Mit den neuen EU-Standardvertragsklauseln sollen internationale Datentransfers vereinfacht und die Anforderungen der Schrems-II-Entscheidung berücksichtigt werden. Unternehmen sind zur Umsetzung der neuen Vertragsbedingungen verpflichtet und sollten sich rechtzeitig mit den neuen Regelungen vertraut machen. Absolute Rechtssicherheit für internationale Datenübermittlungen können die neuen Standardvertragsklauseln aber nicht bieten.
© iStockHintergrund
Die EU-Standardvertragsklauseln sind das in der Praxis mit Abstand am Häufigsten verwendete Instrument für die Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des EWR (sog. Drittländer). Nahezu jedes Unternehmen hat in der Vergangenheit bei internationalen Datentransfers bereits auf die EU-Standardvertragsklauseln zurückgegriffen, sei es ganz bewusst durch gesonderte Vereinbarung oder aber durch die Akzeptanz Allgemeiner Geschäftsbedingungen, in denen die Standardvertragsklauseln bereits integriert sind. Gerade bekannte US-Provider wie Amazon, Google und Facebook beziehen Standardvertragsklauseln regelmäßig in ihre AGB mit ein, so dass diese bei Vertragsschluss automatisch mit vereinbart werden.
Die bisherigen Standardvertragsklauseln, zuletzt aktualisiert im Jahr 2010, waren jedoch noch ein Relikt aus der Zeit vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO), und bedurften dringend einer Modernisierung, nicht zuletzt im Nachgang an das EuGH-Urteil „Schrems-II“ zum internationalen Datentransfer. Dem ist die EU-Kommission durch Verabschiedung neuer Standardvertragsklauseln nun nachgekommen. Die neuen Standardvertragsklauseln sollen vor allem bestehende Anwendungslücken schließen und die seit geraumer Zeit geforderte Vereinheitlichung mit den Regelungen der DSGVO schaffen.
Modularer Aufbau und Ersatz von Auftragsverarbeitungsvereinbarungen
Eine wesentliche Neuerung ist der modulare Aufbau des Vertragswerks. Insgesamt wird es nunmehr vier verschiedene Module der Standardvertragsklauseln geben:
- Modul 1: Datenübermittlungen zwischen zwei Verantwortlichen
- Modul 2: Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter
- Modul 3: Datenübermittlungen von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter
- Modul 4: Datenübermittlungen von Auftragsverarbeitern an Verantwortliche.
Die letzten beiden Konstellationen waren bislang nicht von den Standardvertragsklauseln umfasst und mussten in der Praxis durch umständliche Alternativen gelöst werden. Die Erweiterung ist daher sehr begrüßenswert.
Eine weitere Vereinfachung ergibt sich durch die Aufnahme der notwendigen Regelungen einer Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO). Während unter Geltung der alten Standardvertragsklauseln zwischen Datenexporteur und Datenimporteur jeweils noch gesonderte Auftragsverarbeitungsverträge geschlossen werden mussten, sind die hierfür erforderlichen Vorschriften in den neuen Standardvertragsklauseln bereits enthalten. Darüber hinaus haben Dritte nunmehr die Möglichkeit, einer zwischen Importeur und Exporteur bereits existierenden Vereinbarung, die auf Grundlage der neuen Standardvertragsklauseln geschlossen wurde, beizutreten, was gerade bei komplexen Mehrparteienverträgen zu einer Vereinfachung führen dürfte.
Berücksichtigung der Schrems-II-Entscheidung
Neben einem erweiterten Anwendungsbereich sollen durch die neuen EU-Standardvertragsklauseln auch die Anforderungen der im letzten Jahr ergangenen „Schrems-II-Entscheidung“ berücksichtigt werden, die für viele Unternehmen nach wie vor eine gewaltige Herausforderung darstellt. Der EuGH hatte in seinem „Schrems-II-Urteil“ vom 16.07.2020 (Rs. C-311/18) festgestellt, dass Datenübermittlungen in die USA nicht länger auf Grundlage des Privacy Shields erfolgen können und der Einsatz von EU-Standardvertragsklauseln bei Datenübermittlungen in Drittländer nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen erfolgen darf, die ein dem Schutz personenbezogener Daten innerhalb der EU gleichwertiges Niveau sicherstellen.
