Recht aktuell

Standardvertragsklauseln für internationalen Datentransfer

Die EU-Kommission hat im Juni 2021 neue Standardvertragsklauseln verabschiedet, die seit 27.09.2021 für Verträge verwendet werden müssen, wenn ein Datentransfer in Drittstaaten stattfindet, in denen kein angemessenes Schutzniveau besteht.

Schrems-II-Urteil

Der Europäische Gerichtshof (EuGH) erklärte in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) die Grundlage des Angemessenheitsbeschlusses der EU-Kommission – der EU-US Privacy Shield – für ungültig. Mittlerweile gibt es seit Juli 2023 EU-U.S. Data Privacy Framework als Nachfolger von Privacy Shield.
Gleichwohl gibt es Fallgestaltungen, die die Vereinbarung von Standardvertragsklauseln notwendig machen, z. B. wenn die US-Unternehmen, an die übermittelt werden soll, unter dem EU-U.S. Data Privacy Framework nicht zertifiziert sind. Dann liegt es in der Verantwortung eines Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob in dem Drittland ein Schutzniveau besteht, das dem in der EU gleichwertig ist. Sofern das nicht der Fall ist, müssen gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen oder von der Übermittlung abgesehen werden.

Grundsätze für eine Datenübermittlung in Drittstaaten

Für eine Datenübermittlung in Drittstaaten müssen einige Voraussetzungen erfüllt sein:
Zunächst muss eine Rechtsgrundlage für die Datenübermittlung vorliegen, z. B. die Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO oder der zugrundeliegende Vertrag nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO.
Auf der zweiten Stufe wird geprüft, ob beim Empfänger im Drittland ein angemessenes Schutzniveau besteht. Ein solches Schutzniveau kann für ein Land mit einem Angemessenheitsbeschluss durch die EU-Kommission festgestellt werden, z. B. durch Data Privacy Framework.  Darüber hinaus kann nach Art. 46 DSGVO auch durch geeignete Garantien ein angemessenes Schutzniveau hergestellt werden. Eine dieser Garantien sind von der EU-Kommission verabschiedete Standardvertragsklauseln – oder Standarddatenschutzklauseln, wie sie in Art. 46 Abs. 2c DSGVO bezeichnet werden. Dabei handelt es sich um Musterverträge, die beide Parteien dazu verpflichten, ein mit der EU vergleichbares Datenschutzniveau einzuhalten.

Standardvertragsklauseln

Die Europäische Kommission hat im Juni 2021 Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 04.06.2021).
Sie sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden:
  • Verantwortlicher an Verantwortlichen
  • Verantwortlicher an Auftragsverarbeiter
  • Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Die neuen Standarddatenschutzklauseln schreiben erstmals Garantien vor, „um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands“ auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem, vorab zu klären, „wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist“.
Der Datenimporteur soll mit einem Zusatz zu den Standardvertragsklauseln versichern, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Daten erhält. Mitzuteilen sind dabei Details zu den angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn dem Datenimporteur dieser Schritt untersagt wird, muss er sich „nach besten Kräften um eine Aufhebung des Verbots“ bemühen. Zudem soll der Datenimporteur gegebenenfalls „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen.
Die Standardvertragsklauseln sehen eine obligatorische Risikoeinschätzung vor, die von den Beteiligten durchgeführt werden muss. Beide Parteien müssen versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Die Risikoeinschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen.
Die Genehmigungsfreiheit bei der Verwendung der Standardvertragsklauseln gilt nur, sofern diese unverändert verwendet werden. Vertragsparteien können die Standardvertragsklauseln auch in einen umfangreicheren Vertrag mit aufnehmen. Sofern jedoch weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, dürfen diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Was Unternehmen prüfen sollten: Checkliste

Datenexportierende Unternehmen werden auf Grundlage der Standarddatenschutzklauseln nicht umhinkommen, sämtliche auf diese Grundlage gestützte Datenübermittlungen in Drittländer im Einzelnen zu prüfen. Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren. Eine zu dokumentierende Risikoeinschätzung sollte mindestens folgende Punkte umfassen:
  • Bestandsaufnahme zu in Anspruch genommenen Dienstleistern und Sub-Dienstleistern 
  • Vereinbarung der Standardvertragsklauseln, wenn Datenübermittlung nicht unter den Angemessenheitsbeschluss fällt
  • Prüfung möglicher technischer Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Anonymisierung, Serverstandort in der EU usw.)
  • Prüfung des Datenschutzniveaus im Drittstaat („Welchen Gesetzen unterliegt der jeweilige Datenimporteur im Drittland?“)
  • Prüfung von europäischen Alternativen
  • Dokumentation

Umsetzungsfrist

Die neuen Standardvertragsklauseln sind seit dem 27.09.2021 zwingend für Verträge zu verwenden, wenn der Datentransfer darauf gestützt wird. Spätestens bis zum 27.12.2022 musste eine Umstellung sämtlicher Altverträge auf diese Standardvertragsklauseln erfolgt sein.