EU: Neue Standardvertragsklauseln – Von der Theorie zur Praxis
Hintergrund
Die EU Datenschutz-Grundverordnung (DSGVO) beschränkt die Übermittlung personenbezogener Daten in sogenannte Drittländer – darunter für die Datenverarbeitung so bedeutende Jurisdiktionen wie die USA und Indien. Zwar gibt es einige Ausnahmen, aber für viele Übertragungen ist die Verwendung von Standardvertragsklauseln die einzige praktikable Lösung. Dabei handelt es sich um ein von der EU-Kommission erstelltes Vertragsmuster. Die meisten großen Unternehmen haben komplexe Netze von Datenübermittlungen an hunderte, wenn nicht tausende von Empfängern im Ausland, die überwiegend auf Standardvertragsklauseln beruhen.Die Gültigkeit der Standardvertragsklauseln wurde vergangenes Jahr vom EuGH in dem Verfahren Schrems II (Rechtssache C-311/18) geprüft. Der Gerichtshof kam zu dem Schluss, dass die Standardvertragsklauseln zwar weiterhin gültig sind, die zugrunde liegenden Übermittlungen jedoch von Fall zu Fall bewertet werden müssen, um festzustellen, ob die personenbezogenen Daten angemessen geschützt werden. Die Folgen der Übermittlung sind demgemäß vor der Übermittlung abzuschätzen.
Vor dem Hintergrund von Schrems II hat die EU-Kommission die bestehenden Klauseln überarbeitet, um die neuen Standardvertragsklauseln zu erstellen. Der Europäische Datenschutzausschuss hat im November 2020 ebenfalls Empfehlungen herausgegeben (hier besprochen), wobei eine der Empfehlungen noch nicht finalisiert wurde.
Struktur
Die gute Nachricht ist, dass die Struktur der neuen Standardvertragsklauseln dem Entwurf aus dem letzten Jahr folgt. Er ist modular aufgebaut und erlaubt Übermittlungen:
> von Verantwortlichen an Verantwortliche (controller to controller) (Modul 1);
> von Verantwortlichen an Auftragsverarbeiter (controller to processor) (Modul 2);
> von Auftragsverarbeitern an (Unter)Auftragsverarbeiter (processor to (sub)processor) (Modul 3); und
> von Auftragsverarbeitern an Verantwortliche (processor to controller) (Modul 4).
Die Möglichkeit, Übermittlungen vom Auftragsverarbeiter an Unterauftragsverarbeiter zu erfassen, ist längst überfällig und löst ein seit langem bestehendes Problem der Rechtfertigung von Übermittlungen durch Auftragsverarbeiter in Drittländer. Diese Bestimmungen sind überwiegend sinnvoll, obwohl es einige Interaktionen zwischen dem Unterauftragsverarbeiter und dem für die Verarbeitung Verantwortlichen gibt, die in einer Geschäftsbeziehung schwierig zu organisieren sein werden. Wenn der Unterauftragsverarbeiter beispielsweise weitere Unterauftragsverarbeiter einsetzen möchte, muss er die Zustimmung des für die Verarbeitung Verantwortlichen einholen (siehe Artikel 9(a), Modul 3).
Ferner sind die neuen Standardvertragsklauseln so konzipiert, dass sie auf einer Mehrparteienbasis funktionieren, so dass ein einziger Satz Standardvertragsklauseln die Übermittlung personenbezogener Daten zwischen vielen Parteien abdecken kann. Während aus Praktikabilitätsgründen die alten Standardvertragsklauseln oft auf diese Weise verwendet wurden, ist es nun hilfreich, diese Praxis formalisiert zu sehen. Zusätzlich gibt es eine Kopplungsklausel, die es ermöglicht, im Laufe der Zeit neue Parteien hinzuzufügen. Dies wird in einer Reihe von Situationen nützlich sein, insbesondere bei konzerninternen Übertragungen.
