Für den Datenexport in Drittländer sieht die DSGVO neben dem Angemessenheitsbeschluss drei weitere rechtliche Datenschutzinstrumente vor: Standardvertragsklauseln (SCCs), Verhaltenskodizes (CoCs) und verbindliche konzerninterne Vorschriften (BCRs). Wir stellen Ihnen diese drei Instrumente und deren Unterschiede vor.
Gemäss der Datenschutz-Grundverordnung (DSGVO) ist der Datenexport in Drittländer nur zulässig, wenn die Bedingungen in Kapitel 5 erfüllt sind. Der Königsweg stellt der Angemessenheitsbeschluss der EU-Kommission gemäss Art. 45 GDPR dar. Für den Fall jedoch, dass die EU-Kommission mangels eines angemessenen Datenschutzniveaus keinen solchen Beschluss erlassen hat, sieht die DSGVO drei alternative datenschutzrechtliche Instrumente in Art. 46 und 47 DSGVO vor: Standardvertragsklauseln (SCCs), Verhaltenskodizes (CoCs) und verbindliche konzerninterne Vorschriften (BCRs).
Was sind SCCs?
SCCs sind Standardvertragsklauseln, die von der EU-Kommission vorab genehmigt und publiziert wurden. Für die Fälle, in welchen ein Angemessenheitsbeschluss der EU-Kommission fehlt, kann ein Datenexporteur SCCs verwenden. SCCs sind daher ein möglicher Weg beim Datenexport in datenschutzrechtlich unsichere Drittländer (z.B. USA) die Einhaltung der DSGVO sicherzustellen.
Vor dem Hintergrund des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (C-311/18) hat die EU-Kommission am 04. Juni 2021 die mehr als zehn Jahre alten SCCs durch neue Klauseln ersetzt. Diese können seit dem 27. Juni 2021 angewendet werden. Bis zum 27. Dezember 2022 müssen alle bisherigen SCCs durch die Neuen ersetzt worden sein.
Das Schrems II-Urteil hielt im Übrigen fest, dass die Verwendung von SCCs nicht automatisch sicherstelle, dass betroffenen Personen, deren personenbezogenen Daten in ein Drittland übermittelt werden, ein angemessenes Datenschutzniveau geboten wird. Dies weil SCCs aufgrund ihrer vertraglichen Natur für (ausländische) Behörden nicht bindend sind. Es ist daher Sache des Datenexporteurs im Einzelfall zu prüfen, ob die SCCs ein tatsächlich gleichwertiges Schutzniveau nach dem Recht des Drittlandes bietet oder ob zusätzliche Massnahmen ergriffen werden müssen. In anderen Worten: Wenn kein Angemessenheitsbeschluss vorliegt, ist die Verwendung von SCCs zwar ein mögliches Compliance Instrument, jedoch für die Einhaltung der DSGVO nicht immer hinreichend.
Wie sollen SCCs verwendet werden?
Die aus 18 Klauseln und einem Anhang bestehenden SCCs müssen jeweils an die tatsächlichen Beziehungen zwischen den Parteien angepasst werden. Aufgrund ihres Garantiecharakters dürfen die SCC jedoch nicht in ihrer Wirkung verändert und müssen rechtsverbindlich umgesetzt werden. Zulässig sind jedoch Ergänzungen, die den Schutz der betroffenen Person verbessern und nicht im Widerspruch zu den Klauseln stehen.
Aufgeteilt in vier Module können die neuen SCCs, die im Anhang des Durchführungsbeschlusses der EU-Kommission ((EU) 2021/914) niedergeschrieben sind, jede Konstellation zwischen den Vertragspartnern abbilden. Die Module 3 und 4 sind dabei gänzlich neu:
- Verantwortlicher zu Verantwortlicher (C2C)
- Verantwortlicher zu Auftragsverarbeiter (C2P)
- Auftragsverarbeiter zu (Sub-)Auftragsverarbeiter (P2P)
- Auftragsverarbeiter zu Verantwortlicher (P2C)
Im ersten Schritt muss eines der vier Module gewählt werden. Danach muss man die anderen, nichtzutreffenden Module aus dem Dokument entfernen und ggf. die Anhänge ausfüllen. Mit dem kostenlosen SCC-Generator von HÄRTING Rechtsanwälte können Sie automatisch SCCs generieren, die zu jeder der oben genannten Konstellationen passen. Wenn die SCCs weiter auf die genauen Bedürfnisse zugeschnitten werden müssen, hilft Ihnen HÄRTING Rechtsanwälte gerne weiter.
Was sind verbindliche konzerninterne Vorschriften (Binding Corporate Rules, BCRs)?
