EU-Kommission legt Standardvertragsklauseln für die DSGVO-Anwendung fest
In der ersten Juniwoche 2021 hat die EU-Kommission die neuen DSGVO-Standardvertragsklauseln verabschiedet. Es handelt sich um ein bedeutsames Instrument, das Unternehmen und sonstige Organisationen für ihren internationalen Datentransfer benötigen. Drei Jahre nach Inkrafttreten der DSGVO ist seine Manifestation überfällig. Auch das EuGH-Urteil Schrems II wurde im Klauselwerk berücksichtigt.
Was bedeuten die Standardvertragsklauseln der DSGVO?
Die Rechtmäßigkeit einer Datenübermittlung aus dem DSGVO-Geltungsbereich (EU bzw. EWR) in Länder außerhalb davon ist in zwei Stufen zu überprüfen:
- #1: Es muss eine Rechtsgrundlage dafür geben. Diese schafft unter anderem der Artikel 6 Absatz 1 a) DSGVO.
- #2: Es ist zu überprüfen, ob der Empfänger der Daten im Drittland das angemessene Schutzniveau nach DSGVO-Maßstäben zusichern kann. Es gibt ganze Staaten, in denen der DSGVO ähnliche Datenschutzvorschriften herrschen, in anderen Ländern werden diese zumindest in bestimmten Sektoren oder Branchen eingehalten. Die EU-Kommission stellt dieses Datenschutzniveau jeweils durch einen sogenannten Angemessenheitsbeschluss fest. Eine Alternative dazu bietet der Artikel 46 DSGVO, der geeignete Garantien verlangt.
Die nun von der EU-Kommission beschlossenen Standardvertragsklauseln stellen eine Garantie nach Artikel 46 Absatz 2 c) DSGVO dar. Wenn die von der EU-Kommission hierfür entworfenen Musterverträge durch die Vertragsparteien übernommen werden, halten diese ein mit den DSGVO-Vorschriften vergleichbares Datenschutzniveau ein. Der Begriff Standardvertragsklauseln findet sich des Weiteren noch in Artikel 28 Absätze 3 und 4 DSGVO, welche die Auftragsverarbeitung behandeln. Die Bezugspunkte sind hier die inhaltlichen Voraussetzungen einer Auftragsverarbeitung. Diese unterschieden sich von Standarddatenschutzklauseln nach Artikel 46 DSGVO, sie sollen hier ausgeklammert werden.
Das Urteil Schrems II des EuGH zu Datenübertragungen in die USA
Das Schrems II Urteil des EuGH vom 16.07.2020 (Rs. C-311/18) erklärte den Privacy Shield (Angemessenheitsbeschluss) für unwirksam. Dies berühre allerdings nicht die Standardvertragsklauseln, stellten die Luxemburger Richter gleichzeitig fest. Diese würden grundsätzlich ihre Gültigkeit behalten. Nur muss nach diesem Urteil ein Datenexporteur in jedem Einzelfall das angemessene Schutzniveau in einem Drittland überprüfen. Sehr viele Unternehmen reagierten auf Schrems II, indem sie bei ihren Datenübertragungen in die USA Standardvertragsklauseln nutzten.
Es blieb aber eine große Unsicherheit bestehen. Vor allem fragten sich die Firmen, wie die weiteren Schutzmaßnahmen praktisch beschaffen sein sollten, die der EuGH forderte. Es gab zwar Orientierungshilfen durch die FAQ des EDSA und auch durch die baden-württembergische Aufsichtsbehörde, doch diese waren nur bedingt hilfreich. Das setzte die EU-Kommission unter Zugzwang, die überfälligen DSGVO-Standardvertragsklauseln nachzuliefern. Der EU-Justizkommissar Didier Reynders zeigte sich nun zuversichtlich, dass der Wurf gelungen sei. In einem ersten Statement betonte er, dass die EU-Kommission mit den verschärften Klauseln mehr Rechtssicherheit für Unternehmen bei ihren Datenübertragungen in Drittstaaten geschaffen habe. Sie könnten nun auf sicherer Basis die Vorschriften der DSGVO einhalten. Allerdings hatte sich Reynders zuvor gegenüber Pressevertretern deutlich skeptischer geäußert und die Standardvertragsklauseln als „keine perfekte Lösung“ bezeichnet. Gleichzeitig hatte er darauf hingewiesen, dass der Abschluss eines eigentlich ausstehenden Datenschutzabkommens zwischen der EU und den USA kurz- oder mittelfristig unwahrscheinlich sei.
Die neuen DSGVO-Standardvertragsklauseln
Die neuen DSGVO-Standardvertragsklauseln ersetzen die bisher geltenden drei Sets durch ein einziges Klauselwerk, in welchem die Standardvertragsklauseln modular aufgebaut sind. Es wurden die Module 3 (Processor to Processor) und 4 (Processor to Controller) hinzugefügt. Darüber hinaus beinhalten die Standardvertragsklauseln unter anderem umfassende Haftungsregeln sowie die Möglichkeit, das anwendbare Recht und den Gerichtsstand festzulegen.
Die Flexibilität ist durch die neuen DSGVO-Standardvertragsklauseln für Unternehmen gestiegen. Allerdings wird der Aufwand für KMU, welche die Standardvertragsklauseln in ihre Verträge implementieren müssen, größer. Hinzu kommen noch umfassendere Dokumentationspflichten. Auch die Anforderungen aus dem Urteil Schrems II wurden in die Klauseln aufgenommen, sie finden sich in den Modulen 14 und 15.
Die dokumentierte Risikoeinschätzung, welche schon die EDSA im Zuge des Urteils vorgeschlagen hatte, ist nun eine verbindliche Forderung (sogenanntes „Transfer Impact Assessment”). Die Parteien müssen dabei beispielsweise versichern, dass sie kein Hindernis für den Datenimporteur eines Drittstaates sehen, die Standardvertragsklauseln einzuhalten. Hierbei sind relevante Rechtsvorschriften und auch Gepflogenheiten des Drittlandes zu berücksichtigen. Das betrifft auch Drittländer, welche die Offenlegung personenbezogener Daten gegenüber ihren Behörden vorschreiben bzw. den Behörden zumindest den Zugang zu solchen Daten gestatten.
Eine Fußnote zu diesem Passus legt fest, dass Datenexporteure die Auswirkungen solcher Rechtsvorschriften und Gepflogenheiten ermitteln müssen und hierfür verschiedene Elemente berücksichtigen sollen. Das können dokumentierte praktische Erfahrungen sein, aus denen hervorgeht, ob Behörden schon früher in vergleichbaren Fällen den Zugriff auf adäquate Daten gefordert haben. Wenn die praktischen Erfahrungen zum Schluss führen, dass der Datenimporteur die DSGVO-Schutzklauseln nicht einhalten kann, ist der Datentransfer nicht möglich.
