DSGVO: Standardvertragsklauseln neu: Was ist zu tun?

Der EuGH hat mit Urteil Schrems II (EuGH 16.7.2020 – C -311/18) das Privacy-Shield-Abkommen gekippt. Seither wird die Datenübermittlung in ein Drittland auf die gemäß Art 46 Abs 2 lit DSGVO erlassenen Standardvertragsklausen (Standarddatenschutzklauseln oder kurz “SCC”) gestützt. Am 4.6.2021 hat die Europäische Kommission einen neuen Satz an Standardvertragsklauseln veröffentlicht. Was müssen Unternehmer beachten? Mehr dazu in diesem Artikel.

Standardvertragsklauseln neu – modularer Aufbau:

Die noch gegenwärtigen Standardvertragsklauseln stammen aus den Jahren 2001, 2004 und 2010. Sie sind damit deutlich älter als die 2016 beschlossene DSGVO.

Als Konsequenz auf die oben erwähnte Entscheidung Schrems II wurden eine neue Version der Standarddatenschutzklauseln erlassen. Anders als die vorangehenden Standardvertragsklauseln folgen die neuen SCC einem modularen Ansatz. Die Parteien können zwischen vier Modulen “wählen”:

• Modul 1: Verantwortlicher zu Verantwortlicher
• Modul 2: Verantwortlicher zu Auftragsverarbeiter
• Modul 3: Auftragsverarbeiter zu Auftragsverarbeiter
• Modul 4: Auftragsverarbeiter zu Verantwortlicher

Während die Module 1 und 2 bereits geregelt wurden, sind die Module 3 und 4 erstmals von den Standardvertragsklauseln umfasst.

Häufig befinden sich Auftragsverarbeiter in einer Zwischen-Position zwischen dem Verantwortlichen und Sub-Auftragsverarbeiter. Dabei sollten die Auftragsverarbeiter ihre Verpflichtungen an den Sub-Auftragsverarbeiter “weiterreichen”. Diesem Problem begegnen die Module 2 und 3, indem sie lediglich verlangen, dass dem Unterauftragsverarbeiter “im Wesentlichen” dieselben Datenschutzpflichten auferlegt werden, wie dem Auftragsverarbeiter.

SCC: Transfer-Folgenabschätzung oder “Transfer Impact Assessment”

Datenschützer müssen sich einen neuen Begriff einprägen: Das “Transfer Impact Assessment“. (Vorsicht: Selbstkreiertes neues Buzzword: “TIA”)

Die neuen Standardvertragsklauseln enthalten mit den Klauseln 14 und 15 einen eigenen Abschnitt, der sich mit der Rechtssache Schrems II befasst. Von zentraler Bedeutung sind dabei:

• Die Pflicht zur Durchführung einer Transfer-Folgenabschätzung oder “Transfer Impact Assessment” und
• Vertraglichen Pflichten zum Umgang mit behördlichen Ersuchen um Datenherausgabe

Gemäß Klausel 14 lit a müssen alle Parteien zusichern,

keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener
Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland,
einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden
den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln
hindern.

Bei der Bewertung des Drittland-Niveaus sollen folgende Aspekte berücksichtigt werden:

• die Länge der Verarbeitungskette
• die Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle
• beabsichtigte Datenweiterleitung
• die Art des Empfängers
• der Zweck der Verarbeitung
• die Kategorien und das Format der übermittelten personenbezogenen Daten
• der Wirtschaftszweig, in dem die Übertragung erfolgt
• der Speicherort der übermittelten Daten
• alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Standardvertragsklauseln eingerichtet wurden….

Die von den Parteien vorgenommene Beurteilung ist zu dokumentieren und gegebenenfalls nachzuweisen.

Standardvertragsklauseln: Umgang mit Behördenersuchen

Klausel 15 der neuen SCC sieht Regelungen vor, wenn eine Behörde vom Datenimporteur die Herausgabe von Daten verlangt. Die Pflichten des Importeuer umfassen:

• Informationspflichten des Datenexporteuers
• Untersuchungspflichten zur Rechtmäßigkeit des behördlichen Herausgabeverlangens
• Ergreifung von Schutzmaßnahmen gegen einen Zugriff von Ermittlungsbehörden
  
  

Standarddatenschutzklauseln: “Drittbegünstigung” und Aufsicht durch DSB?

Sprengkraft enthält Klausel iVm Klausel 12 lit b: Demnach haben betroffene Personen einen Anspruch auf Schadenersatz für Schäden aus der Verletzung drittbegünstigender Regelungen aus den Standardvertragsklauseln.

Hoheitsrechtlich interessant: Gemäß Klausel 13 lit b unterwirft sich der Datenimporteuer (zB Microsoft, Amazon, Google – aber auch Alibaba, Tencent und Co) der Zuständigkeit einer europäischen Datenschutzaufsichtsbehörde und erklärt sich damit einverstanden, sich Prüfungen durch die Aufsicht zu unterziehen und den von der Aufsicht getroffenen Maßnahmen, inklusive Abhilfemaßnahmen, nachzukommen. Die Praxis wird zeigen, ob und wie sich dies umsetzen lässt….

SCC: Umsetzung

Nun zur wichtigsten Frage: Bis wann muss “das” umgesetzt werden?

Die neuen Standardvertragsklauseln sind bereits am 27.6.2021 in Kraft getreten.

Bis zum 27.9.2021 können noch die alten Standarddatenschutzklauseln abgeschlossen werden.

Bis zum 26.12.2022 können die Datenübermittlungen auf Grundlage der alten SCC erfolgen. Ab dem 27.12.2022 muss der Datentransfer auf Basis der neuen Standarddatenschutzklauseln erfolgen.

Standardvertragsklauseln: Übersicht der To-Do`s

1. Data Mapping: Datenexporteure sollten sich eine Übersicht verschaffen, welche Datenflüsse in Drittländer existieren.
2. Auswahl der passenden Module: Die Sachverhalte sind jeweils zu analysieren und die richtigen Module zu wählen.
3. Durchführung des TIA: Jedem Abschluss der neuen SCC ist eine TIA (Transfer-Impact-Assessment) voranzugehen.
4. Abschluss: Bis zum 26.12.2022 müssen die neuen Standarddatenschutzklauseln abgeschlossen werden.
5. Re-Evaluierung: Die getroffenen Maßnahmen und Verträge sind regelmäßig zu re-evaluieren.

‍