Update Datenschutz Nr. 89
Update zur Rechtslage beim Datentransfer in Drittstaaten (insb. USA und China): Neue Standarddatenschutzklauseln der EU-Kommission in Reichweite
Die Inanspruchnahme von US-Providern wie Microsoft (Office 365), Amazon (AWS), Google oder Salesforce, aber auch etwa der konzerninterne Datentransfer in Drittstaaten insgesamt, steht seit dem EuGH-Urteil vom 16. Juli 2020 (C-311/18 „Schrems II“) unter keinem guten Stern. Der EU-US-Privacy-Shield ist nun ungültig und als einzige Rechtsgrundlage für die Inanspruchnahme von Cloud-Diensten dieser US-Provider sowie den Datentransfer in Drittstaaten insgesamt (auch China) kommen praktisch nur noch die EU-Standardvertragsklauseln („SCC“) in Betracht. Genau zu diesen SCC gibt es jedoch einige Neuigkeiten, die in diesem Beitrag – praktisch für den Leser umsetzbar – zusammengefasst werden.
I. Aktuelle Sachlage
Der Datentransfer in Drittstaaten außerhalb der EU ist nach dem obigen EuGH-Urteil nur noch unter besonderen Voraussetzungen zulässig, soweit in den betreffenden Drittstaaten Gesetze zur (willkürlichen) Überwachung der Kommunikation ohne angemessenen Rechtsschutz existieren. Dies ist u. a. in den USA und in China der Fall.
Das EU-US-Privacy-Shield als Rechtsgrundlage für den US-Datentransfer ist ungültig. Datenschutzerklärungen auf Websites enthalten teilweise noch immer Verweise hierauf, was kostenpflichtige Abmahnungen riskiert.
In der Praxis kommen daher nur noch die aktuellen SCC in Betracht, die in der DSGVO nun „Standarddatenschutzklauseln“ heißen. Der EuGH lässt deren Anwendung bei vorhandener Regierungskontrolle allerdings praktisch nur noch unter Vereinbarung von ergänzenden Pflichten zu. Es sind daher derzeit Ergänzungsvereinbarungen mit den US- und Chinesischen Providern zu schließen, welche allerdings häufig von diesen zurückgewiesen werden. Microsoft dagegen hat eine solche in Abstimmung mit einer deutschen Datenschutzbehörde entworfen und stellt dieses "Addendum" ihren Kunden zur Verfügung.
Zahlreiche Firmen verstoßen daher heute gegen die Vorgaben der DSGVO. Dies wurde erst am 26. Januar 2021 vom Landesdatenschutzbeauftragten in Baden-Württemberg bestätigt: "Europäische Unternehmen sind aktuell mit einer massiven Bußgeldgefahr konfrontiert."
Die EU-Kommission ist daher derzeit bemüht, sehr zeitnah neue SCC zu erlassen (Art. 46 II DSGVO). Gleichzeitig kommen aus den USA Signale, dass schon bald ein neues Privacy-Shield mit neuem Namen mit der EU-Kommission vereinbart werden könnte.
Der Fokus der EU-Kommission liegt jedoch derzeit auf den neuen SCC, die auch beim Datentransfer in andere Drittstaaten mit Regierungsüberwachung (etwa China) als Rechtsgrundlage in Betracht kommen.
II. Weg zu neuen Standarddatenschutzklauseln
Der erste Entwurf der neuen SCC (Drittland) wurde bereits am 12. November 2020 veröffentlicht. Gleichzeitig hat die EU-Kommission einen separaten Entwurf von SCC (Inland) für den innereuropäischen Datentransfer zu Auftragsverarbeitern zur Verfügung gestellt, der in diesem Bereich zukünftig die Verträge zur Auftragsverarbeitung ersetzen dürfte. Letzteres wird von Mandanten positiv aufgenommen, denn die SCC (Inland) dürfen nur unter strengen Voraussetzungen abgeändert werden, so dass die mühevolle Vertragsverhandlung zu einzelnen Klauseln der Auftragsverarbeitungsverträge zukünftig entfallen dürfte. Der vorliegende Beitrag befasst sich jedoch vorrangig mit den SCC (Drittland), also zum Datentransfer in Drittstaaten wie USA oder China, beispielsweise durch Inanspruchnahme von Cloud-Diensten von Providern in diesen Staaten oder beim konzerninternen Datentransfer.
Zwischenzeitlich gibt es eine Vielzahl von Stellungnahmen zum neuen Entwurf der SCC (Drittland), nicht nur von privater Seite, sondern auch vom Europäischen Datenschutzausschuss (EDSA, engl. EDPB), der zwingend im Gesetzgebungsverfahren beteiligt werden muss und nun vor wenigen Tagen, am 14. Januar 2021, seine Stellungnahme zu den neuen SCC abgegeben hat.
Der EDSA (ein Zusammenschluss der EU-Aufsichtsbehörden) äußerte sich größtenteils positiv zum Entwurf der neuen SCC, wie auch der EU-Datenschutzbeauftragte Wojciech Wiewiórowski. Zwar wurden zu beiden Versionen der SCC Änderungen gefordert, wie etwa zu den Bereichen a) Vertragsbeitritt durch Dritte, b) Recht der Betroffenen, c) Informationspflicht des Datenimporteurs, d) Abgrenzung beider SCC zueinander oder e) Unveränderlichkeit. Jedoch ist nach dieser Stellungnahme nun davon auszugehen, dass beide neuen SCC (in geringfügig abgeänderter Form) wohl in den kommenden Wochen (nach Abstimmung mit dem EU-Parlament) in dieser Form erlassen werden.
