usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpf

EU-Kommission veröffentlicht neue Standardvertragsklauseln

/von

In den letzten Monaten haben wir uns und unzählige unserer Mandant*innen sich mit dem Thema “Schrems-2” herumschlagen müssen. Ja, herumschlagen – anders kann man es kaum ausdrücken. Schließlich besagte das EuGH-Urteil, welches mit dem Begriff “Schrems-2” gemeint ist, dass zum einen das Privacy Shield unwirksam war und damit von jetzt auf gleich nicht mehr als Basis für Datenübermittlungen in die USA dienen konnte. Zum anderen hat der EuGH in seinem Urteil auch klargestellt, dass die bislang eher feigenblattmäßig zum Einsatz gekommenen Standardvertragsklauseln (standard contractual clauses, SCC)  zwar weiterhin Bestand haben könnten, allerdings nicht ohne die Durchführung einer Einzelfallprüfung. Im Rahmen dieser Einzelfallprüfung ist zu bewerten, ob die in den SCC festgelegten Regelungen aufgrund der Gesetzgebung im Land des Datenimporteurs überhaupt umsetzbar sind bzw. gelebt werden können. Genau diese Prüfung ergibt in vielen Fällen, dass aufgrund der rechtlichen Rahmenbedingungen in den USA, eine 100% rechtssichere Übermittlung personenbezogener Daten dorthin nicht möglich ist. Zumindest nicht, ohne die SCC durch Zusatzregelungen um weitere Garantien zum Schutz der personenbezogenen Daten zu ergänzen.

Und kaum haben alle (naja…. bestimmt ganz viele 😉) sich daran gemacht und versucht, die nahezu unerfüllbaren Anforderungen zu erfüllen, kommt die EU-Kommission mitten in diesem Prozess (oder sogar kurz danach, je nachdem, wie schnell die Unternehmen waren) und “wirft neue SCC über den Zaun”. Ok, so ganz unerwartet kamen die jetzt nicht, wir hatten bereits im Dezember 2020 darüber berichtet, dass die Klauseln bei der EU-Kommission in Arbeit waren.

Was ist neu?

Neu ist so ziemlich alles an den SCC:

  • Sie sind in den Augen des Autors dieses Artikel (also sehr subjektiv) deutlich verständlicher geworden, was ein großer Vorteil ist. In der Vergangenheit wurden die SCC häufig einfach “blind unterzeichnet”, weil man es ja musste. Was exakt unterzeichnet wurde, war den wenigsten bekannt und wurde daher vermutlich auch häufig nicht eingehalten.
  • Sie berücksichtigen nicht mehr nur die Verarbeitungssituationen “Controller-Controller” und “Controller-Processor”, sondern auch “Processor-(Sub)Processor” und “Processor-Controller” und kommen damit dem wirklichen Leben in Sachen Datenaustausch noch einmal deutlich näher. Im Klartext: Auch Unterauftragnehmer können künftig im Drittland auf Basis der SCC eingesetzt werden, was bislang nicht vorgesehen war
  • Für die Processor-Varianten (C2P, P2P) enthalten Sie auch die für die Erfüllung des Art. 28 DSGVO notwendigen Regelungen. Es kann also auf einen gesonderten Vertrag über eine  Auftragsverarbeitung verzichtet werden.
  • Die vier Varianten sind als sogenannte Module in einem “Gesamtwerk” enthalten. Es muss also nicht mehr mit mehreren unterschiedlichen SCC umgegangen werden. Allerdings macht es durchaus Sinn, die SCC jeweils so zu reduzieren, dass ausschließlich die für das jeweils anwendbare Modul zutreffenden Regelungen enthalten bleiben.
  • Die SCC ermöglichen explizit und ohne große Kniffe den Beitritt weiterer Vertragsparteien, sofern dies notwendig und/oder sinnvoll ist, um bestimmte Verarbeitungssituationen auch vertraglich korrekt abzubilden.
  • Sie verfolgen einen risikobasierten Ansatz in Bezug auf das Datenschutzniveau im Empfängerland. Insbesondere bei einem Rechtsrahmen, welcher Eingriffe durch Ermittlungsbehörden und/oder Geheimdienste in die Verarbeitungen oder sonstige Zugriffe auf die Daten vorsieht, muss dokumentiert(!) überprüft und entschieden werden, inwieweit weitere Maßnahmen zum Schutz der Daten notwendig sind.
  • Das Schrems-2-Urteil wird insoweit ebenfalls berücksichtigt. Es ist vorgesehen, dass die Datenimporteure im Drittland gegen Auskunftsbegehren von Behörden vorgehen sollen. Darüber hinaus ist vorgesehen, dass über solche Anforderungen von Behörden zumindest dem Grunde nach und in Form von kumulierten Werten informiert werden muss.
  • Die Möglichkeit, dass ein Drittland zukünftig einen Angemessenheitsbeschluss erhält, ist vorgesehen. Für diesen Fall ist eine Kündigungsmöglichkeit für jede der Vertragsparteien enthalten.

