Die Übermittlung personenbezogener Daten in die USA bedarf einer besonderen Rechtfertigung. Nachdem der EuGH durch das Schrems II-Urteil den Angemessenheitsbeschluss („Privacy Shield“) für unwirksam erklärt hat, sind die Standardvertragsklauseln (oder auch Standarddatenschutzklauseln) das häufigste Instrument für Drittlandsübermittlungen. Eine neue Version der Standardvertragsklauseln hat die EU-Kommission im Juni 2021 veröffentlicht. Ab dem 27. September 2021 sind diese neuen Standardvertragsklauseln für neue Datenübermittlungen zwingend anzuwenden.
Der folgende Beitrag soll einen Überblick darüber geben, wie ausgewählte US-amerikanische Unternehmen (z.B. Google, Microsoft und Amazon) die neue Standardvertragsklauseln umgesetzt, welche Anwendungsstandards sich herausgebildet haben und was nun zu beachten ist.
Die neuen Standardvertragsklauseln folgen einem modularen Ansatz und sind daher wie ein Baukastensystem aufgebaut, sodass für bestimmte Übermittlungskonstellationen jeweils bestimmte Klauseln einschlägig sind. So möchte die EU-Kommission die Klauseln an die praktischen Bedürfnisse anpassen und Klarheit schaffen. Zudem ist die Terminologie endlich an die DSGVO angepasst worden. Näheres zu den allgemeinen Veränderungen finden Sie in unseren beiden Website-Beiträgen (hier und hier).
Google
Google hat anlässlich der neuen Standardvertragsklauseln seine Datenverarbeitungsbedingungen umfassend angepasst und die neuen Standardvertragsklauseln in die Vertragswerke integriert. Zu unterschieden sind bei Google – ausgehend von der (umstrittenen) eigenen Einstufung durch Google – zwei datenschutzrechtliche Konstellationen:
1. Google-Dienste als Auftragsverarbeitung
Maßgeblich sind hier zunächst die „Google Ads Data Processing Terms“ (Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO), die für Google-Dienste wie Google Analytics, Optimize oder Tag Manager gelten. Für die Auftragsverarbeitungs-Konstellation stellt Google folgende Standardvertragsklauseln zur Verfügung.
- Modul 3 (Processor-to-Processor): im Hauptanwendungsfall der neuen Standardvertragsklauseln schließt der Google-Kunde mit Sitz in der EU/dem EWR diese gar nicht selbst ab; vielmehr stützt Google die unternehmensinternen Datenübermittlungen, beispielsweise zwischen Google Ireland und Google LLC, auf das Modul 3.
- Modul 3 (Processor-to-Processor): der Google-Kunde als in der EU/EWR ansässiger Auftragsverarbeiter setzt eine Google-Gesellschaft außerhalb der EU/dem EWR als Unterauftragnehmer ein
- Modul 2 (Controller-to-Processor): ein Verantwortlicher mit Sitz in der EU/EWR nimmt eine außerhalb der EU/des EWR ansässige Google-Gesellschaft als Auftragsverarbeiter in Anspruch
- Modul 4 (Processor-to-Controller): ein außerhalb der EU/des EWR ansässiger Verantwortlicher nimmt eine Google-Gesellschaft mit Sitz in der EU/EWR als Auftragsverarbeiter in Anspruch.
2. Google-Dienste zwischen zwei Verantwortlichen
Diese Konstellation baut auf den „Google Ads Controller-Controller Data Protection Terms“ auf und gelten für Google Dienste wie wie Google Ads, AdSense oder Google Ad Manager.
Hier verwendet Google, sofern die als Vertragspartner (und Datenempfänger) fungierende Google-Gesellschaft außerhalb der EU und des EWR ihren Sitz hat, das Modul 1 (Controller-to-Controller) zur Übermittlung personenbezogener Daten in das jeweilige Drittland.