III. Inhalte der neuen Standarddatenschutzklauseln
Die alten SCC lagen in zwei Versionen vor (Controller-Controller, Controller-Processor), wobei Controller im vorliegenden Anwendungsfall insbesondere der EU-Datenexporteur (z. B. das deutsche Unternehmen) ist sowie Processor der US-/China-Datenimporteur (Provider, also z. B. Microsoft, Amazon, Alibaba). Zukünftig werden die neuen SCC (Drittland) auch die Verhältnisse Processor-Controller und Processor-Processor regeln. Alle vier Varianten des Datentransfers sind damit tangiert.
Der Aufbau der neuen SCC (Drittland) ist so geregelt, dass zu jeder Klausel Textbausteine für alle vier Varianten eingebunden sind, wobei die nicht anwendbaren Teile im Dokument jeweils zu löschen sind.
Zukünftig müssen die Parteien der SCC (Drittland) die Rechtsordnung des betreffenden Drittstaates daraufhin überprüfen, ob die Vorgaben der SCC dort auch vom Datenimporteur eingehalten werden können. Ist dies nicht möglich (etwa weil dort Gesetze bestehen, die eine unkontrollierte Überwachung der personenbezogenen Daten durch Regierungsstellen zulassen, ohne ausreichende Transparenz und Rechtsschutz zu gewährleisten), so ist der Datentransfer einzustellen. Diese Prüfung ist zu dokumentieren, also auf Anfrage den Aufsichtsbehörden auszuhändigen. An dieser Stelle kommt auf EU-Unternehmen daher eine enorme Zusatzbelastung zu.
Kommt es unter Anwendung der neuen SCC (Drittland) zu einem staatlichen Zugriff auf personenbezogene Daten (etwa von Seiten der US- oder Chinesischen Regierung), so muss der Datenimporteur (Provider) den Datenexporteur (z. B. das deutsche Unternehmen) und - wo möglich - auch die Betroffenen hiervon unverzüglich unterrichten. Zudem sind alle möglichen Rechtsmittel gegen die Herausgabe auszuschöpfen. Ist die Benachrichtigung gesetzlich untersagt, so muss der Datenimporteur versuchen, eine Ausnahme bei der Regierungsstelle zu erreichen; dieser Versuch ist zu dokumentieren.
Weitere, neue Inhalte sind etwa a) Möglichkeit des Beitritts anderer Unternehmen zum SCC-Vertragswerk, b) Offenlegung von Angaben zu allen Verantwortlichen (Controller) bei Verträgen zwischen Auftragsverarbeitern (Processor) oder c) konkrete Regelung der Kategorien für technische und organisatorische Maßnahmen.
IV. Vorgehensweise für Unternehmen
Die neuen SCC sind noch nicht in Kraft. Es gilt daher weiterhin die seit Juli 2020 bestehende Rechtslage, dass mit den Unternehmen (Provider) in Drittländern mit Regierungsüberwachung (insb. USA und China) die alten SCC unter Abschluss einer Ergänzungsvereinbarung zu schließen sind. Ansonsten ist der Datentransfer einzustellen. Hat der Provider seine IT-Infrastruktur, also das Rechenzentrum, (auch) innerhalb der EU (EU-Option) und garantiert, dass alle personenbezogenen Daten nur hier verarbeitet werden, dann bedeutet dies zwar noch keine Rechtskonformität (siehe Interview vom 26. Januar 2021), geht jedoch schon in die richtige Richtung und reduziert die Wahrscheinlichkeit eines Bußgeldes.
Unternehmen, die mit ihren Drittlandanbietern daher noch keine SCC mit Ergänzungsvereinbarung geschlossen haben, sollten zeitnah reagieren.
Sobald die neuen SCC von der EU-Kommission erlassen wurden (vielleicht schon in wenigen Wochen), so sollten diese schnellstmöglich mit allen Vertragspartnern abgeschlossen werden. Zwar gibt es eine Übergangsfrist von einem Jahr, allerdings wird von uns empfohlen, die neuen SCC sofort abzuschließen, denn bis dahin drohen aufgrund obiger Rechtslage Bußgelder. Sitzt der Vertragspartner in der EU und agiert weisungsgebunden als Auftragsverarbeiter (Cloud-Anbieter, SaaS-Provider, IT-Dienstleister, Softwarehersteller etc.), so sind die neuen SCC (Inland) zu verwenden. Bei Vertragspartnern mit Sitz in Drittländern (also außerhalb der EU) sind die neuen SCC (Drittland) zu verwenden unter Auswahl des richtigen Moduls, im Regelfall wohl Controller-Processor.
Zuvor ist nach den neuen SCC (Drittland) – und nach Vorgabe der Aufsichtsbehörden auch schon heute – zu überprüfen, ob im jeweiligen Drittland Gesetze bestehen, die es der Regierung erlauben, ohne Transparenz und Rechtsschutz auf die personenbezogenen Daten zugreifen zu können. Hierbei ist insbesondere zu prüfen, ob der betreffende Provider den maßgeblichen Sicherheitsgesetzen überhaupt unterliegt (in den USA etwa Section 702 Foreign Intelligence Surveillance Act). Diese Prüfung (Transfer Impact Assessment) ist zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen. Gern unterstützen wir bei dieser Prüfung und Dokumentation.
Wir werden Sie über den weiteren Verlauf auf dieser Website informieren.