Am Freitag, den 4. Juni, veröffentlichte die Europäische Kommission die endgültige Fassung der Neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der EU in Drittländer (die Neuen SCCs). Datenschutzexperten haben seit mehreren Jahren auf die Neuen SCCs gewartet, insbesondere im Hinblick darauf, ob die Neuen SCCs dazu beitragen werden, die komplexen Anforderungen des Schrems-II-Urteils zu erfüllen.
Die gute Nachricht ist, dass die Neuen SCCs es Unternehmen erlauben, einen risikobasierten Ansatz zu wählen, wenn es darum geht, zu beurteilen, ob die Zugangsgesetze und -praktiken eines Drittlandes einen angemessenen Schutz für personenbezogene Daten bieten. Dieser Ansatz wurde vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten in ihrer gemeinsamen Stellungnahme zum Entwurf der SCCs der Kommission, die im November 2020 veröffentlicht wurde (die gemeinsame Stellungnahme), zurückgewiesen. Ihrer Meinung nach sei selbst ein theoretischer Zugang zu personenbezogenen Daten bedenklich.
Unternehmen haben nun 18 Monate Zeit, ihre Lieferantenverträge und andere Datenexportvereinbarungen zu aktualisieren.
Auf einen Blick:
- Die Neuen SCCs dienen als Instrument für Übermittlungen von personenbezogenen Daten in Länder außerhalb des EWR und erlauben es, verschiedene Konstellationen abzubilden (etwa auch Übermittlungen zwischen Auftragsverarbeitern).
- Unternehmen haben 18 Monate Zeit, die Neuen SCCs mit ihren Datenimporteuren abzuschließen.
- Notwendig ist eine in jedem Fall eine Risikobewertung, bei der aber nicht nur das ausländische Recht, sondern auch die Wahrscheinlichkeit berücksichtigt werden kann, ob ausländische Behörden auf die Daten zugreifen.
- Verschärft wurden Regelungen betreffend die Rechte der betroffenen Personen und der Sicherheit der Verarbeitung. Dagegen wurden die Möglichkeiten von Weiterübermittlungen flexibilisiert, etwa für den Zweck der Geltendmachung von Ansprüchen.
Übersicht
Der Zweck der Neuen SCCs ist es, Unternehmen dabei zu helfen, die Übermittlung von personenbezogenen Daten aus dem EWR in Länder außerhalb des EWR, deren Datenschutzgesetze nach Ansicht der Europäischen Kommission keinen angemessenen Schutz bieten (Drittländer), zu legitimieren. Sie werden auch für britische Unternehmen einen rechtmäßigen Mechanismus bieten, den sie ebenfalls nutzen können.
Die veröffentlichte Dokumentation umfasst sowohl einen Durchführungsbeschluss als auch einen Anhang, in dem die Neuen SCCs selbst beschrieben werden. Zugleich hat die Kommission auch eine Reihe von Klauseln für die Verwendung zwischen Verantwortlichen und Auftragsverarbeitern veröffentlicht, die jedoch nicht im Mittelpunkt dieses Briefings stehen.
Die SCCs wurden aktualisiert, um:
(a) verschiedene Übertragungsarten nach einem modularen Ansatz zu ermöglichen. Insbesondere sehen die Neuen SCCs nun hilfreicherweise Übermittlungen von Auftragsverarbeiter-zu-Auftragsverarbeiter - vor;
(b) den Klauseln ein DSGVO-„Facelifting" zu geben, einschließlich der Aktualisierung von Querverweisen auf die Gesetzgebung und der Sicherstellung der Anpassung an die Anforderungen der DSGVO; und
(c) die Anforderungen des Schrems-II-Urteils umzusetzen. Dabei ist jedoch zu beachten, dass die Verwendung der Neuen SCCs nicht die Notwendigkeit beseitigt, die Gesetze der relevanten Drittländer zu bewerten und sicherzustellen, dass alle erforderlichen zusätzlichen Schutzmaßnahmen umgesetzt werden. Dies wird sowohl im Durchführungsbeschluss als auch in den Neuen SCCs selbst deutlich gemacht.