Die neuen EU-Standardvertragsklauseln sehen vor diesem Hintergrund vertragliche Regelungen vor, die sowohl das datenexportierende als auch das importierende Unternehmen verstärkt in die Pflicht nehmen. So reicht es für Datenübermittlungen in Drittländer künftig ausdrücklich nicht mehr aus, sich alleine auf die Standardvertragsklauseln zu berufen, ohne zuvor geprüft zu haben, ob der vertraglich vorgesehene Schutz personenbezogener Daten im jeweiligen Drittland auch tatsächlich gewährleistet werden kann. Insoweit bleibt es den exportierenden Unternehmen auch unter Geltung der neuen Standardvertragsklauseln nach wie vor nicht erspart, das Datenschutzniveau im jeweiligen Drittland zu überprüfen und bei Bedarf zusätzliche Maßnahmen zu ergreifen („Datentransfer-Folgenabschätzung“). Umgekehrt ist der Datenimporteur dazu verpflichtet, sich gegen unverhältnismäßige Behördenanfragen, die den Anforderungen der DSGVO widersprechen, zu verteidigen und den Datenexporteur hierüber zu informieren. Anschließend muss der Datenexporteur selbst entscheiden, ob eine Datenübermittlung weiterhin stattfinden kann und die zuständige Aufsichtsbehörde über die Entscheidung in Kenntnis setzen. Die Pflicht zur Abwehr von Regierungsanfragen geht sogar so weit, dass Datenimporteure gegen entsprechende Behördenzugriffe gerichtlich vorgehen und die eigenen Abwehrmaßnahmen umfassend dokumentieren müssen. Unklar ist bisweilen jedoch, wer die dadurch entstehenden Kosten zu tragen ist.
Fazit und Handlungsempfehlung
Die neuen Standardvertragsklauseln enthalten längst überfällige Anpassungen an die DSGVO und schaffen durch den modularen Aufbau in Verbindung mit der Beitrittsmöglichkeit zu bestehenden Verträgen einen deutlich flexibleren Rechtsrahmen für die Übermittlung personenbezogener Daten in Drittländer. Gleichwohl können auch die neuen Standardvertragsklauseln die bestehende Rechtsunsicherheit infolge der „Schrems-II-Entscheidung“ nicht vollständig beseitigen. Die erweiterten vertraglichen Schutzmaßnahmen können insoweit für sich genommen keine Übermittlung personenbezogener Daten in Drittländer rechtfertigen, in denen das Datenschutzniveau nicht dem der EU entspricht. In diesen Fällen sollten Unternehmen nach wie vor eine gründliche Risikoanalyse durchführen, zusätzliche Maßnahmen in Betracht ziehen und die Ergebnisse der Datentransfer-Folgenabschätzung dokumentieren. Andernfalls drohen aufsichtsrechtliche Sanktionen, zumal einige deutsche Aufsichtsbehörden erst vor kurzem in diesem Zusammenhang gemeinsam abgestimmte Kontrollen angekündigt haben.
Aber unabhängig von der Schrems-II-Problematik ergibt sich aufgrund der neuen Standardvertragsklauseln Handlungsbedarf: Bei allen neu geschlossenen Verträgen müssen nach Veröffentlichung des Annahmebeschlusses im Amtsblatt der EU die neuen Standardvertragsklauseln berücksichtigt werden. Für bereits bestehende Verträge gilt eine Frist von 18 Monaten, innerhalb der alle bestehenden Standardvertragsklauseln durch die neuen Standardvertragsklauseln ersetzt werden müssen. Betroffene Unternehmen sollten sich daher schnellstmöglich mit den neuen Vertragsbedingungen vertraut machen, die entsprechenden Altverträge identifizieren und für eine fristgerechte Umstellung sorgen.
