Die Europäische Kommission hat am 4. Juni 2021 ein neues Vertragswerk für die Übermittlung personenbezogener Daten an Empfänger in Staaten außerhalb der EU verabschiedet. Die sogenannten Standardvertragsklauseln sollen es Unternehmen ermöglichen, personenbezogene Daten über die Grenzen des Kontinents hinweg rechtssicher auszutauschen. Dafür unterwerfen sie die Vertragspartner besonderen Pflichten, die sicherstellen sollen, dass die betroffenen Personen die Kontrolle über „ihre“ Daten auch im Ausland behalten. Bestehende Datenschutzverträge auf Basis der alten Standardvertragsklauseln müssen jetzt an das neue Recht angepasst werden. Dafür bleibt den Unternehmen nur wenig Zeit.
1. Hintergrund
Viele tausend Unternehmen in der EU nutzen die Standardvertragsklauseln der EU-Kommission als Grundlage für den Datenaustausch mit Konzerngesellschaften, Geschäftspartnern und Dienstleistern in Drittstaaten. Die bisher gebräuchlichen Klauseln datieren aus den Jahren 2001, 2004 und 2010 und damit lange vor dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018. Mit der Zeit zeigten die Vertragswerke immer mehr „Alterskrankheiten“: Verweise auf die inzwischen aufgehobene Datenschutzrichtlinie, ein unklares Verhältnis zu den Anforderungen an Auftragsverarbeitungsverträge und Verträge über gemeinsame Verantwortung, die Frage der Anwendbarkeit auf europäische Auftragsverarbeiter, die Daten im Auftrag von Verantwortlichen in Drittländern verarbeiten.
Offensichtlich wurde der Bedarf für eine Aktualisierung der Klauseln schließlich mit der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 in der Sache „Schrems II“ (C-311/18). Zwar befand der EuGH die Standardvertragsklauseln weiterhin als grundsätzlich taugliche Grundlage für Datentransfers in „unsichere“ Drittstaaten. Die Begründung der Entscheidung legte aber die Schwächen des Vertragswerks offen. Namentlich enthalten die noch geltenden Klauseln nach Ansicht des EuGH keine Regelungen, die die personenbezogenen Daten betroffener EU-Bürger hinreichend vor den – nach europäischen Maßstäben unverhältnismäßigen – Zugriffen ausländischer Sicherheitsbehörden schützen. Es seien daher zusätzliche Maßnahmen erforderlich, um die Daten rechtmäßig übermitteln zu können. Welche Maßnahmen dies sein könnten, ließ der EuGH offen und sorgte damit für Ratlosigkeit bei Unternehmen und Aufsichtsbehörden.
Mit den neuen Standardvertragsklauseln versucht die EU-Kommission, die Defizite des alten Vertragswerks zu beseitigen und so gut es geht für Rechtssicherheit zu sorgen.
2. Die neuen Standardvertragsklauseln
Die neuen Standardvertragsklauseln erfüllen die Hoffnung auf eine Rückkehr zu rechtssicheren globalen Datentransfers allerdings nur teilweise:
- Das Funktionsprinzip der Standardvertragsklauseln bleibt unverändert. Die für EU-Unternehmen in der DS-GVO gesetzlich geregelten Datenschutzpflichten werden in Vertragsbestimmungen transformiert und so für den „Datenimporteur“ im Drittland verbindlich gemacht. So muss der Datenimporteur insbesondere bei der Herstellung der Transparenz der Datenverarbeitung mitwirken und die wesentlichen Datenschutzrechte der betroffenen Personen gewährleisten. Die Einzelheiten der Datenübermittlung und der damit verfolgten Zwecke sowie die vom Datenimporteur umzusetzenden technischen und organisatorischen Datenschutzmaßnahmen sind in einer Anlage zu den Klauseln zu beschreiben. Die Anforderungen an den Detaillierungsgrad sind dabei tendenziell höher als nach der bisherigen Rechtslage.
- Wie die bisherigen Klauseln wirken auch die neuen Vertragswerke in weiten Teilen „drittbegünstigend“, d.h. die von der Datenverarbeitung betroffenen Personen können aus den Klauseln eigene Rechte gegen die Vertragsparteien ableiten und diese ggf. vor EU-Gerichten durchsetzen.