Was ist nicht neu?

Und selbstverständlich wurden auch Teile der bisherigen Regelungen übernommen: Standardvertragsklauseln dürfen auch weiterhin nicht geändert werden. Abgesehen von der Reduktion auf das jeweils zur Anwendung kommende Modul und die Ergänzung der Beschreibung der Verarbeitung in den Anlagen, muss der Vertragstext dem von der Kommission vorgegebenen entsprechen.

Dieses Änderungsverbot hat Vor- und auch Nachteile. Zu den Vorteilen gehört mit Sicherheit, dass kein Dienstleister (oder anderer Empfänger) versuchen kann, durch geänderte Klauseln das Datenschutzniveau unerlaubt zu senken. Sofern eine Verarbeitung auf Basis der SCC als vereinbarte Garantie gem. Art. 46 Abs. 2 erfolgt, ist klar, was vereinbart wurde. Eine inhaltliche Prüfung vorgelegter SCC ist nicht notwendig, da Abweichungen von der Vorlage unzulässig sind. Der Nachteil des Änderungsverbots ist allerdings, dass vor Abschluss der SCC der vom Vertragspartner vorgelegte Text recht aufwändig und stumpfsinnig gegen den Originaltext abgeglichen werden muss. Sicher könnte dies unter Umständen automatisiert erfolgen. Dies lohnt sich allerdings nur, wenn große Mengen an SCC abgeschlossen werden müssen. Fest steht: Es muss zwingend sichergestellt sein, dass solche unrechtmäßigen Änderungen noch vor der Unterzeichnung auffallen.

Warum überhaupt neue SCC?

Die EU-Kommission ist mit ihren neuen SCC dem in Art. 46 Abs. 5 DSGVO vorgesehenen Vorgehen gefolgt und hat nun die ohnehin nur als Übergangslösung beibehaltenen und fast 20 Jahre alten Standardvertragsklauseln durch neue ersetzt. Die alten SCC berücksichtigten die DSGVO noch nicht weshalb es notwendig war, hier ein aktuelles Vertragswerk bereitzustellen.

Gibt es Handlungsbedarf?

Ja.

Ok, etwas ausführlicher: Die alten SCC wurden nun mit einem Verfallsdatum versehen (zum Terminplan, s. weiter unten). Nach diesem Verfallsdatum können Sie nicht mehr als Garantien für Datenübermittlungen in Drittstaaten genutzt werden. Dies gilt nicht nur für die Neubeauftragung von Datentransfers, sondern auch für bereits bestehende Vertragsbeziehungen. Die EU-Kommission hat hierfür einen – wie wir finden – recht großzügigen Zeitplan definiert.

Der Zeitplan

Die SCC wurden am 07.06.2021 im Amtsblatt der EU veröffentlicht, gemäß Art. 4 des Umsetzungsbeschlusses der EU-Kommission tritt der Beschluss am 20. Tag nach Veröffentlichung in Kraft. Vor dem 27.06.2021 können die neuen SCC also noch nicht eingesetzt werden (ist ja nicht mehr lange hin).

Zum 27.09.2021 werden die Beschlüsse für die alten SCC aufgehoben, das heißt, ab dem 27.09.2021 dürfen die alten SCC nicht mehr als Basis für neue Übermittlungen genutzt werden. 

Und bis zum 27.12.2022 (ja, 2022, [zweiundzwanzig]) müssen alle bestehenden Verträge auf die neuen SCC umgestellt sein. Bei diesem Datum ist wichtig zu beachten, dass es der letztmögliche Termin ist, sofern die Verarbeitungen unverändert bleiben. Werden inhaltliche Änderungen an den Verarbeitungen vorgenommen (z. B. neue Datenfelder übermittelt, Änderungen am Prozess etc.), muss sofort auf die neuen SCC umgestellt werden.

Es gibt also drei relevante Termine. Unsere Empfehlung lautet ganz klar: Warten Sie nicht zu lange. Der 27.12.2022 ist dann doch wieder schneller da, als man “Standardvertragsklauseln” sagen kann. Wenn Sie allerdings zu früh starten, dürften Sie zu denjenigen gehören, die mit jedem einzelnen Dienstleister über die neuen Verträge diskutieren dürfen.

Und insbesondere bei den “Großen”, also zum Beispiel bei Microsoft, Amazon und einigen anderen Anbietern gehen wir fest davon aus, dass Sie hier in Bezug auf den reinen Austausch des Vertragswerks gar nicht aktiv werden müssen, sondern dass dies von den Dienstleistern in naher Zukunft unaufgefordert kommen wird. Sofern Sie bis Ende September von einzelnen Dienstleistern keine aktive Kontaktaufnahme zu den neuen SCC erhalten  haben, sollten Sie allerdings beginnen, selbst Kontakt aufzunehmen und den Austausch der SCC voranzutreiben.

Nur zur Sicherheit, um es ganz deutlich zu schreiben: Bitte beachten Sie, dass bis zum 27.12.2022 der Umstieg auf die neuen SCC abgeschlossen sein muss. Alle Verarbeitungen, für die bis zu diesem Zeitpunkt die Verträge nicht an die neuen SCC angepasst wurden, müssen eingestellt werden. Ansonsten verstoßen diese ab diesem Zeitpunkt gegen die Regelungen der Art. 44 ff DSGVO und stellen dann ein akutes Bußgeldrisiko dar.

Was ist zu tun?

Letztlich müssen alle bestehenden Verarbeitungen von alten SCC auf die neuen SCC “umgestellt” werden. Klingt einfach, ist es aber nicht zwingend. Wieder einmal müssen sich die Verantwortlichen eine Übersicht verschaffen, mit wem personenbezogene Daten ausgetauscht werden.  Hierbei muss sowohl die eigene Rolle als “Sender”, wie auch als Empfänger berücksichtigt werden. Zumindest in Sachen “eingesetzte Dienstleister” sollte das Verarbeitungsverzeichnis (VVT) als erster Anlaufpunkt eigentlich eine vollständige Übersicht liefern. Vielleicht ist jetzt ein guter Zeitpunkt, die Vollständigkeit des VVT einmal zu prüfen?

Anhand der bestehenden Verträge lässt sich das auszuwählende Modul recht einfach bestimmen: C2C ist Modul 1, C2P ist Modul 2. Allerdings ist insbesondere bei der Situation C2P zu prüfen, ob hier nicht gegebenenfalls in der Vergangenheit von einer falschen Rollenverteilung “C2P” ausgegangen wurde und nicht stattdessen “P2P” vorlag und damit zukünftig Modul 3 zum Einsatz kommen muss.

Wir empfehlen übrigens, das Vertrags-Gesamtwerk mit allen vier Modulen jeweils auf das im konkreten Verarbeitungsfall tatsächlich benötigte Modul zu reduzieren. Dabei ist allerdings sehr genau darauf zu achten, dass nicht zu viel gelöscht und auch sonst keine Änderungen an den verbleibenden Texten gemacht werden.

Neben den Formalismen müssen Sie sich allerdings auch Gedanken machen, wie Sie mit dem risikobasierten Ansatz der neuen SCC umgehen. Die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) bezüglich Drittstaatenübermittlungen sollten dafür einen guten Handlungsleitfaden bieten. Kleiner Tipp: Insbesondere bei den USA können Sie von einem nicht ausreichenden Datenschutzniveau im Drittland ausgehen und damit die Schritte 1-3 des Leitfadens überspringen.

… und dann ist alles gut?

Bedauerlicherweise sind auch die neuen SCC trotz einer expliziten Berücksichtigung des Schrems-2-Urteils kein sicheres Heilmittel für das in dem Schrems-2-Urteil beschriebene Hauptproblem, nämlich für die Zugriffsmöglichkeiten der Geheimdienste auf die Daten der nach der DSGVO geschützten Personen. Damit ist insbesondere die sichere Datenübermittlung in die USA trotz der neuen SCC ohne weitere Maßnahmen nach wie vor problematisch. Die Klauseln 14 und 15 der SCC sehen einen risikobasierten Ansatz vor, welcher zum Beispiel in Form des oben genannten Vorgehens auf Basis eines auf der Orientierungshilfe für Drittstaatenübermittlungen des EDSA basierenden Prüfplans realisiert werden kann. Sofern Sie dieses Vorgehen bereits in der Vergangenheit angewandt haben, ist die Wahrscheinlichkeit hoch, dass Sie gut vorgearbeitet und vor allem keine unnötigen Aufwände getrieben haben. Falls Sie sich noch nicht dafür entscheiden konnten, wird Ihnen durch die neuen SCC eine entsprechende Entscheidung nahegelegt.

Es muss allerdings auch gesagt werden: Selbst dann wird immer ein Restrisiko bleiben, insbesondere bei Datentransfers in die USA. Der Rechtsrahmen dort ist einfach nicht zu 100% kompatibel mit der europäischen Vorstellung von informationeller Selbstbestimmung.

Eine Frage am Rande

Was uns aufgefallen ist: Die Standardvertragsklauseln heißen sowohl in alter als auch in neuer Version so: Standardvertragsklauseln (und auch auf Englisch standard contractual clauses). In Art. 46 DSGVO wird allerdings von Standarddatenschutzklauseln (standard data protection clauses) gesprochen. Wir fanden diese namentliche Unterscheidung eigentlich recht gut und auch dazu passend, dass die DSGVO für die meisten ehemals im BDSG-aF definierten Begriffe neue gefunden hatte. Warum die EU-Kommission nun wieder den alten und von Art. 46 DSGVO abweichenden Begriff der Standardvertragsklauseln gewählt hat, erschließt sich uns nicht. Lediglich in den Erwägungsgründen zu den SCC taucht einmal der Begriff Standarddatenschutzklauseln (SDPC) auf. Merkwürdig. Vielleicht hat ja eine*r unserer Leser*innen eine Idee?

Bitte melden Sie sich gerne bei uns, wenn Sie Unterstützung im Umgang mit den neuen SCC benötigen und/oder die Risiken der Datenübermittlung in ein Drittland anhand des EDSA-Prüfplans überprüfen und verringern möchten.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
fotos datenschutz kugFotos und der Datenschutz – ein Dauerbrenner
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoEinwilligung und Widerruf im Zusammenhang mit der DSGVO
auftragsverarbeitung vertrag informationspflichten ausnahmenAuftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?
facebook fanpageFacebook ändert die AGB im Businessbereich – bleibt alles neu?
datenlöschung löschen schreddern vernichten 17 dsgvoDatenschutz-gerechte Datenlöschung nach BGSG