Substanzielle Pflichten
Die materiellen Verpflichtungen der Standardvertragsklauseln sind aufwändiger geworden. Im Großen und Ganzen erlegen die neuen Standardvertragsklauseln dem Datenimporteur eine abgespeckte Fassung der DSGVO auf, die durch Rechte betroffener Personen als Drittbegünstigte flankiert wird. Einige dieser Verpflichtungen sind neu (aus der DSGVO stammend), während andere bereits in den alten Standardvertragsklauseln existierten.
Die genauen Verpflichtungen variieren je nach Art der Übermittlung, aber um die Übermittlung zwischen Verantwortlichen und Verantwortlichen als Beispiel zu nehmen (Modul 1):
> Zweckbindung: Der Datenimporteur darf personenbezogene Daten nur für die in den neuen Standardvertragsklauseln beschriebenen Zwecke verwenden, es sei denn, er holt die Einwilligung der betroffenen Person ein, die Verarbeitung ist für die Geltendmachung von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen erforderlich.
> Transparenz: Der Datenimporteur muss, direkt oder über den Datenexporteur, den betroffenen Personen verschiedene Informationen zur Verfügung stellen, einschließlich seiner Identität und der Weitergabe von Daten.
> Verarbeitungsgrundsätze: Der Datenimporteur muss die Grundsätze der Richtigkeit, Datenminimierung und Speicherbegrenzung einhalten.
> Sicherheit: Der Datenimporteur muss die personenbezogenen Daten sicher aufbewahren. Im Falle eines Verstoßes muss er den Datenexporteur, die betroffenen Personen und die Aufsichtsbehörde(n) benachrichtigen, je nach Schwere des Verstoßes.
> Weiterübermittlung: Die Weiterübermittlung der Daten an Dritte außerhalb der EU ist nur unter bestimmten Bedingungen zulässig, es sei denn, der Dritte ist selbst an die Standardvertragsklauseln gebunden oder erklärt sich mit der Bindung an diese einverstanden.
> Betroffenenrechte: Der Datenimporteur muss die Betroffenenrechte einhalten, einschließlich der Rechte auf Auskunft, Berichtigung, Widerspruch und Löschung personenbezogener Daten.
> Beschwerdemechanismus: Der Datenimporteur muss ein Verfahren zur Bearbeitung von Beschwerden für betroffene Personen bereitstellen.
> Unterwerfung unter Gerichtsbarkeit: Der Datenimporteur muss sich der EU-Gerichtsbarkeit unterwerfen. Dies umfasst die Unterwerfung unter die Gerichtsbarkeit der zuständigen Aufsichtsbehörde(n) und der Gerichte, in denen die betroffenen Personen ihren Wohnsitz haben. Betroffene Personen haben Anspruch auf materiellen und immateriellen Schadenersatz und der Datenexporteur und der Datenimporteur haften gesamtschuldnerisch.
Dies sind schwerwiegende Verpflichtungen und Datenimporteure müssen sorgfältig prüfen, ob sie die Verpflichtungen einhalten können. Während die alten Standardvertragsklauseln manchmal einfach unterschrieben und „in die Schublade gelegt“ wurden, ist das Risiko von Rechtsstreitigkeiten und Zivilprozessen wegen Nichteinhaltung der Datenschutzanforderungen in den letzten Jahren erheblich gestiegen. Nicht zuletzt im Lichte der Ankündigung von Aufsichtsbehörden, Datenübermittlungen in Drittländer verstärkt zu kontrollieren (weitere Informationen hier) sollten Datenexporteure und -importeure damit rechnen, dass ihre Einhaltung dieser Klauseln genau überprüft wird.