- Die Standardvertragsklauseln berücksichtigen das Schrems II-Urteil und die im Zusammenhang damit veröffentlichten Stellungnahmen der Aufsichtsbehörden. Sie verpflichten die Verwender explizit dazu, zu prüfen, ob der Datenimporteur angesichts der rechtlichen Situation im Drittland in der Lage ist, die vertraglichen Regelungen insbesondere zum Schutz vor unverhältnismäßigen Behördenzugriffen einzuhalten. Das Ergebnis dieser Prüfung und eventuell zum Schutz der Daten ergriffene technische und organisatorische Maßnahmen (z.B. Verschlüsselung) müssen die Parteien dokumentieren und der für das datenexportierende EU-Unternehmen zuständigen Aufsichtsbehörde auf Verlangen vorlegen. Der Datenimporteur ist außerdem verpflichtet, dem Datenexporteur mitzuteilen, wenn er sich zum Schutz der Daten vor Behördenzugriffen nicht (länger) in der Lage sieht. Bei Erhalt einer solchen Benachrichtigung muss der Exporteur die Datenübermittlung einstellen, es sei denn die Aufsichtsbehörde erlaubt ihre Fortsetzung.
- Der Datenimporteur muss sich außerdem gegen behördliche Informationsersuchen im rechtlich möglichen Ausmaß zur Wehr setzen und den Datenexporteur sowie betroffene Personen darüber informieren.
- Die neuen Standardvertragsklauseln sind modular aufgebaut. Für jede der folgenden Situationen nehmen sie eine unterschiedliche Form an:
(i) EU-Verantwortlicher und Auftragsverarbeiter im Drittland
(ii) EU-Verantwortlicher und Verantwortlicher im Drittland
(iii) EU-Auftragsverarbeiter und Verantwortlicher im Drittland
(iv) EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland
Für die letzteren beiden Varianten liegen nunmehr zum ersten Mal Standardvertragsklauseln vor.
- Ein pragmatisches und voraussichtlich nützliches Novum sind die sogenannten „docking clauses“, die den Beitritt weiterer Parteien zu den Standardvertragsklauseln ermöglichen sollen.
- Neu ist auch, dass die Standardvertragsklauseln eine Haftung der Parteien für Pflichtverletzungen nicht nur gegenüber den betroffenen Personen vorsehen, sondern auch im Verhältnis zueinander. Ob die Parteien diese Haftung im Innenverhältnis ausschließen oder zumindest begrenzen können, z.B. um sie an das ansonsten zwischen ihnen geltende Haftungsregime anzupassen, ist unklar.
3. Ausblick und Handlungsbedarf
Die neuen Standardvertragsklauseln der EU-Kommission bringen das in der Praxis mit Abstand wichtigste Instrument für die Ermöglichung des Datenaustauschs mit Drittstaaten auf den aktuellen Stand. Sie beseitigen viele Unklarheiten und schaffen durch das modulare Format und die vereinfachte Möglichkeit zum Beitritt weiterer Parteien wünschenswerte Flexibilität.
Die große Rechtsunsicherheit, die seit dem Urteil des EuGH in Sachen Schrems II mit der Übermittlung personenbezogener Daten in Drittstaaten verbunden ist, können die Standardvertragsklauseln aber nicht beenden. Wenn in einem Drittland wie z.B. den USA, China oder Russland das nicht nur theoretische Risiko besteht, dass Sicherheitsbehörden in unverhältnismäßiger Weise auf die übermittelten Daten zugreifen können, und sich dieses Risiko auch nicht durch zusätzliche Maßnahmen wie z.B. eine Verschlüsselung der Daten ausschließen lässt, können auch die neuen Standardvertragsklauseln den Datentransfer nicht legitimieren. Unternehmen, die auf den Austausch von Daten beispielsweise mit US-Konzerngesellschaften oder (Cloud-)Dienstleistern angewiesen sind, stehen damit auch weiterhin vor einem nur schwer auflösbaren Dilemma.
Unabhängig davon besteht Handlungsbedarf: Zwar dürfen Unternehmen noch für einen Übergangszeitraum von drei Monaten ab Veröffentlichung der neuen Standardvertragsklauseln im EU-Amtsblatt Datenübermittlungsverträge auf Basis der alten Klauseln abschließen. Spätestens innerhalb von 18 Monaten ab dem Veröffentlichungsdatum müssen aber alle Verträge auf die neuen Standardvertragsklauseln umgestellt sein. Gerade für Unternehmen, die vielfältige Geschäftsbeziehungen ins Nicht-EU Ausland pflegen, ist das eine gewaltige Herausforderung.
Weiterleiten