Zum Inhalt springen Zur Navigation springen
EU-Kommission verabschiedet DSGVO-Standardvertragsklauseln

EU-Kommission verabschiedet DSGVO-Standardvertragsklauseln

Die EU-Kommission hat die neuen Standardvertragsklauseln verabschiedet. Damit wird dieses wichtige Instrument für den internationalen Datentransfer 3 Jahre nach Anwendbarkeit der DSGVO endlich an die Verordnung angepasst. Daneben berücksichtigt das neue Klauselwerk die Vorgaben des EuGH Urteils Schrems II. Auf Unternehmen, die Daten aufgrund von Standardvertragsklauseln in Drittländer wie die USA übertragen, kommt nun einiges an Arbeit zu.

Was sind Standardvertragsklauseln und wofür werden sie benötigt?

Die Rechtmäßigkeit der Übermittlung von Daten in Länder außerhalb der EU bzw. des EWR wird grundsätzlich in zwei Stufen festgestellt. Auf der ersten Stufe muss eine tauglichen Rechtsgrundlage wie z.B. Art. 6 Abs. 1 a) DSGVO für die Datenübermittlung vorliegen. Auf der zweiten Stufe wird dann geprüft, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Ein solches kann für ein Land ganz oder teilweise für einen Sektor mit einem Angemessenheitsbeschluss durch die EU-Kommission festgestellt werden.

Daneben kann nach Art. 46 DSGVO ein angemessenes Schutzniveau auch durch geeignete Garantien hergestellt werden. Eine von diesen Garantien sind von der EU-Kommission angenommene Standardvertragsklauseln oder auch Standarddatenschutzklauseln wie sie im Art. 46 Abs. 2 c) DSGVO bezeichnet werden. Dabei handelt es sich um Musterverträge, die beide Parteien zum Einhalten eines mit der EU vergleichbaren Datenschutzniveaus verpflichten.

Des Weiteren findet sich der Begriff Standardvertragsklauseln noch im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO. Deren Bezugspunkt sind die von den Absätzen 3 und 4 geforderten inhaltlichen Voraussetzungen der Auftragsverarbeitung. Sie unterschieden sich somit von Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach Art. 46 DSGVO und sollen für diesen Beitrag ausgeklammert werden.

Schrems II und Datenübermittlungen in die USA

Der EuGH erklärte im Schrems II Urteil vom 16. Juli 2020 (Rs. C-311/18) den Angemessenheitsbeschluss Privacy Shield für unwirksam. Zugleich stellte er in dem Urteil aber fest, dass die Standardvertragsklauseln grundsätzlich weiterhin ihre Gültigkeit behalten. Allerdings muss der Datenexporteur im Einzelfall prüfen, ob die Umstände der Übertragung und ggf. weitere mögliche Schutzmaßnahmen im Drittland ein angemessenes Schutzniveau sicherstellen. Als Reaktion auf das Urteil wichen viele Unternehmen bei der Datenübertragung in die USA auf Standardvertragsklauseln aus.

Jedoch herrschte bei Unternehmen breite Unsicherheit wie die vom EuGH geforderten weiteren Schutzmaßnahmen in der Praxis konkret aussehen sollen. Die Orientierungshilfe der baden-württembergischen Aufsichtsbehörde und der FAQ des EDSA lieferten darauf nur bedingt Antworten. Die EU-Kommission war nun gewissermaßen im Zugzwang mit den schon lange überfälligen DSGVO-Standardvertragsklauseln nachzuliefern. In der Pressemitteilung zeigt sich der EU-Justizkommissar Didier Reynders zuversichtlich, dass dies gelungen ist:

„With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”

Das hört sich Anfang der Woche noch anders an. Gegenüber dem Handelsblatt sprach Reynders im Zusammenhang mit den Standardvertragsklauseln von „keiner perfekten Lösung“. Aber ein neues Datenschutzabkommen mit den USA sei kurz- oder mittelfristig nicht umzusetzen, wenn man eine Schrems-3-Entscheidung vermeiden wolle.

