Rechtsgrundlage anpassen

Foto: fotogestoeber/Adobe Stock ©

Datentransfer weltweit – Standardklauseln regeln den Datenschutz

Wenn Unternehmen personenbezogene Daten in Staaten außerhalb Europas übermitteln, nutzen sie häufig Standarddatenschutzklauseln. Die EU-Kommission hat jetzt neue SCC veröffentlicht – was Firmen dazu wissen sollten.

Eva Müller-Tauber, Ausgabe 11/2021

Welche Firmen sollten die neuen Standard Contractual Clauses (SCC) verwenden?
Diese Vertragsmuster empfehlen sich für Unternehmen, die personenbezogene Daten aus der Europäischen Union (EU) in einen Staat außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) übermitteln möchten, dem die EU jedoch kein »angemessenes Datenschutzniveau« attestiert. Tatsächlich besitzen vergleichsweise wenige Drittländer ein solches Datenschutzniveau. Die USA – das in der Praxis wichtigste Zielland von Übermittlungen – gehören durch das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, bei dem das EU-U.S.-Privacy-Shield für ungültig erklärt wurde, nicht (mehr) dazu.

»Da Übermittlungen in Drittländer in der Praxis vieler Unternehmen Alltag sind, besteht ein großer Bedarf an einem vergleichsweise einfach handhabbaren Instrument«, sagt Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in Ansbach. Diesem Anspruch werden die neuen SCC grundsätzlich gerecht. »Sie bieten eine klarere Vertragsstruktur und neue, passgenaue Rollensituationen. Zudem integrieren sie ehemals nebeneinander bestehende Vertragsbestandteile: die Voraussetzungen für den Drittstaatentransfer und die Anforderungen an Auftragsdatenverarbeitung.«

Warum gibt es neue Klauseln?
Die bisherigen SCC stammen aus der Zeit vor Geltungsbeginn der EU-Daten-schutz-Grundverordnung (DSGVO), mussten also an dieses neue Recht angepasst werden. Zudem waren die alten Klauseln auch in praktischer Hinsicht nicht auf dem neuesten Stand: Sie schlossen beispielsweise nicht alle Szenarien der Datenübermittlung ein, wie etwa Übermittlungen von EU-Auftragsverarbeitern an Unterauftragsverarbeiter aus Drittstaaten.

Wo liegen die zentralen Unterschiede zwischen den alten und den neuen SCC?
Die neuen Klauseln berücksichtigen alle unter der DSGVO vorstellbaren Arten von Übermittlungen und haben dementsprechend vier Module – jeweils ein Modul für Übermittlungen zwischen Verantwortlichen, zwischen Auftragsverarbeitern, von einem Verantwortlichen an einen Auftragsverarbeiter sowie umgekehrt von einem Auftragsverarbeiter an einen Verantwortlichen. »Für die zwei letztgenannten Szenarien gab es vorher keine Vertragsmuster – also keine SCC –, sodass die Unternehmen ersatzweise zu umständlichen behelfsmäßigen Konstruktionen greifen mussten«, erläutert Will.

Zudem werden die neuen Musterklauseln anders als die alten bei Übermittlungen an Auftragsverarbeiter allen Anforderungen an einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO gerecht. »Für die Praxis sicherlich wichtig ist auch, dass die neuen Vertragsmuster nun ausdrücklich die Möglichkeit erwähnen, die SCC als Mehrparteienvertrag abzuschließen, um somit mehrere Übermittlungen etwa innerhalb einer Unternehmensgruppe mit einem einheitlichen Rahmenvertrag abzudecken«, erklärt der BayLDA-Präsident.

