07.06.2021Fachbeitrag

Update Datenschutz Nr. 99

Neue EU-Standardvertragskauseln in Kraft – So gehen Unternehmen bei Nutzung von US-Cloud-Diensten nun richtig vor

Die EU-Kommission hat am Freitag nach langer Wartezeit nun endlich die finale Fassung der neuen EU-Standardvertragsklauseln (Standard-Contractual-Clauses, nachfolgend „SCC“) veröffentlicht. Unternehmen, die seit Juli 2020 aufgrund des EuGH-Urteil i. S. Schrems II unsicher sind, ob eine Inanspruchnahme der Services von US-Anbietern wie Amazon, Microsoft, Google, Salesforce & Co. rechtskonform erfolgen kann, können diese nun auf eine neue Rechtsgrundlage stützen. Was Sie hierfür zu tun haben, erfahren Sie in diesem Artikel.

Die wichtigsten Punkte dieses Artikels zusammengefasst:

  • Die EU-Kommission hat am 4. Juni 2021 neue SCC veröffentlicht, eine Fassung zum Datentransfer innerhalb von EU/EWR („EU-Datentransfer“) und eine Fassung zum Drittlandtransfer.
  • Die Version zum EU-Datentransfer steht zukünftig als Alternative zu den herkömmlichen Verträgen zur Auftragsverarbeitung nach Art. 28 DSGVO zur Verfügung.
  • Die Version zum Drittlandtransfer hat eine Übergangsfrist von 18 Monaten, Unternehmen müssen daher zwar nicht sofort handeln, sollten dies jedoch aus unserer Sicht aufgrund der bestehenden Rechtsunsicherheit.
  • Die SCC zum Drittlandtransfer sind modular aufgebaut, es muss daher vom Verwender zunächst im Hinblick auf die Funktionen der Beteiligten eine rechtliche Einordnung erfolgen, sodann sind die nicht anwendbaren Module aus dem Entwurf zu streichen.
  • Unternehmen müssen vor Verwendung der SCC zum Drittlandtransfer ein sog. Data Transfer Impact Assessment durchführen, also eine dokumentierte Risikobewertung; erst nach positiver Bewertung darf ein Datentransfer auf Grundlage der SCC erfolgen.
  • Am Ende dieses Artikels erhalten Sie eine detaillierte Anleitung zur Verwendung der neuen SCC zum Drittlandtransfer.

1. Hintergründe

Die USA verfügen nach Einschätzung der EU-Kommission über ein unzureichendes Datenschutzniveau, so dass jeder Datentransfer auf US-Server nach Artt. 44 ff. DSGVO einer besonderen Rechtsgrundlage bedarf. Bis Juli 2020 hatten EU-Unternehmen diesen Datentransfer entweder auf a) den Angemessenheitsbeschluss zum EU-US-Privacy-Shield oder b) den Abschluss der alten SCC gestützt. Der Europäische Gerichtshof erklärte das EU-US-Privacy-Shield jedoch daraufhin (Az. C-311/18) für ungültig und stellte an den Abschluss der alten SCC erweiterte Anforderungen, etwa die Vornahme einer Überprüfung der jeweiligen Rechtsordnung (Data Transfer Impact Assessment), den Abschluss einer Ergänzungsvereinbarung mit gesteigerten Kontroll-, Informations- und Rechtsmittelpflichten der US-Provider und/oder die Vornahme einer vollständigen Verschlüsselung der relevanten Daten. Seitdem besteht Unsicherheit, welche Maßnahmen Unternehmen nun genau zu treffen haben, um die Services der US-Provider rechtskonform in Anspruch nehmen zu können. Insoweit wurde sehnlichst eine Neuauflage der SCC erwartet.

Nähere Hintergrundinformationen zu den Geschehnissen nach dem obigen EuGH-Urteil (Schrems II) finden Sie noch einmal zum Nachlesen in unseren folgenden Beiträgen:

Die neuen SCC wurden nun am Freitag, den 4. Juni 2021, von der EU-Kommission veröffentlicht. Sie können ab sofort verwendet werden. Nachfolgend finden Sie einen Überblick zu diesen Dokumenten und eine Handlungsempfehlung für die Praxis.