Die neuen DSGVO-Standardvertragsklauseln

Bisher gab es drei Sets von Standardvertragsklauseln. Set I und II für die Konstellation EU-Controller (Verantwortlicher) to Non-EU Controller und ein drittes für die Konstellation EU-Controller to Non EU Processor (Auftragsverarbeiter). Nun gibt es anstatt drei Sets nur noch ein Klauselwerk, das von der EU-Kommission angenommen wurden:

Dies ist dadurch zu erklären, dass die Standardvertragsklauseln nun modular aufgebaut sind. In dem neuen Klauselwerk finden sich neben den zwei alten Konstellationen nun erstmals Module für die Datenübertragung Processor to Processor (Modul 3) und Processor to Controller (Modul 4). Daneben beinhalten die Standardvertragsklauseln z.B. umfassende Haftungsregeln und die Möglichkeit den Gerichtsstand und das anwendbare Recht festzulegen. Insgesamt ermöglichen die DSGVO-Standardvertragsklauseln Unternehmen so mehr Flexibilität. Diese sorgt aber auch dafür, dass der Abschluss von Standardvertragsklauseln für KMU künftig komplizierter wird. Hinzu kommt der Aufwand für die umfassenderen Dokumentationspflichten, die in die Standardvertragsklauseln Einzug gefunden haben.

Risikobasierter Ansatz in den Standardvertragsklauseln?

Außerdem wurden die Anforderungen des Schrems II Urteil in die Standardvertragsklauseln (Module 14 und 15) aufgenommen. So wird etwa die, schon vom EDSA nach dem Schrems II Urteil von Unternehmen geforderte, dokumentierte Risikoeinschätzung („Transfer Impact Assessment”) verbindlich geregelt. Dabei müssen die Parteien beispielsweise versichern, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.

Bei der Zusicherung sollen u.a. insbesondere relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie geltende Beschränkungen und Garantien hinreichend berücksichtigt werden. In der Fußnote heißt es dazu:

Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. […] Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden.

Verfechter eines risikobasierten Ansatzes für die Übermittlung von personenbezogenen Daten in Drittländer stützen ihre Argumentation insbesondere auf den Umstand, dass in die Bewertung der Auswirkungen von gesetzlichen Offenlegungspflichten nun auch subjektive praktische Erfahrungen ausdrücklich einfließen sollen. Diese Formulierung der EU-Kommission in den Standardvertragsklauseln könnte tatsächlich zu einem Schrems III führen, welches man eigentlich unbedingt vermeiden wollte. Denn noyb kündigte im Rahmen der Konsultation zu den neuen Standardvertragsklauseln (S. 2) bereits an:

This wording seems to interpreted by some controllers and processors as meaning that even when there are third country laws that violate the GDPR this can be ignored when these laws were not used, or not used enough by a third country government. In essence this would lead to a “law or practice” approach […] [which was] rejected by the CJEU. […] noyb will closely monitor the developments regarding this point and take appropriate legal steps should the Commission adopt such an approach and controllers actually rely on this approach.

Was ist nun zu tun?

Die offizielle Version der neuen DSGVO-Standardvertragsklauseln wird in den kommenden Tagen im EU-Amtsblatt veröffentlicht. Update: 20 Tage nach der Veröffentlichung, ab dem 27.06.2020, läuft gemäß Artikel 4 eine 18-monatige Übergangsfrist. An deren Ende, bis zum 27. Dezember 2022, müssen Unternehmen alle bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von Daten in Drittländer durch die neue Version ersetzt haben.

Unternehmen sollten nun prüfen, welche personenbezogenen Daten sie aufgrund von Standardvertragsklauseln in Drittländern übermitteln, sofern diese Information nach dem Schrems II Urteil nicht sowieso schon dokumentiert vorliegt. Die Vertragspartner sollte man dann darauf drängen, so schnell wie möglich, die neuen Standardvertragsklauseln abzuschließen. Einerseits, weil diese die Anforderungen des Schrems II Urteils berücksichtigen, deren Einhaltung die deutschen Aufsichtsbehörden gerade in einem koordinierten Verfahren prüfen. Anderseits, weil die Risikobewertung der Rechtslage im Drittland und die darauf basierende Verhandlung über geeignete technische und organisatorische Maßnahmen sowie die anschließende Dokumentation einiges an Zeit in Anspruch nehmen dürfte. Auf Unternehmen und ihre Datenschutzbeauftragte kommt also einiges an Arbeit zu.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.