Standardvertragsklauseln für Drittlandtransfers (neue Version 2021)

Am 7. Juni 2021 veröffentlichte die EU-Kommission die neuen Standardvertragsklauseln für Übermittlungen personenbezogener Daten in ein Drittland. Die neuen Standardvertragsklauseln sorgen für mehr Rechtssicherheit nach der Entscheidung des Europäischen Gerichtshofes in der Rechtssache Schrems II. Doch auf Unternehmen, die Daten außerhalb der EU übertragen, kommen durch die neuen Standardvertragsklauseln auch einige Änderungen zu.

Was sind Standardvertragsklauseln?

Will ein Unternehmen personenbezogene Daten in ein sogenanntes Drittland außerhalb der EU bzw. des EWR übertragen, bedarf es neben der Rechtsgrundlage für die Datenverarbeitung zusätzlich einer Datenschutzgarantie für den Datentransfer. Diese Garantie soll gewährleisten, dass das Datenschutzniveau beim Empfänger dem EU-Standard im Wesentlichen entspricht.

Für einige Drittländer hat die EU-Kommission mit einem sogenannten Angemessenheitsbeschluss selbst eine solche Garantie geschaffen. Für die allermeisten Drittstaaten sind jedoch andere Datenschutzgarantien notwendig. In der Praxis kommen hierbei häufig die von der EU-Kommission bereitgestellten Standardvertragsklauseln (Standard Contractual Clauses – SCC) zum Einsatz, da diese oftmals eine praktikable Lösung für Datentransfers in ein Drittland bieten.

Warum wurden 2021 neue Standardvertragsklauseln verabschiedet?

Da die bisherigen, im Jahr 2001 bzw. 2004 (für Übermittlungen zwischen Verantwortlichen) sowie 2010 (für Datentransfers von einem Verantwortlichen an einen Auftragsverarbeiter) verabschiedeten Standardvertragsklauseln der wirtschaftlichen und rechtlichen Realität nicht mehr standhielten, verabschiedete die Europäische Kommission Anfang Juni 2021 eine neue Auflage der Klauseln. Diese sollen zum einen die Entwicklungen der vergangenen Jahre in der digitalen Wirtschaft sowie die zunehmende Komplexität der Verarbeitungsvorgänge berücksichtigen.

Zum anderen soll die Anpassung der SCC den jüngsten rechtlichen Entwicklungen Rechnung tragen. Denn der Veröffentlichung der neuen Standardvertragsklauseln vorausgegangen waren das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und die Entscheidung des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II. In dieser erklärte der EuGH einerseits das EU-U.S. Privacy Shield für nichtig, befand andererseits die bisherigen Standardvertragsklauseln für weiterhin gültig. Allerdings setzen die Richter eine hohe Hürde für den Einsatz von Standardvertragsklauseln. So muss der Exporteur sicherstellen, dass die SCC im konkreten Fall von dem Datenimporteur auch faktisch eingehalten werden können und dass bei Bedarf zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergriffen werden.

Die neuen Standardvertragsklauseln tragen den Erwägungen des EuGHs insoweit Rechnung, als dass sie spezifische Garantien für den Fall vorsehen, wenn Rechtsvorschriften im Empfängerland die Einhaltung der Klauseln durch den Datenimporteur beeinträchtigen könnten. Insoweit bestehen nun konkrete Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten. Zudem ist nun explizit geregelt, dass – sollten die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern – keine Übermittlung im Rahmen von Standardvertragsklauseln erfolgen darf.

Was hat sich an den Standardvertragsklauseln geändert?

Die neuen Standardvertragsklauseln unterscheiden sich in einigen wesentlichen Punkten von den Vorgängerversionen. Die für Unternehmen wichtigsten Änderungen sind:

Anders als die bisherigen Klauseln, die immer lediglich eine konkrete Verarbeitungskonstellation behandelten (Verantwortlicher – Verantwortlicher bzw. Verantwortlicher – Auftragsverarbeiter), sind die neuen Standardvertragsklauseln modular aufgebaut und decken folgende Situationen ab:

  • Übermittlung zwischen Verantwortlichen (Modul 1),
  • Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter (Modul 2),
  • Übermittlung von einem Auftragsverarbeiter an einen weiteren (Unter-)Auftragsverarbeiter (Modul 3) und
  • Übermittlung von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).

Der Datenexporteur soll das für die jeweilige Situation geltende Modul auswählen. Dieser Ansatz gibt den Unternehmen mehr Flexibilität bei den Datenübermittlungen in ein Drittland, dürfte aber in der Praxis mit größerem Aufwand verbunden sein.

Neu eingeführt wurde die Möglichkeit der Nutzung von Standardvertragsklauseln durch Auftragsverarbeiter als Datenexporteure (Module 3 und 4). Insbesondere das neue Modul 3 dürfte von großer praktischer Bedeutung sein, denn es gibt europäischen Auftragsverarbeitern, die einen nichteuropäischen Subdienstleister einsetzen wollen, einen in dieser Form bisher nicht vorhandenen, unmittelbaren Mechanismus zur Durchführung solcher Datentransfers an die Hand.

Ferner können die neuen Standardvertragsklauseln auch diejenigen Unternehmen als Datenexporteure abschließen, die zwar nicht in der EU niedergelassen sind, auf deren Datenverarbeitungen jedoch die DSGVO anwendbar ist.

Module 2 und 3 erfüllen die inhaltlichen Anforderungen des Art. 28 DSGVO an einen Auftragsverarbeitungsvertrag. Werden personenbezogene Daten also an einen nichteuropäischen (Unter-)Auftragsverarbeiter übermittelt, muss künftig kein separater Auftragsverarbeitungsvertrag mehr abgeschlossen werden.