Zudem betont die EU-Kommission aufgrund des Schrems-II-Urteils in den neuen SCC deutlicher als bisher, dass die Vertragsparteien die Rechtslage und Praxis im Zielland der Übermittlung prüfen und dokumentieren müssen, insbesondere im Hinblick auf etwaige Datenzugriffsmöglichkeiten der Sicherheitsbehörden (Klauseln 14 und 15). Will: »Es reicht also nicht aus, die Klauseln zu unterzeichnen und sie in die Schublade zu legen, die Vertragspartner müssen sich mit diesem Thema auseinandersetzen.«

Sich an den Datenimporteur wenden

Wie genau müssen die Vertragspartner trotz SCC die Rechtslage und Praxis im Zielland unter die Lupe nehmen?
Sie müssen die Rechtsvorschriften des Drittlands prüfen, die den dortigen (Sicherheits-)Behörden Zugriffe auf die Daten eröffnen könnten. Nur wenn sich solche Zugriffsmöglichkeiten im Rahmen des Grundsatzes der Verhältnismäßigkeit bewegen und wenn den betroffenen Personen auch Rechtsschutz gegen solche Datenzugriffe zur Verfügung steht, ist die Situation im Drittland aus Sicht der DSGVO akzeptabel. Stehen dem Datenexporteur nicht die notwendigen Informationen zur Verfügung, um die Situation im Drittland zu überblicken, sollte er sich an den Datenimporteur wenden, rät Experte Will. Und wenn die Vertragspartner nach Analyse der einschlägigen Rechtsvorschriften und Praktiken im Drittland zu dem Ergebnis kommen, dass die Datenzugriffsmöglichkeiten dortiger Behörden diese Anforderungen nicht einhalten? »Dann dürfen sie den Vertrag nicht abschließen, die gewünschte Übermittlung muss unterbleiben, es sei denn, den Unternehmen gelingt es, solche übermäßigen Datenzugriffe durch sogenannte zusätzliche Maßnahmen (Supplementary Measures) zu verhindern.«

Was passiert bei unzulässigen Übermittlungen?
Der Europäische Gerichtshof hat betont, dass die Aufsichtsbehörden unzulässige Übermittlungen stoppen müssen. Unternehmen sollten sich daher eingehend mit den Handlungsempfehlungen des Europäischen Datenschutzausschusses (EDSA) vom 18. Juni 2021 im sogenannten Supplementary-Measures-Papier (Recommendations-01/2021-Papier: edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en)auseinandersetzen. Will: »Darin haben die Aufsichtsbehörden dargestellt, welche Prüfschritte bei einer Datenübermittlung in ein Drittland vorzunehmen sind und welche sogenannten zusätzlichen Maßnahmen in Betracht kommen, sofern die Datenzugriffsmöglichkeiten der Sicherheitsbehörden im Drittland über das nach EU-Recht erlaubte Maß hinausgehen.«

Rein vertragliche Maßnahmen – etwa, sich gegen das Datenherausgabeersuchen einer Behörde des Drittlands in bestimmten Fällen gerichtlich zur Wehr zu setzen – stellen in aller Regel, für sich gesehen, keine ausreichend wirksame »zusätzliche Maßnahme« dar, wie der EDSA im oben genannten Papier aufgezeigt hat.

Gerade US-Anbieter von Cloud-Diensten fallen in vielen Fällen unter das US-Ge-setz FISA 702, das laut EuGH nicht dem Grundsatz der Verhältnismäßigkeit entspricht. Was können Unternehmen tun?
Übermittlungen an solche Anbieter können nur dann im Einklang mit dem EU-Datenschutzrecht stattfinden, wenn es dem Datenexporteur gelingt, zusätzliche Maßnahmen zu ergreifen, um unverhältnismäßige und damit nach EU-Recht unzulässige Datenzugriffe auszuschließen. Der EDSA erklärt in seinem Papier, dass solche Maßnahmen für manche Szenarien denkbar sind – etwa in Form wirksamer Verschlüsselung, zum Teil auch durch Pseudonymisierung. »Jedoch gibt es auch Fälle, in denen dies nicht gelingt und die Übermittlung daher zu unterbleiben hat«, so Will. Dann sollte sich das Unternehmen einen mit weniger Datenschutzrisiken verbundenen Anbieter suchen.

Welche Fragen beschäftigen bayerische Unternehmen bezüglich der praktischen Umsetzung der SCC besonders häufig?
Viele Firmen wollen wissen, wie sie mit nicht benötigten Übermittlungsmodulen umzugehen haben. »Die Antwort hierauf lautet schlicht, dass sie durchstreichen dürfen, was auf sie nicht zutrifft«, sagt BayLDA-Chef Will. Dies gelte nicht als Änderung des Vertrags.

