Neue EU-Standardvertragsklauseln für internationale Datentransfers

Un­ter­neh­men sind zur Um­set­zung der neuen Ver­trags­be­din­gun­gen ver­pflich­tet und soll­ten sich recht­zei­tig mit den neuen Re­ge­lun­gen ver­traut ma­chen. Ab­so­lute Rechts­si­cher­heit für in­ter­na­tio­nale Da­tenüber­mitt­lun­gen können die neuen Stan­dard­ver­trags­klau­seln aber nicht bie­ten.

Hintergrund

Die EU-Stan­dard­ver­trags­klau­seln sind das in der Pra­xis mit Ab­stand am Häufigs­ten ver­wen­dete In­stru­ment für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in Länder außer­halb der EU bzw. des EWR (sog. „Drittländer“). Na­hezu je­des Un­ter­neh­men hat in der Ver­gan­gen­heit bei in­ter­na­tio­na­len Da­ten­trans­fers be­reits auf die EU-Stan­dard­ver­trags­klau­seln zurück­ge­grif­fen, sei es ganz be­wusst durch ge­son­derte Ver­ein­ba­rung oder aber durch die Ak­zep­tanz All­ge­mei­ner Ge­schäfts­be­din­gun­gen, in de­nen die Stan­dard­ver­trags­klau­seln be­reits in­te­griert sind. Ge­rade be­kannte US-Pro­vi­der wie Ama­zon, Google und Fa­ce­book be­zie­hen Stan­dard­ver­trags­klau­seln re­gelmäßig in ihre AGB mit ein, so­dass diese bei Ver­trags­schluss au­to­ma­ti­sch mit ver­ein­bart wer­den.

Die bis­he­ri­gen Stan­dard­ver­trags­klau­seln, zu­letzt ak­tua­li­siert im Jahr 2010, wa­ren je­doch noch ein Re­likt aus der Zeit vor In­kraft­tre­ten der Da­ten­schutz­grund­ver­ord­nung (DS­GVO), und be­durf­ten drin­gend ei­ner Mo­der­ni­sie­rung, nicht zu­letzt im Nach­gang an das EuGH-Ur­teil „Schrems-II“ zum in­ter­na­tio­na­len Da­ten­trans­fer. Dem ist die EU-Kom­mis­sion durch Ver­ab­schie­dung neuer Stan­dard­ver­trags­klau­seln nun nach­ge­kom­men. Die neuen Stan­dard­ver­trags­klau­seln sol­len vor al­lem be­ste­hende An­wen­dungslücken schließen und die seit ge­raumer Zeit ge­for­derte Ver­ein­heit­li­chung mit den Re­ge­lun­gen der DS­GVO schaf­fen.

Modularer Aufbau und Ersatz von Auftragsverarbeitungsvereinbarungen

Eine we­sent­li­che Neue­rung ist der mo­du­lare Auf­bau des Ver­trags­werks. Ins­ge­samt wird es nun­mehr vier ver­schie­dene Mo­dule der Stan­dard­ver­trags­klau­seln ge­ben:

• Mo­dul 1: Da­tenüber­mitt­lun­gen zwi­schen zwei Ver­ant­wort­li­chen
• Mo­dul 2.: Da­tenüber­mitt­lun­gen von Ver­ant­wort­li­chen an Auf­trags­ver­ar­bei­ter
• Mo­dul 3: Da­tenüber­mitt­lun­gen von Auf­trags­ver­ar­bei­tern an (Un­ter-)Auf­trags­ver­ar­bei­ter
• Mo­dul 4: Da­tenüber­mitt­lun­gen von Auf­trags­ver­ar­bei­tern an Ver­ant­wort­li­che

Die letz­ten bei­den Kon­stel­la­tio­nen wa­ren bis­lang nicht von den Stan­dard­ver­trags­klau­seln um­fasst und muss­ten in der Pra­xis durch umständ­li­che Al­ter­na­ti­ven gelöst wer­den. Die Er­wei­te­rung ist da­her sehr begrüßen­swert.

Eine wei­tere Ver­ein­fa­chung er­gibt sich durch die Auf­nahme der not­wen­di­gen Re­ge­lun­gen ei­ner Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung (Art. 28 DS­GVO). Während un­ter Gel­tung der al­ten Stan­dard­ver­trags­klau­seln zwi­schen Da­ten­ex­por­teur und Da­ten­im­por­teur je­weils noch ge­son­derte Auf­trags­ver­ar­bei­tungs­verträge ge­schlos­sen wer­den muss­ten, sind die hierfür er­for­der­li­chen Vor­schrif­ten in den neuen Stan­dard­ver­trags­klau­seln be­reits ent­hal­ten. Darüber hin­aus ha­ben Dritte nun­mehr die Möglich­keit, ei­ner zwi­schen Im­por­teur und Ex­por­teur be­reits exis­tie­ren­den Ver­ein­ba­rung, die auf Grund­lage der neuen Stan­dard­ver­trags­klau­seln ge­schlos­sen wurde, bei­zu­tre­ten, was ge­rade bei kom­ple­xen Mehr­par­tei­en­verträgen zu ei­ner Ver­ein­fa­chung führen dürfte.

