Welche wichtigen Neuerungen enthält der Entwurf der neuen Standardvertragsklauseln? Und was sagen der Europäische Datenschutzausschuss („EDSA“) und der Europäische Datenschutzbeauftragte („EDSB“) hierzu? Ein Überblick über die neuesten Entwicklungen zu internationalen Datentransfers.
Internationale Datentransfers im Fokus
„Internationale Datentransfers“ war eines der zentralen Themen 2020 – und wird Datenschutzrechtler sicher noch einige Zeit beschäftigen. Am 16. Juli 2020 erging das „Schrems II-Urteil“ des EuGH.
Nach zahlreichen nationalen und europäischen Interpretationshilfen erließ der EDSA am 11. November 2020 Empfehlungen zu den „zusätzlichen Maßnahmen“, die ggf. bei Übermittlung personenbezogener Daten aus der EU in ein Drittland zu ergreifen sind. Außerdem erließ der EDSA Empfehlungen zur Prüfung der Rechtslage im Drittland.
Schließlich veröffentlichte am 12. November 2020 die Europäische Kommission den langerwarteten Entwurf neuer Standardvertragsklauseln („Entwurf der neuen Standardvertragsklauseln“). Sie sollen die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer (2004/915/EG und 2010/87/EU) ablösen. Diese stammen noch aus einer Zeit vor der DSGVO.
Zwar ist die öffentliche Konsultationsphase mittlerweile abgelaufen. Dennoch müssen sie noch finalisiert werden. Am 14. Januar 2021 veröffentlichten der EDSA und der EDSB eine gemeinsame Stellungnahme zum Entwurf der neuen Standardvertragsklauseln.
Was sind die wichtigsten Neuerungen?
Modularer Aufbau
Der Entwurf der neuen Standardvertragsklauseln sieht vier Module vor:
1. Modul für Datenübermittlungen von Verantwortlichen an Verantwortliche („C2C“):
2. Modul für Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter („C2P“):
3. Modul für Datenübermittlungen von Auftragsverarbeitern an weitere Auftragsverarbeiter („P2P“):
4. Modul für Datenübermittlungen von Auftragsverarbeitern an Verantwortliche:
Manche Abschnitte, des Entwurfs der neuen Standardvertragsklauseln z.B. allg. Bestimmungen und Schlussbestimmungen, gelten für alle Module. Manche Pflichten gelten hingegen nur für bestimmte Module.
Erweiterter Anwendungsbereich
Der Entwurf der neuen Standardvertragsklauseln deckt nicht mehr nur Datenübermittlungen im C2C- und C2P-Verhältnis ab. Er erfasst außerdem Übermittlungen im P2P- und P2C-Verhältnis.
Gerade die bisher fehlenden Standardvertragsklauseln für P2P-Übermittlungen stellen in der Praxis oft ein Problem dar. Ein Grund: Die aktuellen Standardvertragsklauseln C2P besagen in Erwägungsgrund 8: Sie stellen nur dann geeignete Garantien dar, wenn der Verantwortliche in der EU und der Auftragsverarbeiter im Drittland sitzt. Oft ist es aber so, dass auch der Auftragsverarbeiter in der EU sitzt und erst der Unterauftragsverarbeiter im Drittland. Hierfür ist das P2P-Modul der Entwurfsfassung der Standardvertragsklauseln eine Lösung.
Außerdem sollen die neuen Klauseln auch für Datenexporteure außerhalb der EU zum Einsatz kommen können. Das Bedürfnis, Standardvertragsklauseln auch in diesen Situationen anzuwenden, ist keine Seltenheit – da die DSGVO exterritorial gilt.
Die P2C-Klauseln decken Rückübermittlungen ab, d.h. Datenübermittlungen von einem Auftragsverarbeiter in der EU (für den die Auftragsverarbeiter-Vorschriften der DSGVO direkt gelten) an einen Verantwortlichen außerhalb der EU (der nicht der DSGVO unterliegt).
Wirkung
Der Abschluss der neuen Klauseln soll ein Transfervehikel für internationale Datenübermittlungen bilden („geeignete Garantien“, durchsetzbare Rechte für Betroffene und wirksame Rechtsbehelfe i.S.v. Art. 46 Abs. 1, 2 lit. c DSGVO).
Zudem enthalten die Module C2P und P2P die Pflichten aus Art. 28 Abs. 3 und Abs. 4 DSGVO und sollen damit Standardvertragsklauseln i.S.v. Art. 28 Abs. 7 DSGVO sein. Weitere Auftragsverarbeitungsverträge oder Ergänzungen der Standardvertragsklauseln sollen nicht mehr nötig sein.
„Schrems II-Regelungen“
Ähnlich den Empfehlungen des EDSA im Hinblick auf zusätzliche vertragliche Maßnahmen enthält die Entwurfsfassung der neuen Standardvertragsklauseln zusätzliche vertragliche Regelungen – z.B.:
- eine Verpflichtung, die Drittlandsübermittlung zu prüfen (dabei sind konkrete Umstände der Übermittlung, das Recht des Drittstaates und etwaige zusätzlicher Garantien zu berücksichtigen)
- Benachrichtigungspflichten des Datenimporteurs, z.B. bei einer rechtlich bindenden Anfrage einer Behörde zur Herausgabe der Daten und
- Abwehrpflichten des Datenimporteurs.
Was sagen der EDSA und der EDSB hierzu?
Die gemeinsame Stellungnahme enthält viele Änderungsvorschläge zu einzelnen Klauseln. Diese veranschaulicht der EDSA in einem Mark-up des Entwurfs der neuen Standardvertragsklauseln.
Vor allem schlägt der EDSA Änderungen an den Anhängen vor. Hierzu sagt er generell: Die Anhänge müssen separat für jede Kategorie der Übermittlung abgeschlossen werden. So sei für jede Übermittlung klar, welche Partei Datenexporteur, welche Datenimporteur und was Gegenstand der Übermittlung ist. Das sei vor allem deshalb wichtig, weil die neuen Standardvertragsklauseln explizit vorsehen, dass mehr als zwei Parteien sie abschließen können.
Unternehmen müssen bald neue Standardvertragsklauseln abschließen
Man muss abwarten, wie die finale Fassung der neuen Standardvertragsklauseln aussieht und bis wann diese einzusetzen sind. Unternehmen sollten sich jedoch schon jetzt darauf einstellen: Sie müssen bald neue Standardvertragsklauseln abschließen und ihre bisherigen Klauseln durch die neuen ersetzen. Das gilt nicht nur im Verhältnis zu externen Dritten, z.B. Dienstleistern oder Kunden, sondern auch für konzerninterne Verträge.
Der aktuelle Entwurf des Durchführungsbeschlusses sieht vor: Unternehmen müssen existierende Standardvertragsklauseln binnen eines Jahres ersetzen. Das ist nicht viel Zeit – wie zuletzt die DSGVO-Projekte gezeigt haben.
Unternehmen sollten sich deshalb lieber früher als später mit den neuen Klauseln vertraut machen und „Datenübermittlungsprojekte“ anstoßen.