Für Unternehmen besonders relevant ist die aus der Schrems-II-Entscheidung und den darauffolgenden EDSA-Empfehlungen folgende Verpflichtung, sich mit dem rechtlichen und faktischen Schutz personenbezogener Daten im Bestimmungsdrittland auseinanderzusetzen. Vertragsparteien müssen die Rechtsvorschriften und Gepflogenheiten des jeweiligen Landes analysieren, die sich auf die Einhaltung der Klauseln auswirken, ihre Analyse dokumentieren und die Dokumentation auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.

Der Datenimporteur wird in die Pflicht genommen, im Falle eines (beabsichtigten) Zugangs von Behörden zu den Daten den Datenexporteur und, soweit möglich, die betroffenen Personen diesbezüglich zu benachrichtigen und die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen.

Die Standardvertragsklauseln können auch zwischen mehr als zwei Parteien geschlossen werden. Außerdem kann ein Unternehmen, das nicht Partei der bereits geschlossenen Standardvertragsklauseln ist, diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten. Dies soll für mehr Flexibilität sorgen und der komplexer gewordenen Realität von Datenverarbeitungen Rechnung tragen.

Ab wann können die neuen Standardvertragsklauseln verwendet werden und was geschieht mit den nach den alten Mustern geschlossenen Verträgen?

Der Beschluss mit den neuen Standardvertragsklauseln wurde am 7. Juni 2021 veröffentlicht und tritt am 27. Juni 2021 in Kraft. Bereits ab diesem Tag können neue Standardvertragsklauseln verwendet werden.

Die Entscheidung aus dem Jahr 2001 und der Beschluss aus dem Jahr 2010, die die alten Standardvertragsklauseln beinhalten, gelten noch bis zum 27. September 2021. Bis zu diesem Zeitpunkt haben Unternehmen theoretisch eine Wahlmöglichkeit und können Verträge sowohl nach dem neuen als auch nach den alten SCC-Mustern abschließen. Da die neuen Muster jedoch bereits wesentliche Aspekte der jüngsten EuGH-Rechtsprechung beinhalten, empfiehlt es sich, die neuen Muster ab dem Zeitpunkt ihres Inkrafttretens zu verwenden.

Bereits auf Basis der „alten“ Standardvertragsklauseln abgeschlossene Verträge sind maximal noch 18 Monate wirksam, d.h. bis zum 27. Dezember 2022, vorausgesetzt dass die relevanten Verarbeitungsvorgänge unverändert bleiben.

Unternehmen sollten daher prüfen, an welche nichteuropäischen Stellen sie zurzeit personenbezogene Daten auf Basis der bisherigen Standardvertragsklauseln übertragen. Dabei handelt es sich nicht lediglich um Datentransfers an Dienstleister, sondern oft auch um konzerninterne Datenübermittlungen, bspw. wenn die Muttergesellschaft außerhalb der EU niedergelassen ist.

Werden personenbezogene Daten auf Grundlage von Standardvertragsklausen übermittelt, sollte möglichst frühzeitig Kontakt mit dem Datenempfänger aufgenommen und die Vereinbarung der neuen Klauseln angestoßen werden. Denn der Abschluss der neuen Standardvertragsklauseln dürfte aufgrund der obligatorischen Prüfung der Umstände der Datenübermittlung und der Rechtslage im Empfängerland mit einem nicht unerheblichen Zeit- und Ressourcenaufwand verbunden sein.

Fazit: Standardvertragsklauseln werden rechtssicherer, flexibler und arbeitsintensiver

Unternehmen bekommen mit den neuen Standardvertragsklauseln deutlich mehr Flexibilität in der Gestaltung der Datentransfers in ein Drittland. Dies ist insbesondere insofern zu begrüßen, als bisher für manche Konstellationen überhaupt keine Standardvertragsklauseln zur Verfügung standen.

Unternehmen sollen jedoch berücksichtigen, dass der Abschluss von Standardvertragsklauseln nach der Schrems-II-Entscheidung zeit- und ressourcenintensiver geworden ist. So setzen die neuen Klauseln ausdrücklich voraus, dass sich die involvierten Parteien vor dem Transfer Gedanken über den Schutz personenbezogener Daten nach der Übermittlung machen, ggf. zusätzliche Maßnahmen ergreifen und nicht zuletzt den gesamten Prozess sorgfältig dokumentieren.

Darüber hinaus erfordern die neuen Standardvertragsklauseln eine fortlaufende Auseinandersetzung mit Drittlandtransfers. Unternehmen sind dazu verpflichtet, die Umstände, die sich auf den Schutz personenbezogener Daten in dem jeweiligen Drittland auswirken, kontinuierlich im Blick zu behalten und auf diese ggf. zu reagieren, etwa indem sie zusätzliche Maßnahmen zum Schutz der Daten ergreifen oder den Datentransfer stoppen.

Die mit Drittlandtransfers verbundenen Pflichten – bei der Auswahl von Dienstleistern, der Prüfung der Rechtslage im Empfängerland, dem Abschluss der passenden Klauseln und auch bei der späteren kontinuierlichen Überwachung – sollten nicht auf die leichte Schulter genommen werden. Die koordinierte, länderübergreifende Prüfung von Unternehmen zum Drittlandtransfer durch die deutschen Landesdatenschutzaufsichtsbehörden zeigt deutlich, dass diese dem Thema Drittlandtransfers besondere Aufmerksamkeit widmen. Es ist keinesfalls davon auszugehen, dass sich dies mit der Veröffentlichung der neuen Standardvertragsklauseln ändert.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.