linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

EU-Kommission veröffentlicht neue Standardvertragsklauseln

Die EU-Kommission hat am 4. Juni 2021 neue, überarbeitete Standardvertragsklauseln für den internationalen Datentransfer veröffentlicht. Damit reagiert die EU-Kommission auch auf das im Juli 2020 ergangene Urteil des Europäischen Gerichtshofs (EuGH) zum Privacy Shield (Urteil v. 16.7.2020, C-311/18, „Schrems II“). Wir stellen die wichtigsten Neuerungen vor.

„TIA“ – neue Prüf- und Dokumentationspflichten

Die neuen Standard Data Protection Clauses („SDPCs“) stellen wie zuvor eine geeignete Garantie gemäß Art. 46 Abs. 1 DSGVO dar. Das bedeutet, dass der Transfer von personenbezogenen Daten in ein unsicheres Drittland mit Abschluss der Vertragsklauseln legitimiert wird. Doch auch weiterhin müssen – wie schon nach dem „Schrems II“-Urteil – zusätzliche Maßnahmen getroffen werden, um die Sicherheit der ausgelagerten personenbezogenen Daten zu gewährleisten. In Klausel 14 des neuen Standardvertrages wird die Prüfung der Datenschutzregeln im Drittland nun auch konkret im Vertrag selbst vorgeschrieben. So sichern beide Parteien mit Eintritt in den Vertrag zu, dass kein Grund zu der Annahme besteht, dass die im Drittland geltenden Rechtsvorschriften und Gepflogenheiten dafür sorgen könnten, den Datenimporteur an der Erfüllung seiner Pflichten zu hindern. Für diese Zusicherung muss im Vorfeld des Vertragsschlusses im Rahmen einer Gesamtbetrachtung geprüft werden, ob die getroffenen Garantien genügen, um den Besonderheiten der Datenverarbeitung und der Umstände im Drittland ausreichend Rechnung zu tragen. Diese Prüfung muss gemäß Klausel 14 lit. d) dokumentiert und auf Anfrage auch der zuständigen Aufsichtsbehörde zur Verfügung gestellt werden. Die Parteien sind nun also im Vorfeld des Vertragsschlusses verpflichtet, eine Art Risikoanalyse und Folgenabschätzung – das sog. Transfer Impact Assessment („TIA“) – durchzuführen. Hierbei sind keine pauschalen Standardbewertungen zu erstellen. Vielmehr sind für jeden Einzelfall die besonderen Umstände individuell zu berücksichtigen. Gerade für Datentransfers in die USA dürfte diese Prüf- und Dokumentationspflicht zum einen aufwändig werden, zum anderen aber auch zu einem unbefriedigenden Ergebnis führen.

Behördenanfragen und Zugang zu Daten

Klausel 15 der neuen Standardvertragsklauseln verpflichten den Datenimporteur zu einer Benachrichtigung des Datenexporteurs im Falle einer bindenden Offenlegungsanfrage einer Behörde oder im Fall eines bereits stattgefundenen Zugriffs einer solchen. Wenn möglich, sollte in diesen Fällen auch eine Benachrichtigung der betroffenen Person erfolgen. Darüber hinaus verpflichtet sich der Datenimporteur nach den neuen Standardvertragsklauseln auch dazu, die Rechtmäßigkeit des Offenlegungsersuchens zu prüfen und den Bescheid anzufechten, falls dieser rechtswidrig ist. Zusätzlich hat der Datenimporteur diese Prozesse zu dokumentieren und auf Anfrage dem Datenexporteur sowie der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.

Modularer Aufbau

Neben den Klauseln 14 und 15 gibt es noch eine weitere wichtige Neuerung in den neuen SDPCs: der modulare Aufbau des Vertrages. Durch unterschiedliche Module können nun vier verschiedene Vertragskonstellationen bedient werden:

  • Modul 1: Verantwortlicher mit Sitz in der EU/dem EWR – Verantwortlicher im Drittland
  • Modul 2: Verantwortlicher mit Sitz in der EU/dem EWR – Auftragsverarbeiter im Drittland
  • Modul 3: Auftragsverarbeiter mit Sitz in der EU/dem EWR – Auftragsverarbeiter im Drittland
  • Modul 4: Auftragsverantwortlicher mit Sitz in der EU/dem EWR – Verantwortlicher im Drittland

Zusätzlich gibt es auch innerhalb der Module verschiedene Gestaltungsoptionen, die den Vertragsparteien Raum geben, um den Vertrag auf die konkrete Situation anzupassen. Die EU-Kommission möchte durch den modularen Aufbau „der Komplexität moderner Verarbeitungsketten Rechnung […] tragen“ (vgl. Erwägungsgrund 18).

