Am 12. November 2020 hat die Europäische Kommission einen Entwurf für neue Standardvertragsklauseln zur Übermittlung von personenbezogenen Daten in Drittstaaten vorgelegt. Und das relativ umfassend. Der Entwurf, dessen Schicksal natürlich noch vom weiteren Verfahrensverlauf abhängt, macht zumindest auf den ersten Blick ein wenig Mut, wobei im Falle einer Verabschiedung insbesondere die Praxistauglichkeit abzuwarten bleibt.
Hintergrund
Der EuGH hat mit Urteil vom 16. Juli 2020 den EU-US-Privacy-Shield für ungültig erklärt, während er den Beschlusses 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern grundsätzlich unangetastet ließ. Allerdings bieten die Standardklauseln mit Blick auf die Gründe, welche der EuGH in Sachen Privacy Shield herangezogen hat, insbesondere für die Übermittlung von Daten in die USA allenfalls mithilfe zusätzlicher Garantien eine verlässliche Grundlage. Was solche zusätzlichen Garantieren genau beinhalten müssen, ist unklar. Soweit der Privacy-Shield für eine Datenübermittlung wegen der Zugriffsmöglichkeiten seitens US-Sicherheitsbehörden kassiert wurde, besteht jedenfalls die Gefahr, dass Datenschutzbehörden hierzulande eine Übermittlung aussetzen, wenn auch bei der Verwendung der Standardvertragsklauseln kein ausreichendes Schutzniveau der zu übermittelnden Daten gewährleistet werden kann.
Aktueller Stand der Standardvertragsklauseln
Die Standardvertragsklauseln sind bislang in drei verschiedenen Dokumenten festgehalten, dem angesprochenen Beschluss 2010/87/EU zur Übermittlung von Daten an Auftragsverarbeiter in Drittländern, sowie zwei „Sets“ zur Übermittlung von Daten an Empfänger, die als Verantwortliche gelten.
Besondere Maßnahmen im Zusammenhang mit dem problematischen Zugriff ausländischer Behörden auf die übermittelten Daten sehen die Klausen dabei nicht wirklich vor. Zwar gilt formal das Recht des Staates, in welchem der Datenexporteur ansässig ist, und der Datenimporteur hat sich den Bestimmungen der Klauseln und mithin den Datenschutzvorgaben des Exporteurs zu unterwerfen und zu garantieren, dass ihn nach seinem Wissen keine entgegenstehenden Gesetze in seinem Land an der Einhaltung dieser Bestimmungen hindern. All das ist jedoch angesichts der Rechtsfolgen der bloßen Unterrichtung des Exporteurs und der Aussetzung der Übertragung ein eher stumpfes Schwert.
Entwurf neuer Standardvertragsklauseln
Grundlagen und Kurzüberblick
Der Entwurf neuer Standardvertragsklauseln vereint alle denkbaren Übermittlungssituationen in einem Dokument und sieht bezüglich der jeweils abzuändernden Vertragsteile verschiedene Module vor.
Zunächst werden im Modul Eins (Übertragung zwischen zwei Verantwortlichen) für den Datenimporteur Grundsätze der DS-GVO ausdrücklich festgeschrieben, wie Transparenz, Zweckbindung, Richtigkeit und Datenminimierung sowie Meldepflichten im Falle der Verletzung des Schutzes personenbezogener Daten. Auch darf der Importeuer Daten nur unter den gleichen Bedingungen wie der Datenexporteur aus der EU weitergeben und ihn trifft eine Rechenschaftspflicht (Abschnitt 1, Ziffer 1, Modul 1). Dem Importeur werden letztlich quasi sämtliche Pflichten eines Verantwortlichen unter der DS-GVO auferlegt. Insbesondere soll er die betroffene Person entweder direkt oder über den Datenexporteur über seine Identität und Kontaktdaten sowie darüber informieren, ob er die Daten zu anderen Zwecken verarbeitet, zu denen sie übertragen wurden, und zu welchen Zwecken genau. Auch über eine Offenbarung der Daten gegenüber Dritten soll der Importeur betroffene Personen informieren.
Die gleichen Pflichten (mit Ausnahme der Informationspflichten gegenüber der betroffenen Person) sollen nach Modul 2 auch den Empfänger von Daten treffen, der Auftragsverarbeiter ist, der Natur nach unter Beschränkung auf die Weisungen des Verantwortlichen. Letzterer soll ausdrücklich Zugang zu Informationen und Dokumenten des Auftragsverarbeiters haben oder alternativ ein Audit durchführen bzw. beauftragen dürfen.
