Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer stellen einen bewährten Mechanismus dar, um einen DSGVO-konformen Datentransfer sicherzustellen. Die Europäische Kommission hat nunmehr ein Update für dieses beliebte Instrument vorgelegt. Neben einer Fortführung des bisherigen Regelungsansatzes bringen die neuen Standardvertragsklauseln auch einige Erweiterungen und Änderungen mit sich. In diesem Beitrag werfen wir einen ersten Blick auf die Klauseln und stellen die wesentlichen Neuerungen vor.
Standardvertragsklauseln – Bewährt, aber in die Jahre gekommen
Ein wesentliches Ziel der Datenschutz-Grundverordnung ist es, den freien Verkehr personenbezogener Daten im europäischen Binnenmarkt sicherzustellen. Spiegelbildlich hierzu werden an den Transfer solcher Daten in Drittstaaten besondere Anforderungen gestellt. Wer personenbezogene Daten exportieren will muss daher sicherstellen, dass diese auch weiterhin einem adäquaten Datenschutzniveau unterliegen.
Einen gleichsam bewährten und leicht zu handhabenden Mechanismus hierzu stellen die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer dar. Als geeignete Garantien in Form von Standarddatenschutzklauseln im Sinne des Art. 46 Abs. 2 Buchst. c DSGVO bieten die Standardvertragsklauseln für Datenexporteure die Möglichkeit, mit vergleichsweise wenig Aufwand einen DSGVO-konformen Datentransfer sicherzustellen. Da sie als Musterverträge bereits von der Europäischen Kommission genehmigt wurden, können sie in unveränderter Weise direkt verwendet werden und müssen nicht mehr einer gesonderten Prüfung unterzogen werden.
Allerdings sind die vorhandenen Standardvertragsklauseln mit der Zeit etwas in die Jahre gekommen. Die alten Vertragssets stammen von 2001 und 2010 und damit noch aus der Zeit der Europäischen Datenschutz-Richtlinie. Es verwundert daher nicht, dass sich unter der Geltung der DSGVO schnell verschiedene Alterserscheinungen bemerkbar machten.
So bildeten die Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Auftragsverarbeiter in einem Drittland die Anforderungen aus Art. 28 Abs. 3 DSGVO an die Gestaltung von Auftragsverarbeitungsverträgen nicht mehr richtig ab und mussten daher jeweils zusätzlich von einer entsprechenden Vereinbarung flankiert werden. Auch lagen bisher keine Standardvertragsklauseln für die Datenübermittlung zwischen zwei Auftragsverarbeitern vor. Diese Konstellation ließ sich nur mit einigen rechtlichen Verrenkungen adäquat abbilden.
Bestimmten Entwicklungen in der digitalen Wirtschaft ist es außerdem geschuldet, dass sich jüngst insbesondere komplexere Verarbeitungsvorgänge, an denen häufig mehrere Datenimporteure und Datenexporteure beteiligt sind, und lange und komplexe Verarbeitungsprozesse, nicht mehr vernünftig durch die alten Klauseln abbilden ließen. Genug Gründe also für ein Update der Standardvertragsklauseln.
Die neuen Standardvertragsklauseln im Überblick
Schauen wir uns die neuen Standardvertragsklauseln etwas genauer an. Das bewährte Regelungsdesign der alten Verträge wird im Grundsatz fortgeführt und an verschiedenen Punkten weiterentwickelt. So können nun auf vereinfachte Weise mehrere Parteien als Datenimporteure oder -Exporteure den Vertrag untereinander abschließen oder diesem im Nachhinein beitreten. Auch ist der Vorrang der Standardvertragsklauseln zu anderen Vereinbarungen nunmehr ausdrücklich festgehalten.
Eine grundlegende Neuerung fällt allerdings schnell ins Auge: Der modulare Ansatz. Anstatt für die verschiedenen Übermittlungsszenarien, in denen sich Datenexporteur und -Importeur gegenüberstehen können, eigenständige Vertragssets vorzusehen, kombiniert der neue Standardvertrag allgemeine Klauseln mit einer besonderen Modullösung. Insgesamt können so vier verschiedene Transfervarianten dargestellt werden:
- Modul 1 bezieht sich auf die Übermittlung durch Verantwortliche an Verantwortliche im Drittland (Controller to Controller).
- Modul 2 betrifft den Datentransfer von Verantwortlichen an Auftragsverarbeiter im Drittland (Controller to Processor).
- Modul 3 bezieht sich auf das Verhältnis zwischen Auftragsverarbeiter und weiteren Auftragsverarbeitern im Drittland (Processor to Processor).
- Modul 4 betrifft den Datentransfer vom Auftragsverarbeiter zum Verantwortlichen im Drittland (Processor to Controller).