Auswirkungen lokaler Rechtsvorschriften (transfer impact assessment)
Die vermutlich belastendsten Bestimmungen in den neuen Standardvertragsklauseln sind die Schrems II-Prüfklauseln, die von den Parteien verlangen, zunächst das Risiko der Übermittlung personenbezogener Daten in ein Drittland abzuschätzen und geeignete Maßnahmen zu ergreifen, wenn Zugriff auf diese Daten verlangt wird. Insofern gilt der folgende Dreiklang:
> Bewerten: Die Parteien müssen eine umfassende Risikobewertung durchführen betreffend (i) aller Fakten der Übermittlung, (ii) der lokalen Gesetze des Datenimporteurs (einschließlich des Zugriffs durch Strafverfolgungs- und nationale Sicherheitsbehörden), wobei der Datenimporteur sich nach besten Kräften bemühen muss, dabei zu unterstützen, und (iii) aller relevanten technischen, vertraglichen oder organisatorischen Schutzmaßnahmen. Diese Bewertung wird ein aufwändiger Prozess sein, insbesondere da die lokalen Gesetze des Datenimporteurs in einigen Rechtsordnungen komplex oder undurchsichtig erscheinen.
> Dokumentieren: Die Risikobewertung muss dokumentiert und der Aufsichtsbehörde auf Verlangen vorgelegt werden.
> Aktualisieren: Der Datenimporteur muss den Datenexporteur benachrichtigen, wenn sich die lokalen Gesetze und Praktiken ändern, woraufhin der Datenexporteur geeignete Maßnahmen ergreifen muss, wie z. B. die Anwendung zusätzlicher Schutzmaßnahmen oder den Stopp der Übermittlung.
Wenn die personenbezogenen Daten in der Folge von öffentlichen Stellen eingesehen werden, gilt das Folgende:
> Benachrichtigen: Der Datenimporteur muss den Datenexporteur entweder über das Ersuchen einer Behörde um Datenzugriff informieren oder wenn die Behörde direkt auf personenbezogene Daten zugreift. Ist dem Datenimporteur die Benachrichtigung untersagt, muss er sich nach besten Kräften um eine Aufhebung des Verbots bemühen.
> Information: Soweit dies erlaubt ist, muss der Datenimporteur so viele Informationen wie möglich über Anfragen zur Verfügung stellen, z.B. Anzahl und Art der Anfragen.
> Zurückweisen: Der Datenimporteur muss Anfragen auf ihre Rechtmäßigkeit überprüfen und sie anfechten, wenn es dafür vernünftige Gründe gibt. Er muss seine rechtliche Bewertung dokumentieren und die Datenweitergabe so weit wie möglich minimieren.
Empfehlungen des Europäischen Datenschutzausschusses
Während die neuen Standardvertragsklauseln nun fertiggestellt sind, befindet sich die Empfehlung des Europäischen Datenschutzausschusses zur Einhaltung des Schrems II-Urteils noch im Entwurfsstadium (hier). Es wird erwartet, dass diese in Kürze fertiggestellt wird. Seine Empfehlungen zur Beurteilung des Rechtsregimes eines Drittlandes, die so genannten wesentlichen europäischen Garantien, hat der Europäische Datenschutzausschuss jedoch bereits in endgültiger Form veröffentlicht (hier).
Es wird daher interessant sein zu sehen, wie die endgültigen Empfehlungen des Europäischen Datenschutzausschusses zu Schrems II mit den neuen Standardvertragsklauseln interagieren und inwieweit diese zusätzliche Maßnahmen über die in den neuen Standardvertragsklauseln festgelegten hinaus erfordern.
Das große Umschreiben
Die alten Standardvertragsklauseln werden drei Monate nach Inkrafttreten der zugrunde liegenden Kommissionsentscheidung außer Kraft gesetzt. Das bedeutet, dass Unternehmen damit beginnen sollten, ihre Systeme, Prozesse und Vorlagen zu aktualisieren, damit neue Übertragungen auf den neuen Standardvertragsklauseln basieren und mit deren Bestimmungen konform gehen.
Für bestehende Übertragungen, die auf den alten Standardvertragsklauseln basieren, wird für 18 Monate nach Inkrafttreten der zugrunde liegenden Kommissionsentscheidung Bestandsschutz gelten. Unternehmen müssen diesen Zeitraum nutzen, um alle derartigen Übertragungen zu identifizieren und diese entsprechend der neuen Standardvertragsklauseln zu gestalten.