Modul 3 bezieht sich auf eine Datenübertragung von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter in einem Drittstaat nach den Weisungen eines dritten Verantwortlichen. Auch in dieser Konstellation werden die Grundsätze der DS-GVO umfassend in der Klausel statuiert; das angesprochene Kontroll- oder Auditrecht steht dem exportierenden Auftragsverarbeiter sowie dem Verantwortlichen zu.
Ein weiteres Modul 4 schreibt die Situation der Übermittlung eines in der Union ansässigen Auftragsverarbeiters an einen Verantwortlichen in einem Drittland fest und spiegelt nach der Begründung zum Entwurf die begrenzten eigenständigen Verpflichtungen eines Auftragsverarbeiters wider. Der Auftragsverarbeiter soll danach den verantwortlichen Datenimporteur informieren, wenn er dessen Weisungen wegen Konflikten mit den Vorschriften der DS-GVO nicht folgen kann. In einem solchen Fall soll der Datenimporteur aus dem Drittland entsprechende Handlungen unterlassen. Darüber sollen die Parteien Rechenschaft ablegen können.
Spezialthema: Verpflichtungen der Parteien im Falle widersprechender Gesetze oder Zugriffsanfragen von Behörden des Drittstaates
In Abschnitt 2, Ziffer 2 garantiert der Datenimporteur, dass er keinen Grund zu der Annahme hat, dass Gesetze im Empfängerstaat der Daten ihn daran hindern, seine Verpflichtungen nach Maßgabe der Standardklauseln zu erfüllen, insbesondere in Bezug auf die Offenlegung von Daten bzw. den Zugriff von Behörden auf Daten. Für den Fall, dass der Datenimporteur seine Verpflichtungen aus den Klauseln nicht erfüllen kann, soll er den Datenexporteur informieren. Soweit nichts Neues. Bezug genommen wird ergänzend auf Art. 23 DS-GVO, wonach Gesetze, die das Wesen der Grundrechte und Grundfreiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 GDPR aufgeführten Ziele zu sichern, nicht im Widerspruch zu den Klauseln stehen sollen.
Der Datenexporteur soll die Möglichkeit haben, die Umstände von Datenübermittlungen anzupassen, wenn er der Meinung ist, so unter Einhaltung eines angemessenen Datenschutzniveaus die Datenübermittlung fortsetzen zu können; darüber muss jedoch die Aufsichtsbehörde informiert werden. Andernfalls, oder auf Anordnung der Behörde, muss er die Übermittlung einstellen.
Gänzlich neu ist Ziffer 3 – Verpflichtungen des Importeurs Im Falle einer Zugriffsanfrage der Regierung des Drittstaates. Im Falle einer verpflichtenden Aufforderung einer Behörde zur Offenlegung von Daten soll der Datenimporteur sowohl den Datenexporteur als auch (wenn möglich) die betroffene Person darüber informieren und dabei angeben, welche Daten betroffen sind, welche Behörde die Daten anfragt, auf welche rechtlichen Grundlage dies beruht und welche Antwort er auf die Anfrage gegeben hat. Im Falle eines Zugriffs einer Behörde auf Daten ohne vorherige Anfrage soll er alle ihm bekannten Umstände mitteilen.
Soweit vom Recht des Drittstaates erlaubt, soll er dem Datenexporteur in regelmäßigen Abständen detaillierte Informationen über Zugriffsanfragen übermitteln. Für den Fall, dass es dem Datenimporteur verboten sein sollte, dem Datenexporteur Mitteilungen zu machen, soll er sich nach besten Kräften um eine Aufhebung des Verbots bemühen und versuchen, zeitnah so viele Informationen wie möglich zu übermitteln. Dabei soll er alle möglichen Rechtsmittel ausschöpfen, notfalls einstweiligen Rechtsschutz zur Aussetzung einer Offenlegungspflicht suchen, bis eine abschließende gerichtliche Entscheidung getroffen ist und bei einer Pflicht zur Offenlegung so wenige Informationen wie möglich herausgeben. Seine dahingehend obliegenden Dokumentationen sind auf Anfrage auch der Aufsichtsbehörde zu übermitteln.
Sonstiges
Daneben enthalten die neuen Standardklauseln ausführliche Vorgaben zur Beauftragung von Subunternehmern und Rechten der betroffenen Person, welche sich ebenfalls nach der DS-GVO richten. Es ist zudem ein ausdrückliches Widerspruchsrecht der betroffenen Person enthalten, wenn deren Daten zu Zwecken des Direktmarketings verarbeitet werden.
