen Verurteilung des zuständigen Gerichts im Hauptsacheverfahren. Diese Klarstellung solle insbesondere bei Ländern zusätzlich zu Klausel 3 a) vi) aufgenommen werden, in denen der Zugriff durch staatliche Behörden möglich ist.
  • In Ergänzung zum Anhang in Klausel 8.2 solle die Verpflichtung des Datenimporteurs aufgenommen werden, den Betroffenen von der Vergabe des Verarbeitungsauftrages an einen Unterauftragsverarbeiter zu benachrichtigen, soweit dieser dem Datenimporteur bekannt ist.

Aufsichtsbehörden im europäischen Vergleich

Klarstellungen oder Empfehlungen, die ähnlich konkret werden wie die des LfDI BaWü, gibt es nicht. Vielmehr wird die Linie des EDSA aufgegriffen. Beispielhaft hierfür ist die französische Aufsichtsbehörde (CNIL), die schlicht betont, dass bei der Verwendung von SCCs zur Übermittlung von Daten in Drittländer gegebenenfalls zusätzliche Maßnahmen ergriffen werden müssen, um ein Schutzniveau zu gewährleisten, das im Wesentlichen dem des Europäischen Wirtschaftsraums entspricht.

Die Schnittmenge der Aufsichtsbehörden

Sowohl auf nationaler Ebene als auch im europäischen Vergleich haben die Aufsichtsbehörden klar die Marschroute der Empfehlung des Europäischen Datenschutz Ausschlusses (EDSA) eingeschlagen. Dieser hat am 18. Juni 2021 nach Abschluss der öffentlichen Konsultation seine Empfehlungen für ergänzende Schutzmaßnahmen beim Transfer internationalen Drittlandtransfer veröffentlicht. Es handelt sich dabei um eine Überarbeitung der im November 2020 veröffentlichen ersten Fassung der Empfehlungen.

Zuungunsten der Unternehmen beinhalten die Leitlinien wenig pragmatische Lösungsansätze, sondern sind vielmehr als „streng“ oder „dogmatisch“ zu bezeichnen. Eine entsprechende Bindung von Ressourcen wird für die Unternehmen unumgänglich sein.

Ein Ausblick auf das Jahr 2022

Seit dem ersten Fristablauf Ende September dürfen bei neuen Vertragsschlüssen nur noch die neuen Standardschutzklauseln zur vertraglichen Grundlage gemacht werden. Die Europäische Kommission hat aber noch eine zweite Frist bestimmt: Bis zum 27. Dezember 2022 müssen alle bisherigen Altverträge überprüft und auf die neuen Standardvertragsklauseln umgestellt werden. Was kommt also im Jahr 2022 auf die Unternehmen zu?

Sind schon in nächster Zukunft Bußgelder zu erwarten?

Eine fehlende oder unvollständige Implementierung der neuen Standardvertragsklauseln kann durch die zuständigen Aufsichtsbehörden mit Bußgeldern belegt werden. Natürlich kann niemand in eine Glaskugel schauen und voraussagen, wann die Aufsichtsbehörden wohl die ersten Bußgelder verhängen werden. Aus den nach und nach erscheinenden Orientierungshilfen und Leitlinien kann jedoch herausgelesen werden, dass auch die Aufsichtsbehörden noch dabei sind, die neuen Standardvertragsklauseln zu sezieren und eine eigene Linie zu formen. Bisher gibt es noch keine Bußgeldverfahren. Mit Ablauf der ersten Frist, die bestimmt, dass nur noch die neuen SCCs zu verwenden sind, sind Bußgelder von Aufsichtsbehörden zwar denkbar geworden. Wahrscheinlicher ist aber, dass die Aufsichtsbehörden den zweiten Fristablauf im Dezember 2022 abwarten, bevor sie die großen Geschütze auffahren.

Sind Sie fit für den Ablauf der zweiten Frist?

Schon bei Veröffentlichung der neuen Standardvertragsklauseln im Juni 2021 war klar, dass sich der Organisationsaufwand bei Vertragsschlüssen deutlich vergrößert. Auch der Bearbeitungsaufwand von Altverträgen bringt durch die Umstellung von alten Standardvertragsklauseln auf die neuen SCCs einiges an Arbeit mit sich. Obwohl derzeit wohl eher noch keine Bußgelder abzusehen sind, ist der anstehende Arbeitsaufwand zügig anzugehen. Ein Fristende, das noch über ein Jahr entfernt ist, klingt zwar weit in der Zukunft, die anstehenden Vertragsumstellungen sind jedoch nicht zu unterschätzen. Denn nicht nur die Durchführung einer Due Diligence für jeden Datenstrom unter Berücksichtigung eines Transfer Impact Assessments ist zeitaufwendig, auch eine Dokumentation, die den Anforderungen von Klausel 14 lit. d) der neuen SCCs entspricht, benötigt Ressourcen.

Webinar zum Thema

Insbesondere die Due Diligence unter Berücksichtigung eines Transfer Impact Assessments stellt eine Herausforderung dar. Wir möchten, dass Sie möglichst gut gewappnet sind und dem Ablauf der zweiten Frist der Standardvertragsklauseln entspannt entgegensehen können. Informieren Sie sich deshalb über unser Webinar »Auftragsverarbeitung kompakt«.

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung indem auch die Standardvertragsklauseln (SCC-Module) und Risikobewertung mit einfließen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.