Sollen personenbezogene Daten von dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden, so bedarf es nicht nur einer Rechtsgrundlage, sondern auch einer Datenschutzgarantie, welche gewährleistet, dass das Datenschutzniveau des Empfängers den Standards der EU entspricht. Eine Grundlage für die Datenübermittlung personenbezogener Daten geht aus Art. 46 Abs. 2 c) DSGVO hervor, welcher die Standardvertragsklauseln (Standard Contractual Clauses – SCC) als taugliche Datenschutzgarantie benennt.
Am 07.06.2021 veröffentlichte die Europäischen Kommission mit ihrem Durchführungsbeschluss vom 04.06.2021 neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer. Mit ihnen kommen grundlegende Neuerungen für die Sicherstellung des europäischen Datenschutzstandards beim internationalen Datentransfers. Die Neuerungen berücksichtigen die technische Entwicklung, besonders im Bereich der Digitalisierung, sowie die Entscheidung des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-311/18 (Schrems II). Die neuen SCC lösen die vorhergehenden Klauseln aus den Jahren 2001, 2004 bzw. 2010 ab.
1. Umsetzung des Schrems-II-Urteils
Die Europäische Kommission kommt in ihrem Beschluss den Vorgaben aus dem Schrems-II-Urteil nach. Mit dem Urteil erklärte der EuGH das EU-U.S. Privacy Shield für nichtig, hielt jedoch an den bestehenden SCC fest. Allerdings ist nach Auffassung der Richter an den Einsatz der SCC ein hoher Anspruch zu stellen. Als Reaktion auf das Urteil etablierte die Europäische Kommission die Klauseln 14 und 15, welche die Anforderungen an die Verwendung der SCC in der Praxis verschärfen. Demzufolge obliegt dem Datenexporteur die Pflicht vor der Übermittlung zu prüfen, ob in dem Empfängerdrittland ein Schutzniveau besteht, welches dem in der EU gleichwertig ist. Ist dies nicht der Fall, so bedarf es für die Gewährleistung eines einheitlichen Schutzniveaus der Etablierung zusätzlicher Maßnahmen. Im Einzelnen bestimmt Klausel 14 die Pflicht zur Durchführung eines Transfer Impact Assessments (Transferfolgenabschätzung). Bei der Durchführung einer Transferfolgenabschätzung ist das Rechtsniveau im Empfänger-Drittland zu ermitteln. Dabei gilt es die besonderen Umstände der Übermittlung sowie alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der SCC eingerichtet wurden, zu berücksichtigen. Die Transferfolgenabschätzung ist zu dokumentieren.
Klausel 15 normiert die vertragliche Pflichten zum Umgang mit behördlichen Ersuchen um Datenherausgabe. Der Datenimporteur ist dazu verpflichtet den Datenexporteur sowie ggf. die Betroffenen unverzüglich zu benachrichtigen, wenn Behörden Zugang zu den Daten bekommen.
Liegt ein derartiges Auskunftsverbots vor, so ist der Importeur dazu verpflichtet sich um die Aufhebung dieses zu bemühen. Des Weiteren ist es die Pflicht des Datenimporteurs die Rechtmäßigkeit des behördlichen Herausgabeverlangens zu beurteilen.
2. Aufbau der SCC
Insgesamt wurde der Anwendungsbereich der SCC erweitert. Die Neuerungen ermöglichen, dass die SCC künftig ebenfalls mit Datenexporteuren vereinbart werden können, die nicht in der EU niedergelassen sind, auf welche die DSGVO jedoch gemäß Art. 3 Abs. 2 DSGVO Anwendung findet.
Die neuen Standardvertragsklauseln sind entsprechend der Klausel 8 modular aufgebaut. Es ergeben sich folgende Konstellationen:
Modul 1: Übermittlung von Verantwortlicher an Verantwortlichen (C2C)
Modul 2 : Übermittlung von Verantwortlicher an Auftragsverarbeiter (C2P)
Modul 3: Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter (P2P)
Modul 4: (Rück)Übermittlung von Auftragsverarbeiter an Verantwortlichen (P2C)
Mit Abschluss eines der Module versichert der Datenexporteur, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur ebenfalls in der Lage ist den Obliegenheiten, welche sich aus den Klauseln ergeben, nachzukommen.
Die Module 1 und 2 wurden in Anlehnung an die Altklauseln konzipiert, wobei umfangreiche Anpassung an die Anforderungen der DSGVO vorgenommen wurden. Somit beanspruchen die Module 1 und 2 folglich eine erhöhte Detailtiefe für sich.
Bei der Übermittlung der Daten von einem Verantwortlichen oder einen Auftragsverarbeiter an einen (Unter-)Auftragsverarbeiter (Modul 2 und 3) entfällt die Notwendigkeit zusätzlicher Auftragsverarbeitungsvereinbarungen. Die Standardvertragsklauseln decken bereits die Anforderungen aus Art. 28 DSGVO ab.
Die Möglichkeit der Nutzung von SCC durch übermittelnde Auftragsverarbeiter (Modul 3 und 4) wurden neu eingeführt. Im Gegensatz zu Modul 3 ist bei Abschluss des Moduls 4 zu beachten, dass zwingend ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden muss.
