Update Datenschutz Nr. 87
Europäische Kommission veröffentlicht aktualisierte Standardvertragsklauseln
Nur einen Tag nach der Veröffentlichung der Empfehlungen des Europäischen Datenschutzausschusses („EDSA“) über zusätzliche Maßnahmen bei Datentransfers in Drittländer (Recommendation 01/2020) veröffentlichte am 12. November 2020 die Europäische Kommission einen Entwurf der lang erwarteten aktualisierten Standardvertragsklauseln („SCC“), die gemäß Art. 46 DSGVO als Grundlage für den Datentransfer in Drittländer ohne Angemessenheitsbeschluss dienen können. Ob die neuen SCC in der Praxis tatsächlich die endgültige Lösung für eine rechtmäßige Datenübermittlung in Drittländer darstellen, bleibt jedoch – insbesondere vor dem Hintergrund der Schrems II Entscheidung des EuGH sowie den Empfehlungen des EDSA – fraglich.
1. Hintergrund
Gemäß Art. 46 DSGVO sind SCC eine von mehreren Methoden, die Unternehmen einsetzen können, um personenbezogene Daten rechtmäßig an Empfänger außerhalb des EWR zu übermitteln. Derzeit bestehen zwei Arten von SCC: Zum einen SCC für den Datentransfer zwischen zwei Verantwortlichen aus 2001 und zum anderen SCC für den Datentransfer von Verantwortlichen an Auftragsverarbeiter aus 2010. Beide SCC wurden auf Basis der Datenschutzrichtlinie von 1995, dem Vorläufer der DSGVO, erlassen und legen den Parteien jeweils Verpflichtungen auf, die gewährleisten sollen, dass im Land des Datenimporteurs das gleiche Datenschutzniveau wie in der EU eingehalten wird. Da die bestehenden SCC noch auf den veralteten Normen der Datenschutzrichtlinie basieren, wurde seit Inkrafttreten der DSGVO in 2018 auf eine entsprechende Aktualisierung und Anpassung der SCC an die DSGVO gewartet. Zudem wurde erwartet, dass die Kommission die Gelegenheit nutzt, um die SCC an die vom EuGH vorgegebenen Standards in seiner Schrems II Entscheidung anzupassen. In dieser Entscheidung hatte der EuGH die aktuellen SCC zwar als gültig erklärt, wies jedoch gleichzeitig darauf hin, dass der Verantwortliche für jeden Einzelfall zu prüfen habe, ob die in den SCC enthaltenen Klauseln im Land des Datenimporteurs auch tatsächlich eingehalten werden können. Falls nicht, sei eine Datenübermittlung trotz abgeschlossener SCC nicht rechtmäßig.
2. Übersicht der wichtigsten Neuerungen
- Weiter Anwendungsbereich: Die neuen SCC umfassen alle wichtigen Varianten eines Datentransfers. So beinhalten die SCC neben dem derzeit geregelten Datentransfer zwischen Verantwortlichen und dem Datentransfer vom Verantwortlichen an den Auftragsverarbeiter auch neue Klauseln für den Datentransfer zwischen mehreren Auftragsverarbeitern und vom Auftragsverarbeiter an den Verantwortlichen. Dabei verfolgen die SCC einen modularen Ansatz, der es den Verwendern erlaubt, die jeweiligen relevanten Klauseln herauszusuchen.
- Beitritt weiterer Parteien: Die Verwendung der SCC durch mehrere Parteien wird mit dem neuen Entwurf wesentlich vereinfacht, da die Verwendung durch mehrere Parteien ausdrücklich vorgesehen ist. Zudem beinhalten die neuen SCC eine optionale Klausel, die den Beitritt neuer Vertragsparteien regelt. Dies ist insbesondere für den Datentransfer innerhalb von Konzernen praktisch.