Berücksichtigung der Schrems II-Entscheidung

Ne­ben einem er­wei­ter­ten An­wen­dungs­be­reich sol­len durch die neuen EU-Stan­dard­ver­trags­klau­seln auch die An­for­de­run­gen der im letz­ten Jahr er­gan­ge­nen so­ge­nann­ten „Schrems II-Ent­schei­dung“ berück­sich­tigt wer­den, die für viele Un­ter­neh­men nach wie vor eine ge­wal­tige Her­aus­for­de­rung dar­stellt. Der EuGH hatte in sei­nem „Schrems-II Ur­teil“ vom 16.07.2020 (Rs. C-311/18) fest­ge­stellt, dass Da­tenüber­mitt­lun­gen in die USA nicht länger auf Grund­lage des Pri­vacy Shields er­fol­gen können und der Ein­satz von EU-Stan­dard­ver­trags­klau­seln bei Da­tenüber­mitt­lun­gen in Drittländer nur noch un­ter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maßnah­men er­fol­gen darf, die ein dem Schutz per­so­nen­be­zo­ge­ner Da­ten in­ner­halb der EU gleich­wer­ti­ges Ni­veau si­cher­stel­len (mehr dazu le­sen Sie hier).
 
Die neuen EU-Stan­dard­ver­trags­klau­seln se­hen vor die­sem Hin­ter­grund ver­trag­li­che Re­ge­lun­gen vor, die so­wohl das da­ten­ex­por­tie­rende als auch das im­por­tie­rende Un­ter­neh­men verstärkt in die Pflicht neh­men. So reicht es für Da­tenüber­mitt­lun­gen in Drittländer künf­tig ausdrück­lich nicht mehr aus, sich al­leine auf die Stan­dard­ver­trags­klau­seln zu be­ru­fen, ohne zu­vor geprüft zu ha­ben, ob der ver­trag­lich vor­ge­se­hene Schutz per­so­nen­be­zo­ge­ner Da­ten im je­wei­li­gen Dritt­land auch tatsäch­lich gewähr­leis­tet wer­den kann. In­so­weit bleibt es den ex­por­tie­ren­den Un­ter­neh­men auch un­ter Gel­tung der neuen Stan­dard­ver­trags­klau­seln nach wie vor nicht er­spart, das Da­ten­schutz­ni­veau im je­wei­li­gen Dritt­land zu überprüfen und bei Be­darf zusätz­li­che Maßnah­men zu er­grei­fen („Da­ten­trans­fer-Fol­gen­ab­schätzung“). Um­ge­kehrt ist der Da­ten­im­por­teur dazu ver­pflich­tet, sich ge­gen un­verhält­nismäßige Behörden­an­fra­gen, die den An­for­de­run­gen der DS­GVO wi­der­spre­chen, zu ver­tei­di­gen und den Da­ten­ex­por­teur hierüber zu in­for­mie­ren. An­schließend muss der Da­ten­ex­por­teur selbst ent­schei­den, ob eine Da­tenüber­mitt­lung wei­ter­hin statt­fin­den kann und die zuständige Auf­sichts­behörde über die Ent­schei­dung in Kennt­nis set­zen. Die Pflicht zur Ab­wehr von Re­gie­rungs­an­fra­gen geht so­gar so weit, dass Da­ten­im­por­teure ge­gen ent­spre­chende Behörden­zu­griffe ge­richt­lich vor­ge­hen und die ei­ge­nen Ab­wehrmaßnah­men um­fas­send do­ku­men­tie­ren müssen. Un­klar ist bis­wei­len je­doch, wer die da­durch ent­ste­hen­den Kos­ten zu tra­gen ist.

Fazit und Handlungsempfehlung

Die neuen Stan­dard­ver­trags­klau­seln ent­hal­ten längst überfällige An­pas­sun­gen an die DS­GVO und schaf­fen durch den mo­du­la­ren Auf­bau in Ver­bin­dung mit der Bei­trittsmöglich­keit zu be­ste­hen­den Verträgen einen deut­lich fle­xi­ble­ren Rechts­rah­men für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in Drittländer. Gleich­wohl können auch die neuen Stan­dard­ver­trags­klau­seln die be­ste­hende Rechts­un­si­cher­heit in­folge der Schrems-II Ent­schei­dung nicht vollständig be­sei­ti­gen. Die er­wei­ter­ten ver­trag­li­chen Schutzmaßnah­men können in­so­weit für sich ge­nom­men keine Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in Drittländer recht­fer­ti­gen, in de­nen das Da­ten­schutz­ni­veau nicht dem der EU ent­spricht. In die­sen Fällen soll­ten Un­ter­neh­men nach wie vor eine gründ­li­che Ri­si­ko­ana­lyse durchführen, zusätz­li­che Maßnah­men in Be­tracht zie­hen und die Er­geb­nisse der Da­ten­trans­fer-Fol­gen­ab­schätzung do­ku­men­tie­ren. An­dern­falls dro­hen auf­sichts­recht­li­che Sank­tio­nen, zu­mal ei­nige deut­sche Auf­sichts­behörden­erst vor kur­zem in die­sem Zu­sam­men­hang ge­mein­sam ab­ge­stimmte Kon­trol­len an­gekündigt ha­ben (mehr le­sen Sie hier)
 
Aber un­abhängig von der Schrems II-Pro­ble­ma­tik er­gibt sich auf­grund der neuen Stan­dard­ver­trags­klau­seln Hand­lungs­be­darf: Bei al­len neu ge­schlos­se­nen Verträgen müssen nach Veröff­ent­li­chung des An­nah­me­be­schlus­ses im Amts­blatt der EU die neuen Stan­dard­ver­trags­klau­seln berück­sich­tigt wer­den. Für alle be­ste­hen­den Verträge gilt eine Frist von 18 Mo­na­ten, in­ner­halb der alle be­ste­hen­den Stan­dard­ver­trags­klau­seln durch die neuen Stan­dard­ver­trags­klau­seln er­setzt wer­den müssen. Be­trof­fene Un­ter­neh­men soll­ten sich da­her schnellstmöglich mit den neuen Ver­trags­be­din­gun­gen ver­traut ma­chen, die ent­spre­chen­den Alt­verträge iden­ti­fi­zie­ren und für eine frist­ge­rechte Um­stel­lung sor­gen.