Dies ist ein relativ großzügiger Zeitraum, aber viele große Unternehmen werden wahrscheinlich Hunderte, wenn nicht Tausende von alten Standardvertragsklauseln im Einsatz haben, so dass die Identifizierung aller dieser Standardvertragsklauseln und ihre Umstellung auf die neuen Standardvertragsklauseln einen erheblichen Zeit- und Arbeitsaufwand erfordern wird.
LegalTech kann sich in diesem Zusammenhang als besonders hilfreich erweisen. Linklaters arbeitet an einer technologischen Lösung, die uns in die Lage versetzen sollte, den Prozess zu rationalisieren und unseren Mandanten auf kostengünstige Weise zu unterstützen.
Die britische Perspektive
Die Haltung des Vereinigten Königreichs zu den neuen Standardvertragsklauseln ist nicht ganz klar. Das Vereinigte Königreich hat zwar angekündigt, dass es derzeit seine eigenen Vertragsklauseln vorbereitet und im Sommer dazu konsultieren wird, aber die Schlüsselfragen sind:
> Können die neuen Standardvertragsklauseln der EU im Vereinigten Königreich verwendet werden? Die neuen Standardvertragsklauseln der EU werden nicht automatisch für Übermittlungen aus dem Vereinigten Königreich gültig sein. Das Vereinigte Königreich könnte beschließen, sie anzuerkennen, und für große Unternehmen wäre dies ein erheblicher Vorteil, da es einen gemeinsamen Ansatz für internationale Datenübermittlungen ermöglichen würde. Die Anerkennung der neuen Standardvertragsklauseln der EU durch das Vereinigte Königreich würde auch kaum Nachteile für britische Unternehmen mit sich bringen, die immer die Wahl zwischen den Standardvertragsklauseln der EU und den neuen UK-Klauseln haben würden, sobald diese vorliegen.
> Wie werden die neuen britischen Vertragsklauseln aussehen? Die britische Regierung ist seit langem bestrebt, internationale Datenübermittlungen zu liberalisieren, so dass die neuen britischen Vertragsklauseln wahrscheinlich weniger aufwändig sein werden als die neuen Standardvertragsklauseln. Allerdings steht die britische Regierung hier vor einem schwierigen Balanceakt. Wenn die UK-Klauseln nicht als ausreichend schützend angesehen werden, könnte das den Angemessenheitsstatus des Vereinigten Königreichs gefährden.
> Werden die alten EU-Standardvertragsklauseln im Vereinigten Königreich gültig bleiben? Die Position ist hier klar. Die Gültigkeit dieser Klauseln wird im britischen Recht durch Paragraph 7(2) Schedule 21 des UK Data Protection Act 2018 anerkannt, und das bleibt von der Einführung der neuen Standardvertragsklauseln der EU unberührt. Somit können die alten Klauseln bis auf Weiteres im Vereinigten Königreich verwendet werden.
Wird damit die richtige Balance zwischen Auflagen und Schutz gefunden?
Die EU-Kommission stand bei der Ausarbeitung der neuen Standardvertragsklauseln vor einer schwierigen Abwägung, da sie sicherstellen musste, dass sie sowohl praktisch als auch robust gegenüber zukünftigen Anfechtungen sind.
Zu hohe Anforderungen könnten globalen Datenübermittlungen in einer Zeit, in der die EU-Wirtschaft versucht, sich von der Covid-Pandemie zu erholen, übermäßig einschränken, die EU-Wirtschaft zusätzlich belasten und die Annahme der neuen Standardvertragsklauseln behindern. Im Gegensatz dazu müssen die Klauseln hinreichend wiederstandfähig gegen zukünftige Anfechtung sein. Sollte es zu einer solchen vor dem EuGH kommen, wird die EU-Kommission das Risiko einer weiteren Störung durch die Anfechtung der neuen Standardvertragsklauseln vermeiden wollen.
Dies hat unweigerlich dazu geführt, dass die neuen Standardvertragsklauseln aufwändiger sind als die alten Klauseln, aber wohl im Einklang stehen mit den sehr engen Grenzen, die der EuGH mit Schrems II gesetzt hat.
Die neuen Standardvertragsklauseln sind hier verfügbar.