- Aufnahme von Pflichten aus Art. 28 DSGVO: Die Module, die den Datentransfer an Auftragsverarbeiter regeln, enthalten nun auch die gemäß Art. 28 Abs. 3 DSGVO erforderliche Vereinbarung zur Auftragsverarbeitung. Sofern die Unternehmen SCC abgeschlossen haben, können sie daher auf eine zusätzliche Vereinbarung zur Auftragsverarbeitung verzichten, was den administrativen Aufwand erheblich vermindert. Nachteilig an dieser Lösung ist jedoch, dass es für die Parteien zukünftig schwerer sein wird, individuelle Klauseln zur Auftragsvereinbarung zu vereinbaren. Denn dafür müssten ggf. die SCC abgeändert werden, was nur zulässig ist, soweit die zusätzlichen Klauseln den SCC nicht widersprechen.
- Leitlinien für TOMs: Als Anlage II zu den neuen SCC sollen die Datenimporteure ihre jeweiligen technischen und organisatorischen Maßnahmen auflisten. Die Anlage II listet dafür beispielhaft 17 Kategorien auf, für die technische und organisatorische Maßnahmen benannt werden sollen. Diese Auflistung schafft zumindest mehr Klarheit in Bezug auf die Frage, welche Sicherheitsmaßnahmen die Parteien überhaupt implementieren sollten.
- Offenlegung der Verantwortlichen: Die Module für den Datentransfer zwischen Auftragsverarbeitern sehen vor, dass in Anlage IA alle Verantwortlichen aufgelistet werden. Dies dürfte in der Praxis insbesondere für technische Dienstleister, die eine große und stetig wechselnde Anzahl an Kunden (und somit Verantwortlichen) haben, nur sehr schwer umsetzbar sein.
- Transparenz gegenüber Betroffenen: Hinsichtlich des Datentransfers zwischen zwei Verantwortlichen verpflichten die neuen SCC den Datenimporteur den betroffenen Personen entweder direkt oder über den Datenexporteur seine Identität und Kontaktmöglichkeit zu nennen, sofern dies nicht einen unverhältnismäßigen Aufwand erfordert. Diese Verpflichtung dürfte sich auf die Datenschutzhinweise des Datenexporteurs auswirken, in denen zukünftig für den Fall von Drittlandtransfers eine Nennung von Empfängerkategorien nicht mehr ausreichen wird, sondern vielmehr die konkreten Empfänger mit Kontaktdetails anzugeben sind.
- Schrems II Anpassungen: Wie erwartet, finden sich in den neuen SCC auch einige Klauseln wieder, die wohl auf die vorgegebenen Standards des EuGH zu Datentransfers in Drittländer in seiner Schrems II Entscheidung zurückzuführen sind. Dabei handelt es sich insbesondere um nachfolgende Regelungen:
- a) Abschätzung des Übermittlungsrisikos: Die neuen SCC sollen nur abgeschlossen werden, wenn die Parteien nach einer ausgiebigen Prüfung der jeweiligen Rechtsordnung zu dem Schluss kommen, dass die Bestimmungen der SCC auch tatsächlich im Land des Datenimporteurs eingehalten werden können. Bei der Prüfung sollen insbesondere die individuellen Umstände der Übermittlung beachtet werden, wie u. a. Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Länge der Verarbeitungskette sowie die anwendbaren Gesetze des Drittlandes, insbesondere in Hinblick auf die Offenlegung von Daten im Rahmen von Auskunftsansprüchen des jeweiligen Staates bzw. dessen Behörden. Anders als die Empfehlungen des EDSA verweisen die SCC nicht auf die vom EDSA ohne weiteres legislative Verfahren selbst aufgestellten (sehr strengen) Europäischen Garantien für Überwachungsmaßnahmen (Recommendation 02/2020), um zu bestimmen, ob das erforderliche Schutzniveau im Drittland vorliegt, sondern nehmen die Grundsätze des Art. 23 DSGVO als Prüfungsmaßstab. Solange die Gesetze des Drittlandes die wesentlichen Rechte und Freiheiten einer Demokratie respektieren und nicht über das hinausgehen, was notwendig und erforderlich ist, um die in Art. 23 DSGVO genannten Ziele zu schützen, stünden die Gesetze des Drittlandes nicht in Widerspruch zu den SCC. Die SCC dürften in diesem Fall folglich abgeschlossen werden. Diese Prüfung wird für einen Großteil der Datentransfers in Drittländer zum Lackmustest werden. Dies gilt umso mehr, wenn bei der in den SCC beschriebenen Prüfung die Empfehlungen des EDSA berücksichtigt werden, nach denen eine Übermittlung von Klardaten in Drittländer selbst mit zusätzlichen Sicherheitsmaßnahmen nur noch in sehr wenigen Fällen möglich sein soll.
- b) Abwehrpflicht von behördlichen Anfragen: Sofern der Datenimporteur eine rechtlich bindende Aufforderung zur Offenlegung von personenbezogenen Daten erhält, soll er dies dem Datenexporteur nach den neuen SCC schnellstmöglich mitteilen. Sofern eine solche Mitteilung rechtlich verboten ist, soll er mit größter Anstrengung versuchen, eine Aufhebung dieses Verbots zu erwirken. Zudem soll der Datenimporteur alle verfügbaren Rechtsmittel gegen das Auskunftsersuchen ausschöpfen, einschließlich der Beantragung einstweiliger Verfügungen. Diese Verpflichtung belastet den Datenimporteur im Fall einer Auskunftsanfrage stark und die Frage der Kostenverteilung einer solchen Abwehr bleibt offen. Daher dürften zumindest anfangs einige Unternehmen zögern, die neuen SCC abzuschließen.
- c) Mitteilungspflichten an Behörde: Sofern der Datenimporteur nicht mehr in der Lage ist, die Vorschriften der SCC einhalten zu können, muss er dies dem Datenexporteur mitteilen. Dieser muss anschließend entscheiden, ob die Datenübermittlung beendet werden soll oder ob zusätzliche Maßnahmen für die Datenverarbeitung implementiert werden sollen, auf deren Grundlage ein Datentransfer weiterhin stattfinden kann. Bemerkenswert ist, dass der Datenexporteur nach den Vorschriften der SCC in beiden Fällen verpflichtet ist, eine entsprechende Meldung an die zuständige Aufsichtsbehörde abzugeben.
3. Weiteres Vorgehen
Die öffentliche Konsultation für den von der Kommission veröffentlichten Entwurf der SCC wird noch bis zum 10. Dezember 2020 laufen. In dieser Zeit ist es jedem möglich, auf der Homepage der Kommission sein Feedback zu dem Entwurf einzureichen. Danach wird die Kommission einen finalen Entwurf veröffentlichen, der dann nochmals vom Ausschuss gemäß Art. 93 DSGVO (d.h. Vertretern aller Mitgliedsstaaten) genehmigt werden muss.
Zudem muss vor einer finalen Verabschiedung der SCC auch die Meinung des EDSA eingeholt werden. Das Feedback des EDSA wird von besonderer Bedeutung sein, da zu erwarten ist, dass das EDSA darin die praktische Anwendung der SCC unter Berücksichtigung seiner Empfehlungen zum Datentransfer in Drittländer erläutern wird.
Aufgrund dieser weiteren Verfahrensschritte ist nicht davon auszugehen, dass die aktualisierten SCC vor Frühjahr 2021 in Kraft treten. Auch danach bleibt den Unternehmen noch eine Übergangsfrist von einem Jahr bis sie ihre derzeitigen SCC durch die neuen SCC ersetzen müssen – sofern diese angesichts der strengen Empfehlungen des EDSA überhaupt noch als Grundlage für einen Datentransfer in ein Drittland verwendet werden können.