Schrems II-Fragen
Die umstrittenste Frage im Zusammenhang mit den Neuen SCCs war, wie sie mit den Anforderungen von Schrems II umgehen würden. Insbesondere ging es darum, ob die Neuen SCCs, wie im Entwurf der SCCs vorgesehen, Organisationen erlauben, einen risikobasierten Ansatz bei der Bewertung des lokalen Rechts eines Drittlandes zu wählen, d.h. die "Wahrscheinlichkeit" zu berücksichtigen, dass öffentliche Behörden tatsächlich auf die exportierten personenbezogenen Daten zugreifen würden. Glücklicherweise bleibt diese Bestimmung in den Neuen SCCs erhalten. Es wird jedoch mehr Wert darauf gelegt, dass jede praktische Erfahrung, die als Teil der Bewertung Berücksichtigung findet, "durch öffentlich verfügbare … Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird". Die Betonung, dass man in der Lage sein muss, unterstützende Beweise vorzulegen, wenn man sich auf praktische Erfahrungen beruft, scheint eine Anspielung auf die strengere Position zu sein, die in der Gemeinsamen Stellungnahme vertreten wird. Es wird interessant sein zu sehen, wie der EDSA und der EDSB in ihren endgültigen Leitlinien zum Schrems-II-Urteil, die in einigen Wochen erwartet werden, zu diesem Punkt Stellung bezieht (Klausel 14).
Die Bestimmungen zur Anfechtung von behördlichen Auskunftsersuchen sind ebenfalls weitgehend unverändert gegenüber dem ursprünglichen Entwurf geblieben, auch wenn Klausel 15.2 erweitert, was der Importeur berücksichtigen muss, wenn er die Rechtmäßigkeit des Ersuchens prüft und ob er es anfechten soll (Klausel 15).
Weitere wichtige Punkte
- Zeitplan für die Umsetzung: Die Europäische Kommission räumt Unternehmen eine Übergangsfrist von 18 Monaten ab Inkrafttreten der Neuen SCCs (25.06.2021) ein, um alle Verträge durch die Neuen SCCs zu ersetzen. Dies ist etwas großzügiger als die im SCC-Entwurf vorgeschlagene Frist von einem Jahr, bedeutet aber dennoch eine umfangreiche Umstellung in den kommenden Monaten, auf die sich Unternehmen vorbereiten sollten. Eine weitere willkommene Zusicherung ist, dass Organisationen die aktuellen SCCs (auch für Neue Transfers) noch für drei Monate nach Inkrafttreten der Neuen SCCs weiter verwenden können (Artikel 4 des Durchführungsbeschlusses).
- Größere Übereinstimmung mit der DSGVO: Viele der Bestimmungen in den Neuen SCCs wurden stärker an die Anforderungen der DSGVO angepasst. Zum Beispiel:
a. die Pflichten von Auftragsverarbeitern beinhalten nun alle Elemente, die in Art 28 DSGVO gefordert werden;
b. die Pflicht der für die Verarbeitung Verantwortlichen, die Datenschutzbehörden zu benachrichtigen, gilt nun, wenn eine Verletzung des Schutzes personenbezogener Daten "voraussichtlich ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat" und die Pflicht, betroffene Personen über Verletzungen des Schutzes personenbezogener Daten zu benachrichtigen, ist nun auch an Art 34 DSGVO angepasst (Modul 1, Klausel 8.5(e) und (f));
c. die Verpflichtung, angemessene technische und organisatorische Sicherheitsvorkehrungen zu treffen, ist nun stärker an Art. 32 DSGVO angeglichen (Modul 1, Klauseln 8.5; Module 2 und 3, Klausel 8.6; Modul 4, Klausel 8.2);
d. der Zeitrahmen, innerhalb dessen der Datenimporteur Anfragen und Anträge der betroffenen Personen bearbeiten muss, ist festgelegt (Modul 1, Klausel 10); und
- Ausweitung der Rechte zur Weiterübermittlung: Die Neuen SCC erlauben es Datenimporteuren, personenbezogene Daten an Dritte in Drittländern zu übermitteln, ohne Standardvertragsklauseln oder ähnliche verbindliche Instrumente einzugehen, wenn die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist (Klausel 8.7 (Modul 1), Klausel 8.8 (Modul 2 und 3)). Hilfreich ist, dass die Neuen SCCs auch klarstellen, dass die Datenimporteure die betroffenen Personen nicht über die Identität sämtlicher Empfänger von personenbezogenen Daten informieren müssen. Stattdessen ist es ausreichend, Informationen zu den "Empfängern oder Kategorien von Empfängern" anzugeben.