2. SCC für den EU-Datenverkehr

Es gibt nun zwei Versionen der neuen SCC, eine zum EU-Datentransfer (Auftragsverarbeitung) und eine zum Drittlandtransfer, also im Hinblick auf die Übermittlung personenbezogener Daten in Staaten außerhalb der EU/EWR. In diesem Abschnitt finden Sie zunächst Informationen zu den SCC zum EU-Datentransfer:

Nachdem bereits die dänische Aufsichtsbehörde 2019 im Rahmen des Kohärenzverfahrens nach Art. 63 DSGVO und in Abstimmung mit dem Europäischen Datenschutzausschuss (EDSA) SCC für Fälle der Auftragsverarbeitung nach Art. 28 DSGVO entworfen hatte, hat nun auch die Europäische Kommission eigene SCC für den EU-Datentransfer vorgelegt.

Dabei decken diese Klauseln sowohl die Fälle des Art. 28 Abs. 3, 4 DSGVO, als auch die des Art. 29 Abs. 3, 4 Verordnung (EU) 2018/1725 ab. Die SCC zum EU-Datentransfer sind daher gleichberechtigt zu den derzeit von Unternehmen verwendeten Verträgen zur Auftragsverarbeitung, können nun jedoch auch von Organen, Einrichtungen und sonstige Stellen der Europäische Union verwendet werden. Anders als die SCC zum Drittlandtransfer erfüllen diese jedoch keinerlei Garantiefunktion, sie sind auch nicht für Unternehmen verpflichtend. Vielmehr stellen die neuen SCC zum EU-Datentransfer schlicht eine Vorlage für einen rechtskonformen Vertrag zur Auftragsverarbeitung dar, der von Unternehmen verwendet werden kann oder auch nicht.

Zwar enthalten die SCC zum EU-Datentransfer nun eine Kopplungsklausel (Klausel 5), so dass es zukünftig möglich ist, einfach weitere Unternehmen als Vertragspartner (sowohl Verantwortliche als auch Auftragsverarbeiter) in die SCC mit aufzunehmen. Allerdings verzichten die SCC zum EU-Datentransfer naturgemäß auf Regelungen zum Schutze der individuellen Interessen ihrer Verwender. Insoweit hat der Auftraggeber einer Auftragsverarbeitung regelmäßig ein Interesse daran, die eigenen Kontrollrechte beim Datenimporteur („Dienstleister“) individueller zu gestalten und gesetzliche Informationspflichten zu konkretisieren. Der Auftragnehmer einer Auftragsverarbeitung hat im Gegensatz dazu ein berechtigtes Interesse an einer möglichst aufwands- und kostenschonenden Gestaltung seiner Unterstützungsleistungen sowie an einer eigenständigen Entscheidung über seine technischen und organisatorischen Maßnahmen. Erfahrungsgemäß führt daher aus Sicht der jeweiligen Vertragspartner ein Standarddokument nicht zur ausreichende Berücksichtigung der individuellen Interessen, so dass die neuen SCC zum EU-Datentransfer nur für sehr einfache Vertragskonstellationen geeignet sein dürften.

3. SCC zum Drittlandtransfer

Größere Bedeutung dürften zukünftig die SCC zum Drittlandtransfer haben. Sie werden nach Art. 46 DSGVO Rechtsgrundlage für die Inanspruchnahme von Services der US- und sonstigen Provider mit Hauptsitz außerhalb von EU/EWR, weshalb wir nachfolgend etwas näher auf deren Inhalte eingehen werden:

a) Überblick

Die neuen SCC zum Drittlandtransfer dienen als Rechtsgrundlage für die Übermittlung in Staaten mit einem unzureichenden Datenschutzniveau. Zwar gibt es in Art. 49 DSGVO noch Ausnahmeregelungen, die einen solchen Transfer ebenfalls rechtfertigen könnten, wie etwa die individuelle Einwilligung des Betroffenen oder die Vertragserforderlichkeit. Allerdings werden die neuen SCC zum Drittlandtransfer zukünftig den Regelfall zur Schaffung eines angemessenen Datenschutzniveaus bei Anbietern in Drittstaaten darstellen. Es wurde eine Übergangsfrist von 18 Monaten bestimmt, so dass theoretisch bis dahin noch die alten SCC zum Drittlandtransfer Verwendung finden können. Allerdings ist dies nicht empfehlenswert, denn der EuGH hat in obiger Entscheidung klargestellt, dass die Nutzung der alten SCC bei Drittstaaten mit behördlicher Datentransfer-Überwachung allein nicht ausreicht, vielmehr ergänzende Garantien eingeholt werden müssen, was wiederum in die Rechtsunsicherheit führt. Insoweit sollten die neuen SCC zum Drittlandtransfer aus unserer Sicht unverzüglich zum Abschluss gebracht werden.

