Serie zu den neuen Standardvertragsklauseln – Datenübermittlung zwischen Verantwortlichen (C2C)

Dies ist der erste Artikel unserer Artikelreihe zu den neuen Standardvertragsklauseln (SCC). Die folgenden Artikel befassen sich mit den weiteren Konstellationen der Drittstaatenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter (C2P / Controller to Processor), von einem Auftragsverarbeiter an einen weiteren (Unter-)Auftragsverarbeiter (P2P, Processor to Processor) sowie von einem Auftragsverarbeiter an einem Verantwortlichen (P2C, Processor to Controller).

In unserem Artikel vom 08.06.2021 hatten wir bereits darüber berichtet, dass die Europäische Kommission neue Standardvertragsklauseln veröffentlicht hat, die sicherstellen sollen, dass im Rahmen des internationalen Datentransfers in ein Drittland die strengen Regelungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden.

Auch die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH), durch die das Privacy-Shield als Angemessenheitsbeschluss für einen Datenaustausch zwischen der EU und den USA für ungültig erklärt wurde, floss bereits in die neuen SCC ein. In dieser Entscheidung wurde unter anderem festgestellt, dass im Rahmen der Datentransfers in ein aus datenschutzrechtlicher Perspektive unsicheres Land (Drittstaat) hohe Anforderungen an den Einsatz von SCC zu stellen sind, die um weitere Regelungen zu ergänzen wären. Nun liegen die SCC in der aktualisierten Fassung vor, die entsprechende Regelungen bereits enthalten und damit eine rechtssichere Datenübermittlung besser ermöglichen sollen.

Aufgrund der Relevanz, die die Standardvertragsklauseln im Rahmen der Datentransfers in einen Drittstaat zukommt und der Komplexität der einzelnen Regelungen, haben wir uns entschieden, in einer kleinen Artikelserie die einzelnen Verarbeitungssituationen, die in den neuen Standardvertragsklauseln berücksichtigt werden, zu erläutern.

Kurz zur Erinnerung:
Die neuen Standardvertragsklauseln haben einen modularen Aufbau. Folgende Konstellationen decken die aktuellen Standardvertragsklauseln ab:

Modul 1: Übermittlung von Verantwortlichen an Verantwortliche (C2C),

Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter (C2P),

Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter (P2P),

Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche (P2C).

In diesem Artikel starten wir mit dem Modul 1 und beleuchten die Situation, in der Verantwortliche an Verantwortliche personenbezogene Daten übermitteln. Als Anwendungsbereich wären z.B. folgende Fallkonstellationen denkbar:

Ein Unternehmen übermittelt Mitarbeiterdaten an einen Kooperationspartner oder eine Tochtergesellschaft in einem Drittland,
Ein Unternehmen verkauft personenbezogene Daten seiner Kunden (Adressenverkauf) an einen Käufer in einem Drittland.

Regelungen der Standardvertragsklauseln zu Modul 1

Die Standardvertragsklauseln geben vor allem vor, dass und wie die Datenverarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO im Rahmen der getroffenen Vereinbarung einzuhalten sind, bestimmen jedoch gleichzeitig auch zahlreiche Ausnahmen, bei denen die Grundsätze nicht gelten oder eingeschränkt werden. Folgende Regelungen für das Moduls 1 sind insbesondere durch die Standardvertragsklauseln vorgegeben:

Einhaltung des Zweckbindungsgrundsatzes

Der Datenimporteur darf die personenbezogenen Daten nur für den/die Zweck/e verarbeiten, die in den Standardvertragsklauseln vereinbart werden. Der Datenimporteuer darf die Daten jedoch für einen anderen Zweck verarbeiten, wenn die betroffene Person jeweils einwilligt oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist. Zudem dürfen die Daten dann verarbeitet werden, wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

Diese Regelung in den Standardvertragsklauseln ist eher klarstellend, denn sie wiederholt nur das, was in der DSGVO ohnehin steht. Sollte der Datenimporteur von der Möglichkeit Gebrauch machen, die Daten aufgrund einer Einwilligung für eigene Zwecke zu verarbeiten, sollte die Einwilligung unbedingt dokumentiert werden.