- Sicherheit der Verarbeitung: Die Bestimmungen zur Sicherheit der Verarbeitung wurden in mehrfacher Hinsicht verschärft. Erstens wird in Abschnitt 8.5(b) von Modul 1 klargestellt, dass Anhang II (Technische und organisatorische Maßnahmen) ausgefüllt werden muss, wenn der Datenimporteur ein Verantwortlicher ist. Die Anforderung an den Importeur, regelmäßig zu überprüfen, ob die aufgeführten Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten, gilt nun auch für datenimportierende Auftragsverarbeiter, was eine wichtige Verlagerung der Verantwortung darstellt (Module 2 und 3, Klausel 8.6 (a)). Darüber hinaus heißt es in der Erläuterung zu Anhang II, dass die technischen und organisatorischen Maßnahmen "konkret (nicht allgemein)" beschrieben werden müssen und es klar sein muss, "welche Maßnahmen für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen gelten". Dieser letzte Punkt muss berücksichtigt werden, wenn Organisationen eine Aktualisierung auf die Neuen SCCs vornehmen, da dies eine Überprüfung und Überarbeitung der Sicherheitsbestimmungen erfordern kann.
- Rechte der betroffenen Person und Kontrolle: Die Liste der Klauseln, die betroffene Personen nicht gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen oder durchsetzen können, wurde erweitert. In der Praxis bedeutet dies lediglich den Ausschluss der Geltendmachung derjenigen Bestimmungen, die speziell zwischen Importeur und Exporteur oder in Bezug auf die Interaktion mit Datenschutzbehörden gelten. Hingegen können sich die betroffenen Personen weiterhin auf die meisten der Neuen SCCs als Drittbegünstigte berufen und diese durchsetzen. Darüber hinaus wird in Klausel 11 nun klargestellt, dass die betroffene Person eine Beschwerde bei der Aufsichtsbehörde (AB) des Mitgliedstaats ihres gewöhnlichen Aufenthalts oder ihres Arbeitsplatzes oder bei der zuständigen AB gemäß den Neuen SCCs (Klausel 13) einreichen kann. Diese Klausel stellt auch klar, dass die zuständige AB für Organisationen außerhalb der EU, die sich auf die Neuen SCCs stützen und einen EU-Vertreter nach Artikel 27 haben, die AB des Mitgliedsstaats ist, in dem der EU-Vertreter niedergelassen ist. Die zuständige(n) AB(s) müssen nun in Anhang 1 aufgeführt werden (Klauseln 3, 11(c) und 13).
- Haftung und Haftungsfreistellung: Die Haftungsfreistellungsklausel im früheren Entwurf der Neuen SCCs wurde nun durch eine "Beitragsklausel" ersetzt. Diese Klausel spiegelt Art. 82 Abs. 5 der DSGVO wider. Dieser sieht vor, dass für den Fall, dass ein Verantwortlicher oder Auftragsverarbeiter den vollen Schadensersatz für den erlittenen Schaden gezahlt hat, dieser berechtigt ist, von den übrigen Verantwortlichen oder Auftragsverarbeitern den Teil des Schadensersatzes zurückzufordern, der ihrem Anteil an der Verantwortung für den Schaden entspricht. Die praktische Auswirkung ist jedoch weitgehend die gleiche (Klausel 12).
- Identifizierung der Verantwortlichen bei Übertragungen zwischen Auftragsverarbeiter-zu-Auftragsverarbeiter: Die Neuen SCCs entfernen hilfreicherweise die Anforderung, den/die relevanten Verantwortlichen im Zusammenhang mit Übertragungen von Auftragsverarbeiter zu Auftragsverarbeiter aufzuführen, eine Anforderung, die in der Entwurfsversion der SCCs noch enthalten war. Darüber hinaus gilt die Pflicht des Unterauftragsverarbeiters, den Verantwortlichen im Falle einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, nur noch, wenn dies "angemessen und machbar" ist. Dies ist eine nützliche Klarstellung, da es in den meisten Datenverarbeitungsvereinbarungen für einen Unterauftragsverarbeiter nicht angemessen oder durchführbar sein wird, einen Verantwortlichen über ein solches Ereignis zu informieren.
- Spezifität der Anhänge: Die Neuen SCCs verlangen einen höheren Grad an Spezifität in den Anhängen der Anlage. Neben den bereits erwähnten Punkten, dass die technischen und organisatorischen Maßnahmen detaillierter erläutert werden müssen und die zuständigen Aufsichtsbehörden aufzuführen sind, müssen die Anhänge nun auch die Häufigkeit der Übermittlung (z.B. ob es sich um eine einmalige oder kontinuierliche Übermittlung handelt) und die Art der Verarbeitung aufführen. In der Praxis wird dies bedeuten, dass viele Unternehmen, die in Erwartung des Inkrafttretens der Neuen SCCs Musteranhänge vorbereitet haben, diese vor der Einführung der Neuen SCCs überarbeiten müssen.
Unser Standpunkt
Die Mehrzahl der Änderungen in den Neuen SCCs (im Vergleich zum früheren Entwurf) stellen eine nützliche Klarstellung dar. Es ist für Unternehmen auch hilfreich zu sehen, dass die Kommission ihre ursprüngliche Position weitgehend beibehält, wonach Unternehmen die "Wahrscheinlichkeit des Zugangs" bei der Beurteilung von Drittstaatengesetzen berücksichtigen können.
Dennoch sollten Unternehmen nicht die Tatsache aus den Augen verlieren, dass diese Neuen SCCs ihnen einige belastende Verpflichtungen auferlegen. Die Parteien, die sich auf sie berufen, werden sich schnell überlegen müssen, wie sie die nicht verhandelbaren Verpflichtungen in der Praxis einhalten, zumal die Neuen SCCs die momentan verwendeten SCCs für alle neuen Übertragungen in nur drei Monaten ersetzen werden.
Unternehmen müssen auch bedenken, dass die Neuen SCCs nur einen Teil des Exportbildes nach Schrems II darstellen. Ihre Verwendung steht neben der Anforderung an Unternehmen, klar nachzuvollziehen, wohin personenbezogene Daten gesendet und von wo aus auf sie zugegriffen wird, welche Rollen die empfangenden Parteien (z. B. Verantwortliche oder Auftragsverarbeiter) einnehmen und der Anforderung, die Gesetze der relevanten Drittländer zu bewerten sowie zu verstehen, ob zusätzliche technische Schutzmaßnahmen neben den Neuen SCCs erforderlich sind. Das Bild bleibt komplex.
Webinar
Bitte nehmen Sie an unserem Webinar am Montag, den 14. Juni teil, in dem wir die Neuen SCCs und ihre Auswirkungen im Detail diskutieren werden. Klicken Sie hier, um sich anzumelden.