Bei einem bereits bestehenden Vertragsverhältnis mit Google kann man über den Account den Änderungen der Datenverarbeitungsbedingungen aktiv in den Einstellungen zustimmen. Die neuen Bestimmungen für Datenübermittlungen auf Grundlage der Standardvertragsklauseln werden dann ab dem 27. Oktober 2021 wirksam. Unterlässt man die aktive Zustimmung, werden gelten die neuen Bedingungen bei fortgesetzter Nutzung ebenfalls. Bei allen neuen Verträgen, welche ab dem 27. September 2021 geschlossen wurden, gelten die neuen Bestimmungen ab sofort.
Microsoft
Microsoft hat das neue „Microsoft Products and Services Data Protection Addendum“ entsprechend auf die neuen Standardvertragsklauseln angepasst. Weiterhin ließ Microsoft in der Ankündigung verlauten, dass neue Vertragsbeziehungen automatisch auf die neuen Standardvertragsklauseln gestützt werden. Bei bestehenden Verträgen liegt es in der Hand des Kunden, die existierende Vereinbarungen mit Microsoft im Onlinedienst auf den neusten Stand zu aktualisieren und somit die Standardvertragsklauseln aufzunehmen.
Amazon Web Services (AWS)
Auch Amazon Web Services hat in einem Blog-Beitrag bekannt gegeben, dass das „AWS GDPR Data Processing Addendum“ entsprechend um die neuen Standardvertragsklauseln aktualisiert wird. Unter „17. Definitions“ wird auf die Standardvertragsklauseln Controller-to-Processor (Modul 2) und Processor-to-Processor (Modul 3) verwiesen, welche jeweils eine Datenübermittlung zwischen dem AWS-Kunden mit Sitz in der EU/dem EWR und einer Amazon-Gesellschaft außerhalb der EU/EWR zum Gegenstand haben.
Ebenfalls hat Facebook mit Wirkung zum 27. September 2021 den „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“ aktualisiert und nimmt dort nunmehr unter Ziff. 6. i. Bezug auf Modul 3 der Standardvertragsklauseln (Processor-to-Processor). Diese finden Anwendung bei konzerninternen Datenübermittlungen und externen Übermittlungen in Drittländer im Rahmen von Produkten und Diensten, die Facebook Irland als Auftragsverarbeiter erbringt. Für andere Datenübermittlungskonstellationen stellt Facebook – soweit derzeit ersichtlich – keine Standardvertragsklauseln bereit.
Atlassian
Atlassian hat mit Mitteilung vom 23. September 2021 ebenfalls auf die neuen Standardvertragsklauseln reagiert und das Data Processing Addendum entsprechend aktualisiert. Verweise auf die neuen Standardvertragsklauseln und die einschlägigen Module finden sich unter Ziff. 2.6. des DPA. Zudem hat Atlassian auch Übermittlungen ausgehend von der Schweiz oder UK entsprechend geregelt. In einem weiteren Unterpunkt stellt Atlassian Informationen für das Transfer Impact Assessment zur Verfügung.
Salesforce
Auch Salesforce nimmt die neuen Standardvertragsklauseln in das Data Processing Addendum mit auf und stellt darüberhinaus mit dem Transparenzbericht, den Prinzipien zum Umgang mit behördlichen Auskunftsanfragen und weiteren Informationen für das Transfer Impact Assessment umfangreiche und aktualisierte Informationen für Salesforce-Kunden und deren eigene Risikobewertung zur Verfügung.
Fazit
Datenübermittelnde Unternehmen, egal ob in der Rolle als Verantwortlicher oder Auftragsverarbeiter, sollten ihre Vertragswerke mit den US-amerikanischen Anbietern unbedingt auf eine Aktualisierung zu den neuen Standardvertragsklauseln überprüfen und – sofern erforderlich und möglich – die erforderlichen Schritte zum Abschluss der neuen Standardvertragsklauseln einleiten. In einem zweiten Schritt sind die Informationenspflichten nach Art. 13 DSGVO zu überprüfen und dort enthaltenen Abschnitte zu Drittlandsübermittlungen (Art. 13 Abs. 1 lit. f DSGVO) gegebenenfalls zu aktualisieren.
SCC-Generator
Hier gelangen Sie zu dem neuen SCC-Generator, um Ihre individuellen SCC’s zu erstellen.