Durch die Flexibilität steigert sich allerdings auch der Anpassungsbedarf der Verträge im Vorfeld eines Abschlusses. Es empfiehlt sich daher, hier bereits passende Vertragsentwürfe vorzubereiten, in denen die gewünschten Optionen und die passenden Module vorausgewählt wurden.

Einbindung in individuelle Verträge

Auch die neuen Standardvertragsklauseln dürfen weiterhin in individuelle Verträge eingebettet werden. Allerdings gilt nach wie vor, dass die Klauseln nicht verändert werden dürfen – abgesehen von den im Vertragstext nun selbst dargestellten Wahlmöglichkeiten – und dass die individuellen, zusätzlichen Regelungen dem Inhalt der Klauseln nicht widersprechen dürfen. Im Falle eines Widerspruchs gehen die Regelungen der Standardvertragsklauseln gegenüber denen der individuellen Absprachen weiterhin vor.

Neu ist allerdings, dass im Laufe der Zeit auch weitere Vertragsparteien zum Vertrag hinzutreten können. Dies dürfte insbesondere für Unternehmen und Organisationen in Konzernverbunden von Interesse sein.

Was Unternehmen jetzt tun sollten?

Was passiert nun mit den bereits nach altem Stand abgeschlossenen Standardverträgen? Müssen alle Verträge sofort angepasst werden?

Ja und Nein. Laut Kommission besteht die Pflicht, auch bereits abgeschlossene Standardverträge auf die neuen Klauseln anzupassen und somit neu abzuschließen. Für die Umsetzung dieser Umstellungen gibt es allerdings einen Übergangszeitraum bis zum 27.12.2022. Die Klauseln treten 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft – das ist am 27.06.2021 der Fall. Innerhalb des anberaumten Übergangszeitraumes behalten die bereits abgeschlossenen Standardverträge nach altem Stand Gültigkeit. Dies gilt allerdings nur unter der Voraussetzung, dass der Gegenstand der Verträge unverändert bleibt und dass die vereinbarten Klauseln geeignete Garantien gem. Art. 46 Abs. 1 DSGVO gewährleisten. Für den überwiegenden Teil der Verträge mit Anbietern aus den USA dürfte Letzteres nach dem „Schrems II“-Urteil nicht mehr vorliegen – es sei denn, es wurden wirksame zusätzliche Maßnahmen mit dem Anbieter vereinbart. Es scheint daher mehr als empfehlenswert, die neuen Standardvertragsklauseln umgehend zu integrieren und mit dem Neuabschluss der Verträge nicht bis zum Ende der Übergangsfrist zu warten.

Der Neuabschluss von Verträgen auf Basis der alten Standardvertragsklauseln ist  allerdings nur noch bis zum 27.09.2021 möglich. Mit dieser Übergangsregelung sollen insbesondere bereits verhandelte und im Abschluss befindliche Verträge abgeschlossen werden können. Auch diese Verträge müssen dann allerdings spätestens bis zum Ablauf der Übergangsfrist am 27.12.2022 auf die neuen Klauseln umgestellt werden.

Standardvertrag für innereuropäischen Transfer

Zusätzlich zu den Standardvertragsklauseln für den internationalen Datentransfer stellt die EU-Kommission erstmals auch Standardvertragsklauseln für einen innereuropäischen Datentransfer bereit. Anders als beim Standardvertrag für Drittlandtransfers gibt es im Standardwerk für den „inländischen“ Transfer keinen modularen Aufbau. Es handelt sich vielmehr um einen reinen Auftragsverarbeitungsvertrag zwischen einem Verantwortlichem und einem Auftragsverarbeiter, bei dem sich beide Parteien im EU-/EWR-Raum befinden. Der Vertrag erfüllt alle Anforderungen der Art. 28 Abs. 3, 4 DSGVO. Auch in diesem Vertragswerk gibt es verschiedene Wahl- und Gestaltungsoptionen, die im Vertragstext selbst kenntlich gemacht worden sind.

Anders als im Fall der Drittlandtransfers steht es den Parteien bei innereuropäischen Transfers weiterhin frei, auch vollkommen individuell ausgestaltete Auftragsverarbeitungsverträge zu nutzen. Eine Pflicht zur Nutzung der Standardvertragsklauseln für den innereuropäischen Transfer gibt es ausdrücklich nicht. Die Standardvertragsklauseln dienen daher allein als Vorlage und Orientierung, sind aber keinesfalls ein Muss.

 

Quellen:

Pressemitteilung der EU-Kommission vom 04.06.2021: Datentransfers innerhalb und außerhalb der EU: Kommission gibt Unternehmen Standardvertragsklauseln an die Hand

Bayerische Datenschutzaufsicht erklärt Mailchimp für unzulässigKontrolle der Schrems II-Umsetzung in Unternehmen