Bei Mehrparteienvertrag getrennte Anhänge

Weitere Fragen betreffen SCC bei einem Mehrparteienvertrag – wenn also mehrere Unternehmen die Klauseln als Datenexporteure (Übermittler) und/oder als Datenimporteure (Empfänger) unterzeichnen wollen. »In einem solchen Fall muss aus den auszufüllenden Anhängen immer klar erkennbar sein, welche Vertragspartei welche Daten für welche Zwecke an welchen oder welche Empfänger übermittelt«, erklärt Will. Zudem müsse angegeben werden, ob der jeweilige Übermittler und der jeweilige Empfänger als daten-schutzrechtlich Verantwortlicher oder aber als Auftragsverarbeiter handeln. Sofern unterschiedliche Arten von Übermittlungen abgedeckt sind, empfehle es sich daher, auch bei einem Mehrparteienvertrag getrennte Anhänge (pro Übermittlung, eventuell auch pro Übermittler-Empfänger-Paarung) auszufüllen, um die gesetzlich geforderte Transparenz der Vertragsbeziehungen zu gewährleisten.

Mit welchen Fallstricken müssen sich Betriebe besonders oft auseinandersetzen?
Oft stellen die großen, meist US-amerikanischen Serviceprovider ihren europäischen Kunden zwar SCC bereit, betten sie jedoch in einen umfangreicheren Vertragstext ein. Daneben versuchen die Provider häufig, durch Zusatzklauseln die Bestimmungen der Handhabung weiter zu präzisieren oder auf das jeweilige Produkt (und bisweilen ihre speziellen Vorstellungen als Dienstleister) anzupassen.

Solche Zusatzklauseln bergen aber die Gefahr, dass sie im Widerspruch zu den SCC stehen. »Bei solchen Vertragstexten ist daher für die Kunden – also für die Datenexporteure in der EU – grundsätzlich Vorsicht angezeigt«, sagt Will. Im Zweifelsfall sollte ein Unternehmen den Rat seines betrieblichen Datenschutzbeauftragten – der wegen seiner Expertise ohnehin möglichst früh in jegliche Datenschutzprozesse eingebunden werden sollte – oder eines fachkundigen Beraters einholen. Ist dieser seinerseits unsicher, ob die Zusatzklauseln im Widerspruch zu den SCC stehen, kann er die für den Datenexporteur zuständige Aufsichtsbehörde konsultieren.

Wie lange haben Unternehmen Zeit, ihre SCC zu aktualisieren?
Bis zum 27. Dezember 2022 gilt eine Übergangsfrist für Altverträge, die vor dem 26. September 2021 geschlossen wurden.
Neuverträge müssen ohnehin die neuen SCC beinhalten. »Unternehmen, die Daten in Drittländer übermitteln, sollten frühzeitig an die Datenempfänger heran-treten und sie auf die Notwendigkeit der Umstellung auf die neuen SCC hinwei-sen«, rät Will. Denn diese lasse sich nicht von heute auf morgen und auch nicht einseitig verwirklichen. Die großen am Markt agierenden Dienstleister aus Drittländern haben zum Teil bereits die von ihnen standardmäßig angebotenen Vertragstexte an die neuen SCC angepasst oder sind gerade dabei, sodass in vielen Fällen die Datenempfänger die Umstellung in die Wege leiten. Die Verantwortlichkeit und die Haftung im Fall von unzulässigen Datenübermittlungen bleiben aber in jedem Fall beim Datenexporteur.

Was passiert, wenn eine Firma nicht oder zu spät auf die neuen SCC umstellt?
»Dann fehlt ihm nach dem 27. Dezember 2022 die Rechtsgrundlage für eine Übermittlung und es riskiert empfindliche Bußgelder«, so Will. Einen Verstoß könne das BayLDA leicht prüfen, etwa über die Website oder eine Buchprüfung des jeweiligen Verarbeitungsverzeichnisses.