Am 4. Juni 2021 hat die EU-Kommission die lange erwartete Neufassung der Standarddatenschutzklauseln verabschiedet. Die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGV0) stellen ein wesentliches Instrumentarium bei der Übermittlung personenbezogener Daten in Drittländer dar. Die Neufassung war nicht nur aufgrund des Alters der bisherigen Fassungen (die Controller-to-Processor-Version datiert beispielsweise aus Februar 2010) und der fehlenden Anpassung an die DSGVO überfällig, sondern insbesondere aufgrund des EuGH-Urteils vom 16. Juli 2020 (Rs. C-311/18 „Schrems II“) erforderlich geworden. Das Konzept der im November 2020 vorgestellten Entwürfe (u.a. von Nicole Beranek Zanon und Martin Schirmbacher im Privacy Talk #08 diskutiert) ist dabei weitgehend erhalten geblieben.

Modularer Ansatz für sämtliche Übermittlungskonstellationen

Erste wesentliche Änderung der neuen Standarddatenschutzklauseln ist das nunmehr verfolgte modulare Konzept. Durch den zur Verfügung stehenden Vertragsbaukasten sind Unternehmen jetzt in der Lage, statt der bisher möglichen zwei Konstellationen (Übermittlung zwischen zwei Verantwortlichen sowie Verantwortlicher/Auftraggeber zu Auftragsverarbeiter) alle vier denkbaren Übermittlungskonstellationen mithilfe der Standarddatenschutzklauseln abzubilden (zusätzlich noch Auftragsverarbeiter zu (Unter-)Auftragsverabeiter oder Auftragsverarbeiter zu Verantwortlichem/Auftraggeber). Hierdurch wird zwar der individuelle Aufwand für einzelne Vertragsabschlüsse steigen, in Summe dürften sich jedoch zumindest Erleichterungen für Unternehmen mit umfassenden Datenübermittlungsbeziehungen einstellen, da umständliche Hilfskonstruktionen für die bisher nicht erfassten Übermittlungskonstellationen nun der Vergangenheit angehören.

Ebenfalls werden zentrale Grundsätze der DSGVO aus Art. 5 Abs. 1 DSGVO wie Transparenz, Zweckbindung, Richtigkeit und Datenminimierung ausdrücklich festgehalten oder Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten integriert. Im Ergebnis werden die Pflichten des Datenimporteurs stark an die aus der DSGVO resultierenden Pflichten des Verantwortlichen angelehnt.

Umsetzung der Vorgaben aus dem Schrems II-Urteil

Die Notwendigkeit neuer Standarddatenschutzklauseln resultierte vornehmlich aus dem EuGH-Urteil „Schrems II“, in welchem der EuGH das zwischen der EU und den USA bestehende Privacy Shield aufgrund von nicht mit dem EU-Datenschutzniveau zu vereinbarenden Datenzugriffsmöglichkeiten staatlicher Stellen ohne gerichtlichen Beschluss und Rechtsschutz für unwirksam erklärte. Zugleich stellte der EuGH in seinem Urteil jedoch fest, dass die Standarddatenschutzklauseln – vorbehaltlich einer Einzelfallprüfung des Datenschutzniveaus im jeweiligen Drittland (Bewertung der Rechtslage sowie von staatlichen Zugriffsmöglichkeiten) durch den Datenexporteur sowie weiterer zusätzlicher Schutzmaßnahmen oder Garantien – grundsätzlich weiterhin ihre Gültigkeit behalten. Die im Nachgang des Urteils veröffentlichten Orientierungshilfen durch deutsche Aufsichtsbehörden oder des Europäischen Datenschutzausschusses konnten die hervorgerufenen Unsicherheiten insbesondere für den in der Praxis bedeutsamen Datentransfer von Kunden- oder Mitarbeiterdaten in die USA indes kaum eindämmen.

In Klausel 14 werden nun die Vorgaben des EuGH in die neuen Standarddatenschutzklauseln integriert, insbesondere zur verpflichtenden Daten-Transfer-Folgenabschätzung („Transfer Impact Asssessment“, kurz TIA). Nach Buchstabe a) sichern die Parteien zwar zu, dass sie keinen Grund zu der Annahme haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Die unter Buchstabe b) aufgeführten Aspekte (welche durch die Parteien gebührend berücksichtigt werden müssen) verdeutlichen allerdings, dass der Datenexporteur weiterhin eine einzelfallbezogene und umfassende Bewertung der Datenübermittlung vornehmen muss (vgl. dazu auch Rn. 19 im Durchführungsbeschluss der EU-Kommission, wonach die Übermittlung personenbezogener Daten nicht erfolgen soll, wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern).