b) Kopplungsklausel

Neu ist auch bei den SCC zum Drittlandtransfer die Kopplungsklausel nach Klausel 7, wonach jederzeit neue Vertragspartner in bestehende SCC mit aufgenommen werden können. Auf diese Weise kann ein Auftraggeber etwa bei gemeinsamer Verantwortlichkeit einen anderen Auftraggeber aufnehmen, um die bestehende Auftragsverarbeitung mit dem Dienstleister rechtlich abzusichern. Dies bietet Flexibilität bei der Vertragsgestaltung.

c) Modularer Aufbau

Neu ist auch der modulare Aufbau der SCC zum Drittlandtransfer. Es gibt nun Abschnitte, die je nach konkreter Ausgestaltung Anwendung finden, während andere Abschnitte herauszunehmen sind. Unterteilt wird hierbei in vier Module:

  • Auftraggeber transferiert zu einem eigenverantwortlichen Unternehmen im Drittstaat, z. B. im Rahmen der gemeinsamen Verantwortlichkeit (Controller to Controller
  • Auftraggeber transferiert zu einem weisungsgebundenen Dienstleister (Controller to Processor)
  • Dienstleister transferiert zu einem anderen (Sub-)Dienstleister (Processor to Processor)
  • Dienstleister transferiert zu einem Aufraggeber im Drittstaat, z. B. ein EU-Callcenter als Dienstleister erhebt hier Daten, die dem Auftraggeber in den USA übermittelt werden (Processor to Controller)

Es ist daher vor Ausgestaltung der neuen SCC zum Drittlandtransfer zunächst zu prüfen, welche der obigen Konstellationen vorliegen.

d) Unterauftragnehmer

Auch die Beauftragung von Unterauftragnehmern des Dienstleisters wurde modular geregelt. Für den weit häufigsten Fall des Controller-Processor-Verhältnisses gelten allerdings dieselben Grundsätze, wie bisher bereits in Art. 28 II und IV DSGVO – und damit in allen derzeit vereinbarten Verträgen zur Auftragsverarbeitung – geregelt: Der Auftraggeber kann im Vertrag entscheiden, ob er jeder Änderung zur Beauftragung von Unterauftragnehmern durch den Dienstleister zustimmen muss oder aber eine allgemeine Genehmigung erklärt wird, so dass der Dienstleister nur über die Änderung informieren muss, der Auftraggeber allerdings ein Widerspruchsrecht erhält. Neu ist dagegen, dass der Dienstleister mit dem Unterauftragnehmer vereinbaren muss, dass der Auftraggeber etwa bei Zahlungsunfähigkeit des Dienstleisters direkte Rückgabe- oder Löschungsansprüche erhält (Klausel 9 lit. e).

e) Lokale Rechtsvorschriften, Klausel 14

Neu sind auch die Regelungen in Klausel 14 zu lokalen Rechtsvorschriften. Sie gehen direkt auf die neuen Anforderungen des EuGH ein, wonach jedes EU-Unternehmen vor Inanspruchnahme von Drittstaat-Providern mit behördlicher Daten-Überwachung (etwa USA oder China) u. a. eine individuelle Risikobewertung (Data Transfer Impact Assessment) vorzunehmen hat. Klausel 14 sieht nun folgende Pflichten vor:

  • Die Parteien müssen vor dem Datentransfer prüfen, ob Rechtsvorschriften oder Gepflogenheiten im Drittstaat die Erfüllung der Pflichten aus den SCC zum Drittlandtransfer hindern können. Es hat also je SCC eine dokumentierte Risikobewertung stattzufinden.
  • Bei der Risikobewertung sind die besonderen Umstände der Übermittlung zu berücksichtigen, also z. B. die Anzahl der eingebundenen Akteure (Unterauftragnehmer), etwaige Weiterleitung der Daten an Dritte, das Format der Daten oder der betreffende Wirtschaftszweig.
  • Besondere Beachtung bei der Durchführung der Risikobewertung müssen auch die jeweils anwendbaren Rechtsvorschriften und Gepflogenheiten des Drittlandes erhalten, allerdings auch die geltenden Beschränkungen und Garantien. Es reicht daher nicht aus, eine pauschale Vorab-Risikoabwägung zu erstellen und diese auf unterschiedliche Länder anzuwenden. Andererseits können hierbei auch persönliche Erfahrungen der Parteien eingebracht werden, etwa die Feststellung, dass in der Vergangenheit keinerlei Kontrollzugriffe von Seiten der Behörden im Drittstaat erfolgt sind. Letzter Punkt wird allerdings in der Literatur teilweise beanstandet, da die Risikobewertung durch diese subjektiven Elemente fehlgeleitet werden kann.
  • Schließlich sind bei der obigen Risikobewertung alle relevanten vertraglichen, technischen oder organisatorischen Garantien zu berücksichtigen, die von Seiten der Parteien vor Übermittlung der Daten umgesetzt werden. Hierauf gehen wir im nächsten Unterabschnitt näher ein.