In den Modulen 1 und 4 haftet jede Partei gegenüber der betroffenen Person für von ihr verursachte Schäden; wird ein Schaden gemeinsam verursacht, haften beide Parteien gesamtschuldnerisch. Das gleiche gilt auch in den Modulen 2 und 3 jedoch mit den Zusätzen, dass der Datenexporteur, also in Verhältnissen, in denen an einen Auftragsverarbeiter übertragen wird, auch der Datenexporteur für den empfangenden Auftragsverarbeiter haftet.
Exkurs: Klauselzusätze der Datenschutzbehörde Baden-Württemberg
Der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg hatte als Reaktion auf die Entscheidung des EuGH Ergänzungen zu den aktuellen Standardvertragsklauseln vorgeschlagen, auf deren Grundlage eine Datenübermittlung insbesondere in die USA zwar nicht absolut rechtssicher möglich sein soll, die jedoch jedenfalls den „guten Willen“ der Verantwortlichen zeigen und dokumentieren könnten (abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf). Dazu zählen z.B. weitergehende Informationspflichten über Datentransfers in einen Drittstaat, Information auch der betroffenen Person über rechtsverbindliche Aufforderungen von Vollstreckungsbehörden zur Weitergabe von personenbezogenen Daten und die Abstimmung des weiteren Vorgehens mit der Aufsichtsbehörde, falls eine solche Weitergabe untersagt sein sollte. Dann sollte zumindest der Datenexporteur im erlaubten Maße über die Umstände der Anfragen informiert werden. Weiterhin sollte der Datenimporteur zum gerichtlichen Vorgehen gegenüber solchen Maßnahmen verpflichtet werden.
Diese Verpflichtungen sind im Entwurf für neue Standardvertragsklausel weitestgehend abgedeckt, sodass diese Empfehlungen der Behörde bis zum Erlass der neuen Standardvertragsklauseln eine gute Orientierung bieten dürften. Nicht im Entwurf der Kommission findet sich die von der Behörde vorgeschlagene verschuldensunabhängige Freistellungsklausel des Datenimporteurs gegenüber der betroffenen Person für Schäden, welche dieser durch den Zugriff von Stellen des Staates des Datenimporteurs auf die Daten der betroffenen Person entstehen. Angesichts eines zu erwartenden Sturmlaufs gegen eine solche Klausel dürfte die Kommission es auch nicht in Betracht ziehen, noch über eine solche Klausel nachzudenken.
Anmerkung und Ausblick
Die Kommission hat mit ihrem Entwurf die Standardklauseln zunächst einmal auf den aktuellen Stand gebracht und an die DS-GVO angepasst. Viele Bestimmungen sind statt durch einfache Bezugnahmen explizit statuiert, was jedenfalls Klarheit bezüglich des Pflichtenkatalogs der Parteien bringt: Der Boden der DS-GVO darf durch keine Art der Übermittlung verlassen werden.
Als positiv anzusehen sind die umfassenden Informationspflichten auch des im Drittstaat ansässigen Datenimporteurs. Fraglich ist lediglich, wie das Ganze praktisch ablaufen soll, insbesondere, ob ein z.B. in den USA ansässiges Unternehmen als Datenimporteur sich diesen Bestimmungen beugt und ob es überhaut möglich ist, hierzulande über Anfragen oder Weitergaben an dortige Sicherheitsbehörden Kenntnis zu erlangen, wenn diese Informationen nicht freiwillig weitergegeben werden. Das wird allenfalls die Zeit nach einem möglichen Inkrafttreten der Klauseln zeigen, zumal jedenfalls eine regelmäßige Information seitens des Datenimporteurs über Aufforderungen zur Weitergabe erfolgen soll. Ob die Klauseln dann jedoch als absolut rechtssicheres Instrument zum Datentransfer in die USA dienen, bleibt abzuwarten, wobei zumindest auf den ersten Blick ein wenig Hoffnung besteht, dass nach Safe Harbour und Privacy Shield kein drittes Kapitel der „gekippten Übermittlungsgrundsätze“ droht.
Zunächst einmal müssen die Klauseln nach einer Frist zur Stellungnahme der Öffentlichkeit bis zum 10. Dezember 2020 angenommen werden. Dass sich danach noch einmal Änderungen „einschleichen“ werden, ist nicht unwahrscheinlich. Bis dahin können jedenfalls die Zusatzklauseln der Aufsichtsbehörde aus Baden-Württemberg als Orientierung dienen.