Zentrale Frage, welche sich über die Auslegungspraxis der deutschen und europäischen Datenschutzbehörden sowie Gerichten herausstellen muss, ist, ob Klausel 14 einen mehr risikobasierten Ansatz im Rahmen von Drittlandübermittlungen zulässt oder nicht. Bezüglich der potentiellen Offenlegung gegenüber Behörden können ausweislich der zugehörigen Fußnote laut der EU-Kommission neben objektiven Elementen auch subjektive Elemente in Form von praktischen Erfahrungen mit einfließen. Es bleibt daher abzuwarten, inwiefern Unternehmen Spielräume bei der Gesamtbewertung und -abwägung im Rahmen von Drittlandübermittlungen durch die neuen Standarddatenschutzklauseln eröffnet werden.

Weitere Neuerungen beinhalten die Standarddatenschutzklauseln mit erweiterten Pflichten des Datenimporteurs (z.B. die Benachrichtigungs-, Informations- und Abwehrpflicht des Datenimporteurs bei rechtsverbindlichen Herausgabeanordnungen einer staatlichen Behörde in Klausel 15) sowie der Möglichkeit der Auswahl anwendbaren EU-Rechts und eines EU-Gerichtsstands. Interessant wird zu beobachten sein, ob in Drittländern ansässige Unternehmen die neuen Standarddatenschutzklauseln auch ablehnen werden. Microsoft hatte noch am Tag der Verabschiedung durch die EU-Kommission angekündigt, die neuen Standarddatenschutzklauseln in die Verträge zu integrieren.

Ebenfalls Neuerungen bei der Auftragsverarbeitung

Neben den neuen Standarddatenschutzklauseln für die Drittlandsübermittlung von personenbezogenen Daten umfasst die Verabschiedung der EU-Kommission auch eine einheitliche Vorlage für Standardvertragsklauseln im Rahmen von Auftragsverarbeitungskonstellationen innerhalb der EU, welche die erforderlichen Inhalte aus Art. 28 Abs. 3 und 4 DSGVO erfasst. Somit hat die EU-Kommission erstmals von ihrem in Art. 28 Abs. 7 DSGVO eingeräumten Gestaltungsspielraum Gebrauch gemacht.

Ein weiterer interessanter Aspekt der neuen Standarddatenschutzklauseln ist die Auffassung der EU-Kommission im Durchführungsbeschluss, dass in Auftragsverarbeitungskonstellation (d.h. Controller-to-Processor- oder Processor-to-Processor-Konstellation) ein Abschluss der neuen Standarddatenschutzklauseln gleichzeitig die Erfüllung der Vorgaben aus Art. 28 Abs. 3 und 4 DSGVO für Auftragsverarbeitungsvereinbarungen ermöglichen soll (Rn. 9). Damit ist die Möglichkeit eröffnet, die bisher übliche Kombination von Auftragsverarbeitungsvereinbarung und Standarddatenschutzklauseln (als Anhang bzw. Zusatz) durch eine Vereinbarung zu ersetzen.

Auswirkungen auf die Datenschutzpraxis: Übergangsfrist und Umstellung

Bei laufenden Vertragsverhandlungen oder demnächst anstehenden Vertragsabschlüssen empfiehlt es sich für Unternehmen, nach der demnächst zu erwartenden Veröffentlichung der Standarddatenschutzklauseln im Amtsblatt der Europäischen Union direkt auf die neue Fassung zurückzugreifen. Wichtig ist, bei der Auswahl der modularen Bausteine aus dem Vertragsbaukasten diejenigen Bestandteile zu verwenden, welche für die jeweilige Datenübermittlungskonstellation tatsächlich und rechtlich zutreffend sind. Bei der Aktualisierung bestehender Vertragsbeziehungen mit Einbeziehung von Standarddatenschutzklauseln gilt eine Übergangsfrist von 18 Monaten bis Dezember 2022. Gleichwohl sollten es Unternehmen vermeiden, die Übergangsfrist auszureizen, da die neuen Standarddatenschutzklauseln die sowieso erforderliche Berücksichtigung der EuGH-Vorgaben aus dem Schrems II-Urteil ermöglichen und das seit wenigen Tagen laufende koordinierte und länderübergreifende Verfahren deutscher Aufsichtsbehörden zeigt, dass von aufsichtsbehördlicher Seite mit mehr Kontroll- und Prüfungsaktivitäten in Sachen Drittlandsübermittlungen zukünftig zu rechnen ist.