Insgesamt lässt sich feststellen, dass Unternehmen vor Inanspruchnahme von Drittland-Services nach den neuen SCC zum Drittlandtransfer umfassende Prüfungspflichten erfüllen müssen. Hierbei lässt sich keine pauschale Standardbewertung für eine Anzahl gleicher Fälle erstellen, sondern in jedem Fall sind die besonderen Umstände individuell zu berücksichtigen.

f) Zusätzliche Garantien

Bei der Risikobewertung sind nicht nur die besonderen Umstände und relevanten Rechtsvorschriften sowie Gepflogenheiten zu beachten, sondern auch etwaige zusätzliche Garantien.

Geeignete, ergänzende Garantien können vertraglicher, organisatorischer und technischer Art sein. Technischen Maßnahmen kommt jedoch besondere Bedeutung zu. Im Einklang mit den Empfehlungen des Europäischen Datenschutzausschussess („EDSA“) sind technische Schutzmaßnahmen, die den Zugang zu personenbezogenen Daten durch staatliche Stellen in Drittländern verhindern oder ineffektiv machen, das vorrangige Mittel der Wahl. Technische Garantien können durch organisatorische und vertragliche Maßnahmen flankiert werden, um insgesamt einen effektiven Schutz der übermittelten Daten zu gewährleisten. Als technische Maßnahme nennt der EDSA insbesondere Verschlüsselungstechnologien. Der Einsatz von Anonymisierungs- und/oder Pseudonymisierungstechniken (wenn nur das EU-Unternehmen die Zuordnung vornehmen kann), wird von einigen deutschen Aufsichtsbehörden, wie z. B. der Landesbehörde in Baden-Württemberg, konkret empfohlen. Aus der Pflicht, zusätzliche Garantien zur Einhaltung des Datenschutzes im Empfängerland zu berücksichtigen, ergibt sich daher sowohl für Datenexporteure, aber auch für Datenimporteure konkreter Handlungsbedarf.

g) Behördenzugriff, Klausel 15

Neu in den SCC zum Drittlandtransfer sind auch die Vorgaben des Dienstleisters im Falle des Zugangs von Behörden zu den Daten. Aus dieser Regelung ergeben sich für ihn als Datenimporteur folgende Pflichten:

Benachrichtigung

Der Dienstleister ist verpflichtet, den Auftraggeber und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen,

  • wenn er von einer Behörde des Bestimmungslandes eine rechtlich bindende Aufforderung zur Offenlegung personenbezogener Daten erhält, die auf Grundlage der SCC übermittelt werden oder
  • wenn er Kenntnis davon erlangt, dass eine Behörde im Bestimmungsland direkten Zugang zu personenbezogenen Daten hat, die gemäß den SCC zum Drittlandtransfer übermittelt wurden.

Ist es dem Dienstleister nach den Rechtsvorschriften des Bestimmungslandes untersagt, den Auftraggeber und/oder die betroffene Person zu benachrichtigen, so ist Ersterer verpflichtet, sich nach besten Kräften um eine Aufhebung des Informationsverbotes zu bemühen. Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, ist der Dienstleister zudem verpflichtet, dem Auftraggeber in regelmäßigen Abständen möglichst viele Informationen über die eingegangenen Behördenersuchen zur Verfügung zu stellen. Darüber hinaus ist der Dienstleister gemäß Klausel 14 und Klausel 16 verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er die vorstehenden Pflichten nicht einhalten kann.

Überprüfung der Rechtmäßigkeit und Datenminimierung

Der Dienstleister ist verpflichtet, die Rechtmäßigkeit des behördlichen Offenlegungsersuchens zu überprüfen, und bei Vorliegen hinreichender Erfolgsaussichten gegen das Offenlegungsersuchen Rechtsmittel (einschließlich Maßnahmen des vorläufigen Rechtsschutzes) einzulegen. Offen ist hierbei erneut geblieben, wer hierfür die Kosten zu tragen hat und ob es dem Dienstleister möglich ist zu verhandeln (wie bisher der Regelfall), dass der Auftraggeber die Kosten der (ggf. exorbitanten) Rechtsmittel zu übernehmen hat.

Dokumentationspflichten

Schließlich ist der Dienstleister verpflichtet, die Einhaltung der vorstehend genannten Verpflichtungen umfassend zu dokumentieren, um diese auf Verlangen des Auftraggebers nachweisen zu können.