BCRs sind Datenschutzrichtlinien, die von Konzernen selbst erarbeitet werden, um einen reibungslosen Datenfluss zwischen den verschiedenen Unternehmen der Unternehmensgruppe (Konzern) zu gewährleisten und dabei gleichzeitig die Datenschutzbestimmungen der DSGVO einzuhalten. BCRs sind vor allem dann relevant, wenn ein Unternehmen personenbezogene Daten an Unternehmen mit Sitz in Drittländern exportiert. Wie SCCs können auch BCRs gemäss Art. 46 Abs. 2 DSGVO das Fehlen eines Angemessenheitsbeschlusses ersetzen und als geeignete Garantien gelten, sofern die zuständige Aufsichtsbehörde sie genehmigt hat.
Die Umsetzung spezifischer Unternehmensinteressen in BCRs ist möglich, jedoch müssen sie mindestens das gleiche Datenschutzniveau wie SCCs gewährleisten. Gemäss Art. 47 Abs. 1 DSGVO wird die zuständige Aufsichtsbehörde die BCRs genehmigen, wenn die folgenden Bedingungen erfüllt sind: (i) Die Regeln sind für alle Unternehmen der Konzerngruppe rechtsverbindlich und werden von diesen durchgesetzt, (ii) die Regeln gewähren den betroffenen Personen einklagbare Rechte in Bezug auf die Verarbeitung ihrer Daten und (iii) die BCRs erfüllen die Anforderungen nach Art. 47 Abs. 2 GDPR. Letztere setzen insbesondere voraus, dass explizit über die Kategorie der personenbezogenen Daten und der betroffenen Personen, den Zweck der Datenverarbeitung und die Zielländer aufgeklärt wird. Ebenso muss die Anwendbarkeit der allgemeinen Datenschutzgrundsätze und die einhergehenden Rechte der betroffenen Personen festgehalten werden. Schliesslich muss festgeschrieben werden, dass bei Verstössen gegen die BCRs durch ein nicht in der EU ansässiges Unternehmen auch der für die Datenverarbeitung (Haupt)Verantwortliche primär haftet.
BCRs im Sinne von Art. 46 DSGVO können daher nur als Übermittlungsinstrument im Rahmen einer konzerninternen Datenübermittlung dienen. Einzelne Unternehmen, die personenbezogene Daten in Drittländer exportieren, können nur das Instrument der SCCs für die Einhaltung der DSGVO nutzen oder sich für Branchenstandards wie CoCs einsetzen.
Was sind Verhaltenskodizes (CoCs)?
Bei den CoCs handelt es sich schliesslich um Datenschutzrichtlinien in Form eines Industriestandards, sei es von Verbänden oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten. Während SCCs darauf abzielen, den grenzüberschreitenden Datentransfer zu regeln, ist das Instrument der CoCs nicht auf diesen Zweck beschränkt, weshalb es CoCs auch hauptsächlich im vierten Kapitel der DSGVO geregelt sind.
Technische und organisatorische Massnahmen, die für eine Branche oder eine Kategorie von Datenverarbeitungen spezifisch sind, finden sich in der Regel auch in den CoCs wieder. Art. 40 DSGVO gibt Hinweise darauf, was bei der Umsetzung der DSGVO zusätzlich in solchen Verhaltenskodizes geregelt werden kann. So kann in CoCs z.B. die faire und transparente Datenverarbeitung näher ausgeführt, die Ausübung der Rechte der betroffenen Personen spezifiziert oder aussergerichtliche Verfahren und andere Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Unternehmen und betroffenen Personen erläutert werden.
Um als geeignete Garantie gemäss Art. 46 DSGVO zu gelten, müssen CoCs von der zuständigen Aufsichtsbehörde genehmigt werden. Wie bei den BCRs prüft die Aufsichtsbehörde, ob die CoCs unter anderem ausreichend angemessene Datenschutzgarantien im Sinne von Art. 46 DSGVO gewährleisten. Insbesondere müssen die CoCs für die betreffenden Unternehmen rechtsverbindlich sein und die betroffenen Personen müssen in der Lage sein, die ihnen gewährten Rechte in jedem Land, in welches ihre Daten exportiert werden, wirksam durchzusetzen.
Schlussfolgerung
Während SCCs, BCRs und CoCs die Übermittlung personenbezogener Daten in Drittländer rechtlich absichern und hierfür insbesondere durchsetzbare Rechte für betroffene Personen vorsehen, gibt es auch Unterschiede. SCCs sind einerseits modular aufgebaut, müssen individuell angepasst werden und werden von einer Behörde ausgestellt. Andererseits werden BCRs und CoCs von privaten juristischen Personen mit Blick auf unternehmens- oder branchenspezifische Interessen entwickelt. Dies ermöglicht es dem Privatsektor unabhängig Branchenstandards zu entwickeln, die den spezifischen Interessen von Unternehmen oder ganzen Wirtschaftszweigen gerecht werden und gleichzeitig die Schutzprinzipien der DSGVO wahren. Damit sie jedoch als angemessene Garantien für die Datenübermittlung in ein Drittland gemäss Art. 46 DSGVO angesehen werden, müssen sie solche Garantien ebenfalls enthalten, um ein vergleichbares rechtliches Datenschutzniveau zu gewährleisten, wie es die SCCs bewirken.