Die Module 1-3 fallen in die Zuständigkeit einer europäischen Datenschutzaufsichtsbehörde. Wendet der Datenimporteur diese Module an, so muss er sich ggf. einer Prüfung durch die Datenschutzaufsichtsbehörde unterziehen und den angeordneten Maßnahmen der Aufsichtsbehörde nachkommen.
Die eingangs benannten Klauseln 14 und 15 gelten grundsätzlich für alle Module. Unter bestimmten Voraussetzungen kann es im Rahmen des Moduls 4 zu Ausnahmen kommen.
3. Weitere Neuerungen
Die SCC entfalten ihre rechtfertigende Wirkung, wenn sie unverändert vereinbart werden. Die Europäische Kommission sieht jedoch durch die Etablierung der Klausel 2 a) vor, dass das Auflösen der zuvor genannten Strukturen möglich ist und die Klauseln in einen Vertrag integriert werden und zusätzliche Garantien zwischen den Parteien vereinbart werden können. Weitere Klauseln und Garantien dürfen dabei jedoch weder unmittelbar noch mittel im Widerspruch zu den Klauseln der Europäischen Kommission stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Des Weiteren regelt die Europäische Kommission in Klausel 5, dass die SCC Vorrang vor abweichenden Abreden in anderweitigen Verträgen haben.
Gemäß Klausel 12 a) haften beide Parteien für Schäden durch einen Verstoß gegen diese Klauseln grundsätzlich unbeschränkt. Entsprechend Klausel 12 b) können betroffene Personen Schadensersatz für materielle und immaterielle Schäden aus Verletzung drittschützenden Regelung fordern. Die Parteien haften jeweils gesamtschuldnerisch.
So kurz und knapp wie die Klausel 5 in dem Durchführungsbeschluss auch formuliert sein mag, so wirkt sie sich jedoch bspw. im Hinblick auf der in Klausel 12a) bestimmten unbeschränkten Haftung der Parteien insoweit aus, dass Haftungsbeschränkungen zukünftig nicht mehr vereinbart werden können.
Durch die Etablierung der fakultativen Koppelungsklausel 7 wird es Dritten ermöglicht, den zwischen zwei anderen Parteien vereinbarten SCC als Datenexporteur oder -importeur beizutreten, ohne dass es den Abschuss eines separater Vertrages erfordert. Der beitretende Dritte wird Partei dieser Klausel. Ihm obliegen die Rechte und Pflichten eines Datenexporteurs oder -importeurs.
Im Gegensatz zu den Altklauseln ist zur Bestimmung der Rechtswahl und des Gerichtsstands nicht mehr die Niederlassung des Datenexporteurs relevant. Gemäß der Klausel 18 können die Parteien Gerichte aus den EU-Mitgliedsstaaten frei benennen.
4. Resümee
Die neuen SCC sind insgesamt zu begrüßen, da die Europäische Kommissionen bei der Beschlussfassung technische und rechtliche Entwicklungen beachtet hat und somit insgesamt die Rechtssicherheit erhöht. Insbesondere im Hinblick auf die ehemaligen SCC kann vermerkt werden, dass diese schon lange nicht mehr der wirtschaftlichen und rechtlichen Realität entsprachen. Für die unternehmerische Praxis ist es zudem förderlich, dass durch die Etablierung der Module 3 und 4 Parteien SCC vereinbaren können, die zuvor nicht die Möglichkeit dazu hatten. Somit sind separate und umfangreiche Verträge künftig entbehrlich. Zwar ermöglicht der modulare Aufbau der SCC den Unternehmen eine höhere Flexibilität beim Datentransfer in Drittländer, jedoch wird diese in der Praxis mit einem erhöhten Aufwand verbunden sein.
Seit dem 27.09.2021 sind die SCC zwingend bei Neuverträgen anzuwenden. Die Umstellung bei Altverträge muss bis zum 27.12.2022 vollzogen werden. Unternehmen sollten daher zeitnah prüfen, an welche nichteuropäischen Stellen sie personenbezogene Daten aufgrund der alten SCC übermitteln. Insbesondere sind dabei auch konzerninterne Datenübermittlungen zu berücksichtigen. Für Unternehmen gilt es ebenfalls zu beachten, dass der Datenexporteur und der Datenimporteur im Vorfeld im Rahmen einer komplexen Transferfolgenabschätzung zu überprüfen haben, ob der Schutz der zu übermittelnden personenbezogenen Daten gewährleistet werden kann. Sollte dies nicht der Fall sein, sind weitere Maßnahmen zu ergreifen, weshalb es zu einem erhöhten Zeit- und Ressourcenaufwand kommen kann. Im Zweifel muss der Datentransfer gestoppt werden. Unter Beachtung des erhöhten Zeit- und Ressourcenaufwands zur Umstellung auf die neuen SCC wird empfohlen, dass Unternehmen frühzeitig mit ihrem Datenschutzbeauftragten und dem Datenimporteur Kontakt aufnehmen und den Prozess anstoßen.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024