Einhaltung des Transparenzgrundsatzes

Der Datenimporteur hat den betroffenen Personen entweder direkt oder über den Datenexporteur Folgendes mitzuteilen:

seinen Namen und seine Kontaktdaten,
die Kategorien der verarbeiteten personenbezogenen Daten,
das Recht auf Erhalt einer Kopie dieser Klauseln,
wenn er eine Weiterübermittlung der personenbezogenen Daten an Dritte beabsichtigt, den Empfänger oder die Kategorien von Empfängern (je nach Bedarf zur Bereitstellung aussagekräftiger Informationen), den Zweck und den Grund einer solchen Weiterübermittlung gemäß Klausel 8.7.

Der Datenimporteur muss jedoch nicht informieren, soweit die betroffene Person bereits über die Informationen verfügt, weil diese Informationen z.B. bereits vom Datenexporteur bereitgestellt wurden. Die Informationspflicht entfällt ebenfalls, wenn sich die Bereitstellung der Informationen als nicht möglich erweist oder einen unverhältnismäßigen Aufwand für den Datenimporteur bedeuten würde. In diesem Fall müsste der Datenimporteur die Informationen jedoch, soweit möglich, öffentlich zugänglich machen.

Den betroffenen Personen ist auf Anfrage eine Kopie der Klauseln, einschließlich der von ihnen ausgefüllten Anlage, unentgeltlich zur Verfügung zu stellen. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, können die Parteien bestimmte Teile des Textes vor der Weitergabe einer Kopie jedoch unkenntlich machen. Falls Schwärzungen vorgenommen werden, wäre der Grund dafür der betroffenen Person so weit wie möglich mitzuteilen.

Die oben genannten Informationspflichten gelten unbeschadet der Pflichten des Datenexporteurs gemäß den Art. 13 und 14 DSGVO, so dass der Datenexporteuer seine eigenen Informationspflichten gemäß Art. 13 und gegebenenfalls 14 DSGVO erfüllen muss.

Im Rahmen der Einhaltung des Transparenzgrundsatzes müssten die Vertragsparteien sich unbedingt abstimmen und ähnlich wie im Fall des Art. 26 DSGVO bei der gemeinsamen Verantwortlichkeit festlegen, wer welche Informationspflichten gegenüber den betroffenen Personen erfüllt, um die Informationen nicht etwa doppelt und/oder mit sich unterscheidenden Inhalten zu erteilen.

Richtigkeit und Datenminimierung sowie Einhaltung der Betroffenenrechte

Jede Partei muss sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind. Der Datenimporteur trifft alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Stellt dabei eine der Parteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, muss sie unverzüglich die andere Partei unterrichten.

Der Datenimporteur muss sicherstellen, dass die personenbezogenen Daten angemessen und erheblich sowie auf das für den/die Verarbeitungszweck/e notwendige Maß beschränkt sind.

Gemäß dieser Bestimmung ergeben sich insbesondere für den Datenimporteur in Bezug auf die Einhaltung des Datenminimierungsgrundsatzes also explizite Prüfungspflichten.

Der Datenimporteur ist nach den Standardvertragsklauseln zudem für die Einhaltung der Betroffenenrechte zuständig. Er muss entsprechend Auskunft gem. Art. 15 DSGO erteilen, Daten auf Anfrage der betroffenen Person ggf. berichtigen, die Daten ggf. löschen oder ihre Verarbeitung einschränken.

Speicherbegrenzung

Der Datenimporteur darf die personenbezogenen Daten nur so lange speichern, wie es für den/die Verarbeitungszweck/e erforderlich ist. Er muss geeignete technische oder organisatorische Maßnahmen treffen, um die Einhaltung dieser Verpflichtung sicherzustellen; hierzu zählen insb. auch die Löschung oder Anonymisierung der Daten und aller Sicherungskopien am Ende der Speicherfrist.

Sicherheit der Verarbeitung

Der Datenimporteur und — während der Datenübermittlung — auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Parteien müssen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht ziehen, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Das bedeutet, dass eine entsprechende (dokumentierte) Prüfung, ob Datenverschlüsselung und Pseudonymisierung möglich sind, stattgefunden haben muss. Die Daten wären, soweit man zum Schluss kommt, dass es möglich wäre, ohne den Verarbeitungszweck zu beeinträchtigen, zu verschlüsseln bzw. zu pseudonymisieren.