Mit den neuen Standarddatenschutzklauseln wird auf Unternehmen (Verantwortliche und Auftragsverarbeiter gleichermaßen), die in den Anwendungsbereich der DSGVO fallen und personenbezogene Daten in Drittländer ohne Angemessenheitsbeschluss (weiterhin) übermitteln wollen, ein erneuter höherer Aufwand zukommen. Neben dem für den Neuabschluss der Standarddatenschutzklauseln sowie der Aktualisierung bestehender Vertragsbeziehungen, welche die nunmehr alte Fassung der Standarddatenschutzklauseln enthalten, unerlässlichen Vertragsmanagements werden Unternehmen umfangreiche Neubewertungen und Dokumentationen ihrer Drittlandsübermittlungen mit Schwerpunkt auf das Transfer Impact Assessment vornehmen müssen. Wer hierfür nach dem Schrems II-Urteil des EuGH in den vergangenen elf Monaten entsprechende Grundlagen gelegt hat (TIA-Template oder allgemeine Bewertungen bedeutender Drittländer wie den USA), dürfte die Umstellung auf die neuen Standarddatenschutzklauseln gut bewältigen können.

Handlungsempfehlungen für Unternehmen

  1. Überprüfung der unternehmenseigenen Übersicht zu Drittlandsübermittlungen (einschließlich Dienstleistern bzw. Auftragnehmern) und der zugehörigen Vertragsunterlagen sowie Vornahme ggf. erforderlicher Aktualisierungen
  2. Erstellung von Mustervorlagen für die jeweils zutreffenden Übermittlungskonstellationen nach Veröffentlichung der neuen Standarddatenschutzklauseln im EU-Amtsblatt unter Ausnutzung der vorhandenen Spielräume
  3. Proaktive Anfragen bei Vertragspartnern und Dienstleistern aus Drittländern um Vorlage der neuen Standarddatenschutzklauseln bzw. Aktualisierung des bestehenden Vertragswerks um die neuen Standarddatenschutzklauseln und anschließende Prüfung
  4. Zügiger Austausch alter Standarddatenschutzklauseln durch die neue Fassung. Die neuen Standardklauseln sind ab dem 27. September 2021 zu verwenden. Die alten Klauseln dürfen für eine Übergangsfrist von 15 Monaten verwand werden und müssen bis zum 27. Dezember angepasst werden
  5. Aktualisierung und Fortentwicklung der eigenen Bewertungsmatrix zu Drittstaatenübermittlungen (Ergänzung der bereits erforderlichen Prüfung von Datenschutzniveau und zusätzlicher Sicherheitsmaßnahmen bzw. Garantien um die weiteren Inhalte von Klausel 14)
  6. Implementierung von Prozessen zur Umsetzung der erweiterten Pflichten der neuen Standarddatenschutzklauseln für Datenimporteur und –exporteur
  7. Dokumentation von ergriffenen Maßnahmen sowie getroffenen Bewertungen und Einschätzungen
  8. Fortlaufende Beobachtung der weiteren Entwicklung, z.B. der zu erwartenden Stellungnahmen von deutschen Aufsichtsbehörden oder des Europäischen Datenschutzausschusses

Schweiz

Die Schweiz stützt sich für ihre Datentransfers ebenfalls auf die Standarddatenschutzklauseln ab. Bis heute hat der Eidgenössische Öffentlichkeits- und Datenschutzbeauftragten noch keine öffentliche Stellungnahme abgegeben, ob er die Übernahme der neuen Standarddatenschutzklauseln empfiehlt. Bis anhin mussten die Standarddatenschutzklauseln mit wenigen Anpassungen auf die Schweizer Verhältnisse angewendet werden, so z.B. das anwendbare Recht oder der Verweis auf den Staat des Datenexporteurs, wenn dieser sich nicht in der EU befand.