4. Handlungsempfehlungen

Die neuen SCC, insbesondere diejenigen zum Drittlandtransfer, eröffnen für EU-Unternehmen neue Möglichkeiten zum rechtskonformen Einsatz von IT-Services aus den USA und anderen Drittstaaten, die kein angemessenes Datenschutzniveau aufweisen (z. B. China oder Indien). Wie gehen Unternehmen jedoch nun konkret vor? Hier unsere Empfehlungen:

a) Prüfen Sie zunächst, welche Services von Anbietern aus Drittstaaten Sie heute in Anspruch nehmen und erstellen Sie eine Liste, in der auch die derzeitige Rechtsgrundlage nach Art. 44 ff. DSGVO angegeben wird. Nehmen Sie dort auch diejenigen Services auf, die von US-Tochterunternehmen innerhalb der Europäischen Union angeboten werden („EU-Cloud“), denn nach Ansicht der Aufsichtsbehörden kann (zumindest bei Cloud-Anbietern) aufgrund der US-Gesetze (FISA, Cloud-Act) auch hier ein Zugriff erfolgen, was zu einem Drittlandtransfer führt.

b) Führen Sie jetzt das Data Transfer Impact Assessment dokumentiert durch. Ermitteln Sie also die besonderen Umstände der Inanspruchnahme, die geltenden Rechtsvorschriften und ggf. Gepflogenheiten am Sitz des Dienstleisters sowie etwaige vertragliche, technische oder organisatorische Garantien (z. B. Möglichkeit der Verschlüsselung) und nehmen Sie dann eine Risikobewertung in Schriftform vor. Kommt diese zum Ergebnis, dass eine Inanspruchnahme unter den Vorgaben der neuen SCC zum Drittlandtransfer möglich ist und kein Grund zur Annahme besteht, dass deren Vorgaben vom Dienstleister nicht eingehalten werden können, so kann ein entsprechender Vertragsentwurf erstellt werden.

c) Bestimmen Sie nun anhand des jeweiligen Vertragsverhältnisses, welches Modul der SCC zum Drittlandtransfer Sie benötigen (im Regelfall IT-Dienstleister, daher Auftragsverarbeitung: Controller-to-Processor). Erstellen Sie anhand der Vorlage eine Vertragsversion (Achtung: Sie dürfen keine Klauseln abändern, allenfalls Ergänzungen vornehmen, siehe Klausel 2, und vervollständigen Sie Annex I (Seite 29) mit den individuellen Angaben zum jeweiligen Vertragsverhältnis. In Annex II (Seite 32) müssen die technischen und organisatorischen Maßnahmen des US-Dienstleisters eingebunden werden sowie in Annex III (Seite 34) die beauftragten Unterauftragnehmer. Beide werden Sie regelmäßig nicht kennen (es sei denn, es liegen bereits alte SCC vor), weshalb Annex II und Annex III im Regelfall vom US-Dienstleister auszufüllen sind.

d) Senden Sie dann jeweils die vervollständigte, unterzeichnete Fassung der SCC zum Drittlandtransfer (ggf. ohne ausgefüllte Annex II und III) an den Dienstleister und bitten ihn um Prüfung, Unterzeichnung, Vervollständigung und Rücksendung. Er wird diese dann bestenfalls vervollständig und unterzeichnet an Sie zurücksenden.
Obige Schritte übernehmen wir natürlich auch gern für Sie.

5. Ausblick

Sie haben recht, wenn Sie nun anmerken, die obige Prozedur sei nicht einfacher, als die bisherige Praxis, mit den US-Providern nach Juli 2020 eine Ergänzungsvereinbarung unter Einbindung der neuen EuGH-Vorgaben zu schließen. Allerdings haben sich hierbei zwei Dinge geändert:

(1) Sie haben mit Abschluss der neuen SCC zum Drittlandtransfer nun erstmals Rechtssicherheit (jedenfalls bis auch diese vom EuGH in einigen Jahren ggf. wieder aufgehoben werden, da sich wohl bis dahin die US-Überwachungspraxis nicht geändert haben wird) und

(2) die US-Anbieter werden Ihre Anfrage zum Abschluss der neuen SCC wohl nicht (mehr) zurückweisen oder aussitzen, denn es liegt nun erstmals ein offizielles Dokument der EU-Kommission vor, während die bisherigen Ergänzungsvereinbarungen nicht von einer offiziellen Stelle vorformuliert waren.

Kommen Sie bei Rückfragen gern auf einen der Verfasser (bzw. die Verfasserin) zu.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.