Zusätzlich zu den allgemeinen Klauseln können Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen. Dadurch können sie ihre Pflichten auf ihre jeweilige Rolle und jeweiligen Verantwortlichkeiten hinsichtlich der betreffenden Datenverarbeitung zuschneiden.
Klauseln zum Transfer Impact Assessment (TIA)
Die generelle Tauglichkeit der Standardvertragsklauseln als Transfermechanismen wurde auch durch den Europäischen Gerichtshof in der viel beachteten Schrems-II-Entscheidung bestätigt. Blind in die Standardvertragsklauseln vertrauen darf der Datenexporteur allerdings auch nicht. Stattdessen muss der Exporteur (ggf. zusammen mit dem Datenimporteur im Drittland) prüfen und gewährleisten, dass die vertraglichen Abreden aus den Standarddatenschutzklauseln im Drittland auch eingehalten werden können. Diese Vorgabe des Gerichtshofs werden durch die neuen Standardvertragsklauseln aufgenommen und in den Klauseln 14 und 15 umgesetzt.
So wird der Datenimporteur verpflichtet, geeignete Nachweise für die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten aufzubewahren und den Datenexporteur unverzüglich in Kenntnis zu setzen, wenn er aus welchen Gründen auch immer nicht in der Lage ist, die Klauseln einzuhalten. Der Datenexporteur muss seinerseits die Datenübermittlung aussetzen und hat in besonders schweren Fällen, in denen der Datenimporteur gegen die Standardvertragsklauseln verstößt oder diese nicht einhalten kann, das Recht, Verträge zu kündigen, soweit diese die Verarbeitung personenbezogener Daten gemäß Standardvertragsklauseln regeln.
Außerdem sichern die Vertragsparteien ausdrücklich zu, dass sie keinen Grund zu der Annahme haben, dass die geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland den Datenimporteur an der Einhaltung der Klauseln hindern. Dabei werden die Vertragsparteien über die Standardvertragsklauseln dazu verpflichtet, ein Transfer Impact Assessment (TIA) durchzuführen. Hierbei müssen insbesondere die folgenden Aspekte berücksichtigt werden:
- die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, der Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, der Wirtschaftszweig, in dem die Übertragung erfolgt und der Speicherort der übermittelten Daten;
- die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes,
- alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
Hinsichtlich der durchzuführenden Gesamtbetrachtung stellen die Klauseln ausdrücklich klar, dass bei dieser Bewertung auch berücksichtigt werden kann, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab.
Im Vergleich zur bisherigen Rechtslage ermöglichen es die Bestimmungen der neuen Standardvertragsklauseln damit, besondere Bedingungen der jeweiligen Transfersituation im Rahmen des Transfer Impact Assessment passgenau zu berücksichtigen.
Umstellung und Übergangsfrist
Die neuen Standardvertragsklauseln treten am 27. Juni 2021 in Kraft. Damit werden gleichzeitig auch die alten Vertragssets aufgehoben. Allerdings können dennoch bis zum 27. September 2021 auch noch Neuverträge auf der Grundlage der alten Standardvertragsklauseln abgeschlossen werden. Auch in Altverträgen können die alten Klauseln zunächst noch als rechtliche Grundlage für die Datenübermittlung fungieren, solange die geregelten Verarbeitungsvorgänge unverändert bleiben und die Anwendung der Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Schutzgarantien unterliegt.
Ab dem 27. Dezember 2022 können Drittlandtransfers dann endgültig nur noch auf der Grundlage der neuen Standardvertragsklauseln vorgenommen werden. Spätestens bis zu diesem Termin sind daher alle Verträge auf die neuen Klauseln umzustellen.
Jedenfalls hinsichtlich Neuverträgen sollten die neuen Klauseln aber allein schon wegen des vorteilhaften Regelungsdesigns ab dem 27. Juni 2021 eingesetzt werden.
Fazit
Durch die neuen Standardvertragsklauseln erfährt ein praktikables und in der Praxis gut angenommenes Instrument zum Drittlandtransfer das dringend erforderliche Update, um so den gegenwärtigen Bedürfnissen der digitalen Wirtschaft gerecht zu werden. Während das bewährte Regelungsdesign fortentwickelt wird, ermöglicht der neue modulare Ansatz einen flexiblen Einsatz in verschiedenen Transferszenarien.
Die neuen Bestimmungen zum Transfer Impact Assessment setzen die Vorgaben der Schrems-II-Entscheidung um und ermöglichen gleichzeitig eine dem Einzelfall angemessene Prüfung des Datentransfers. Für die Umstellung von Altverträgen besteht noch Zeit bis zum 27. Dezember 2022.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.