Der Datenimporteur müsste zudem regelmäßige Kontrollen der TOM durchführen, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten. Er müsste insb. sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur müsste der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten (Datenpanne) ergreifen und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen treffen.

Hat die Datenpanne voraussichtlich ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, muss der Datenimporteur die Verletzung unverzüglich sowohl dem Datenexporteur als auch der gemäß Klausel 13 festgelegten zuständigen Aufsichtsbehörde melden. Hat die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Datenimporteur ebenfalls die jeweiligen betroffenen Personen unverzüglich benachrichtigen und der jeweils betroffenen Person die in den Standardvertragsklauseln genannten Informationen zur Verfügung stellen (insb. Informationen über die Art der Verletzung). Dabei ist erforderlichenfalls Zusammenarbeit mit dem Datenexporteur explizit durch die Klauseln angeordnet.

Die Benachrichtigungspflicht entfällt nur dann, wenn der Datenimporteur Maßnahmen ergriffen hat, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu mindern, oder die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. Doch dann, hat der Datenimporteur statt der Benachrichtigung der betroffenen Person/en eine öffentliche Bekanntmachung herauszubringen oder eine vergleichbare Maßnahme zu ergreifen, um die Öffentlichkeit über die Datenpanne zu informieren. Zu beachten ist hier, dass die Dokumentationspflicht dem Datenimporteur auferlegt wird, denn der Datenimporteur hat alle maßgeblichen Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten zu dokumentieren.

Umgang mit sensiblen Daten

Sofern die Übermittlung personenbezogene Daten umfasst, die gem. Art. 9 DSGVO besonders zu schützen sind (besondere Kategorien personenbezogener Daten), muss der Datenimporteur spezielle Beschränkungen und/oder zusätzliche Garantien anwenden, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind. Dies kann die Beschränkung des Personals, das Zugriff auf die personenbezogenen Daten hat, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung umfassen. Bei der Anonymisierung der Daten, schreiben die Standardvertragsklauseln vor, dass Daten in einer Weise anonymisiert werden müssen, dass eine Person im Einklang mit Erwägungsgrund 26 zur DSGVO nicht mehr identifizierbar ist, wobei der Anonymisierungsvorgang unumkehrbar sein muss. Zum Thema Anonymisierung haben wir uns in diesem Artikel geäußert.

Weiterübermittlungen der Daten

Der Datenimporteur darf die personenbezogenen Daten nicht an Dritte weitergeben, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union ansässig sind (im Folgenden „Weiterübermittlung“). Eine Weiterübermittlung wäre jedoch dann möglich, wenn der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt. Im Übrigen wäre eine Weiterübermittlung in folgenden Fällen zulässig:

Die Übermittlung erfolgt an ein Land, für das ein Angemessenheitsbeschluss nach Art. 45 DSGVO gilt, der die Weiterübermittlung abdeckt,
der Dritte gewährleistet auf andere Weise geeignete Garantien gemäß Art. 46 oder Art. 47 DSGVO im Hinblick auf die betreffende Verarbeitung,
der Dritte geht mit dem Datenimporteur ein bindendes Instrument ein, mit dem das gleiche Datenschutzniveau wie gemäß diesen Klauseln gewährleistet wird, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Garantien zur Verfügung,
die Weiterübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich,
die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder
falls keine der anderen Bedingungen erfüllt ist — der Datenimporteur hat die ausdrückliche Einwilligung der betroffenen Person zu einer Weiterübermittlung in einem speziellen Fall eingeholt, nachdem er sie über den/die Zweck/e, die Identität des Empfängers und die ihr mangels geeigneter Datenschutzgarantien aus einer solchen Übermittlung möglicherweise erwachsenden Risiken informiert hat. In diesem Fall unterrichtet der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Verlangen eine Kopie der Informationen, die der betroffenen Person bereitgestellt wurden.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß den Standardvertragsklauseln, insbesondere die Zweckbindung (s.o.), einhält.

Verarbeitung unter der Aufsicht des Datenimporteurs

Der Datenimporteur stellt sicher, dass jede ihm unterstellte Person, einschließlich eines Auftragsverarbeiters, diese Daten ausschließlich auf der Grundlage seiner Weisungen verarbeitet.

Hiermit ist gemeint, dass der Datenimporteur (also der Empfänger der Daten) verpflichtet wird, dafür zu sorgen, dass sein Personal und seine Dienstleister sich an seine Weisungen halten. Dies ist nicht zu verwechseln mit der Regelung aus der Auftragsverarbeitung, die sich sehr ähnlich liest und dennoch etwas völlig anderes meint. Um es klarzustellen: Der Datenimporteur ist eigenständig verantwortlicher und keinerlei Weisungen des Datenexporteurs unterworfen, welche nicht als vertragliche Regelung (zum Beispiel in Form der Klauseln selbst oder des Anhangs 1 der Klauseln) existiert.

Sofern der Datenimporteur einen Auftragsverarbeiter einsetzt, wäre mit diesem ohnehin zwingend eine Vereinbarung zur Auftragsverarbeitung zu schließen, welche die Anforderungen des Art. 28 DSGVO erfüllt. Sitzt der Auftragsverarbeiter ebenfalls in einem Drittstaat, müssten die SCC C2P abgeschlossen werden (hiermit wird sich der nächste Artikel dieser Serie beschäftigen) oder – und jetzt wird es wirklich langsam kompliziert – sofern der Auftragsverarbeiter im Geltungsbereich der DSGVO sitzt, wäre dieser (also der Auftragsverarbeiter!) verpflichtet, SCC P2C abzuschließen. Um diesen Fall kümmert sich dann der vierte Artikel unserer Serie zu den neuen SCC.

Dokumentation und Einhaltung der Klauseln

Jede Partei muss nachweisen können, dass sie ihre Pflichten gemäß diesen Klauseln erfüllt. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten. Der Datenimporteur muss der zuständigen Aufsichtsbehörde diese Aufzeichnungen auf Verlangen zur Verfügung stellen.

Fazit

Besonders sinnvoll erscheint aus unserer Sicht die Regelung bzgl. der Einhaltung des Transparenzgrundsatzes sowie der Rechte betroffener Personen. Denn durch diese Regelungen laufen die Betroffenenrechte nicht ins Leere, wenn die Daten über die EU-Grenzen hinweg übermittelt werden. Aufgrund der zahlreichen Verpflichtungen, die insbesondere die Datenimporteure aber auch die Datenexporteure treffen, müssen beide Seiten sehr sorgfältig prüfen, ob sie die Verpflichtungen, die sie mit der Vereinbarung der Standardvertragsklauseln eingehen, tatsächlich einhalten können. Letztlich hat die EU-Kommission in den neuen SCC gewissermaßen „eine kleine DSGVO“ eingebaut und die neuen Standardvertragsklauseln sind jetzt deutlich mehr als nur eine Formalie, wie das bei den alten Standardvertragsklauseln oft der Fall war. Diese wurden des Öfteren nur pro forma unterschrieben und ruhigen Gewissens ad acta gelegt, um nie mehr daran zu denken. Dies geht nun mit den neuen Standardvertragsklauseln, welche die oben geschilderten Verpflichtungen enthalten, nicht mehr. Die Einhaltung der Bestimmungen der neuen Standardvertragsklauseln sollte im Hinblick auf die Rechtsrisiken und insbesondere im Hinblick auf die möglichen Schadensersatzforderungen von betroffenen Personen vom Verantwortlichen im Rahmen der Datenschutz-Compliance sehr ernst genommen werden. Nicht zuletzt auch deshalb, weil die Aufsichtsbehörden Datenübermittlungen in Drittländer nun verstärkt im Rahmen einer koordinierten gemeinsamen Kontrollaktion auf ihre Rechtmäßigkeit hin überprüfen (hierzu vgl. unseren Artikel vom 14.06.2021).

Benötigen Sie Unterstützung im Rahmen Ihrer Datenübermittlungen in einen Drittstaat? Rufen Sie uns an, wir helfen Ihnen gerne!

Dieser Artikel ist Teil unserer Reihe zu den neuen Standardvertragsklauseln. Die anderen Artikel finden Sie hier: