Für viel Aufsehen sorgte letzten Sommer das Urteil des EuGH in Sachen Schrems II (C-311/18), als es den EU-US Privacy Shield-Beschluss ohne Übergangsfrist zu Fall brachte. Dies bildete freilich nur einen interessanten Aspekt der Entscheidung für die Unternehmenspraxis. Mindestens genau so bedeutsam waren die Ausführungen der Luxemburger Richter zu den bestehenden EU-Standardvertragsklauseln (auch „Standarddatenschutzklauseln“). Jetzt „drohen“ aufsichtsrechtliche Prüfungen.
Grundsätzlich bilden die Standardvertragsklauseln zwar nach wie vor eine taugliche Rechtsgrundlage für den internationalen Datentransfer. Die zuständigen Aufsichtsbehörden sind nach den EuGH-Vorgaben aber verpflichtet, Datentransfers auszusetzen oder zu verbieten, wenn die Klauseln im Drittstaat nicht eingehalten werden (können). Gegebenenfalls müssten Datenexporteur und -importeur zusätzliche Maßnahmen treffen, um ein angemessenes Datenschutzniveau zu erreichen. Vor diesem Hintergrund erklärt sich eine am 01. Juni 2021 veröffentlichte Ankündigung mehrerer Datenschutzaufsichtsbehörden – unter anderem Hamburg, Berlin und Bayern –, im Rahmen einer konzertierten, bundesländerübergreifenden Kontrolle zu prüfen, ob der Datentransfer deutscher Unternehmen in Nicht-EU-Länder den Vorgaben des EuGH-Urteils gerecht wird.
Dazu sollen ausgewählten Unternehmen Fragebögen zu einzelnen Themenbereichen des Datentransfers übermittelt werden, z.B. zum Einsatz externer Dienstleister zum E-Mail-Versand, Webhosting oder Webtracking. Jede Aufsichtsbehörde entscheidet individuell, zu welchem Themengebiet sie Auskünfte begehrt. Zwar stellen die Behörden in Aussicht, die Einhaltung der Urteilsvorgaben könne in den meisten Fällen im „kooperativen Dialog“ gelingen. Sie betonen indes auch, dass dort, wo dies nicht möglich ist, „aufsichtsbehördliche Maßnahmen“ drohen.
Anmerkung
Seit Schrems II herrscht im Bereich internationaler Datentransfers aus der EU ein nicht unerhebliches Maß an Rechtsunsicherheit. Daran hat auch der Entwurf neuer Standardvertragsklauseln durch die EU-Kommission vom 12. November 2020 nichts geändert, da dieser bislang nicht finalisiert worden ist. Zwar scheint den Aufsichtsbehörden durchaus bewusst zu sein, dass das Schrems II-Urteil vielen Unternehmen Kopfschmerzen bereitet, für die diese selbst nicht verantwortlich sind. Dass die Behörden allein deshalb Milde walten lassen, sollte aber nicht angenommen werden. Vielmehr empfiehlt es sich, die eigenen Unternehmensprozesse anhand der Fragebögen auch zur Vermeidung künftiger Probleme kritisch zu überprüfen.
Im Nachgang zur Ankündigung der deutschen Aufsichtsbehörden haben sich die Spielregeln allerdings geändert, da die Kommission am 04.06.2021 neue Standarddatenschutzklauseln verabschiedet hat. Ungeachtet des Umstandes, dass die Verabschiedung aktueller Standarddatenschutzklauseln unter der DS-GVO schon länger überfällig war (diese bildeten noch den Zustand unter der alten Datenschutzrichtlinie ab und waren im wahrsten Sinne des Wortes in die Jahre gekommen), erfolgte die Reform ersichtlich vor dem Eindruck des Urteils in Sachen Schrems II. Entsprechend sind die neuen Klauseln darauf angelegt, den Bedenken des EuGH Rechnung zu tragen und über vertragliche Regelungen ein auch unter der DS-GVO angemessenen Datenschutzniveau sicherzustellen.
Die neuen Standarddatenschutzklauseln wurden nach Art und Weise eines Vertragsbaukastens konzipiert und decken – im Unterschied zu den alten Standardklauseln – auf Basis eines modularen Ansatzes unterschiedliche Konstellationen eines Transfers von Daten in ein Drittland ab. Neben den bereits von den alten Standardvertragsklauseln abgedeckten Fällen der Übertragung von Daten durch einen Verantwortlichen an einen anderen Verantwortlichen sowie die Übertragung von Daten von einem Verantwortlichen an einen Auftragsverarbeiter deckt das neue Vertragsset auch weitere Konstellationen ab, namentlich den Fall einer Übertragung von Daten durch einen Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie die Übertragung von Daten durch einen Auftragsverarbeiter an einen Verantwortlichen. Der modulare Ansatz machte die neuen Standarddatenschutzklauseln damit – auch durch weitere optionale und alternative Regelungen im Muster selbst – recht flexibel, fordert allerdings auch eine sehr genaue Auswahl der relevanten Module und Regelungsansätze. Von der Idee, dass die neuen Klauseln schlicht verwendet werden können, um eine formale Absicherung zu bewirken, wird sich der Rechtsanwender allerdings verabschieden müssen.
Bei den neuen Standarddatenschutzklauseln spielt die Musik zu einem wesentlichen Teil in den Anlagen und die erfordern detaillierte Festlegungen insbesondere technisch-organisatorischer Maßnahmen. In diesem Zusammenhang ist auch eine erweiterte Folgenabschätzung in den Blick zu nehmen, welche die neuen Standarddatenschutzklauseln in den Blick nehmen. Die Parteien sind nämlich gehalten, eine Drittlandsübermittlungs-Folgenabschlätzung (Data Transfer Impact Assessment – TIA) vorzunehmen, um eine belastbare Bewertung der mit dem Transfer von Daten in ein Drittland verbundenen Risiken, insbesondere rechtlicher Art, vorzunehmen und dokumentiert vorzuhalten.
Die neuen Standarddatenschutzklauseln treten am 27.06.2021 in Kraft. Die bestehenden Standardvertragsklauseln treten hingegen drei Monate später außer Kraft und können dann für neue Verträge nicht mehr verwendet werden. Für bestehende Verträge mit alten Standardvertragsklauseln – nicht für neue Verträge – gilt im Übrigen eine Schonfrist von 15 Monaten ab Außerkraftteten der alten Standardvertragsklauseln. Gleichwohl dürfte es geboten sein, die Frist nicht auszureizen, sondern zügig auf die neuen Standarddatenschutzklauseln umzustellen; dies gilt insbesondere für Fälle, in denen man auch ungeachtet der EuGH-Entscheidung in Sachen Schrems II die bestehenden Verträge nicht nachgeschärft hat, sondern es beim unveränderten Altstand belassen hat.
Auch die neuen Standarddatenschutzklauseln sind kein Allheilmittel, allerdings sehen diese jedenfalls vertraglich Regelungsansätze vor, die den Vorgaben der DS-GVO deutlich mehr entsprechen als die noch nach Maßgabe der alten Datenschutzrichtlinie und in die Jahre gekommenen Standardvertragsklauseln. Dabei kann man die Umstellung durchaus als Chance begreifen, da sich einige Aspekte auch durchaus vereinfachen werden. So wird es künftig möglich sein, das in der Praxis höchst relevante Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter allein mit den neuen Standarddatenschutzklauseln in der Variante von Modul 2 abbilden zu können, ohne dass parallel eine weitergehende Vereinbarung über Auftragsverarbeitung im Sinne von Art. 28 Abs. 3, 4 DS-GVO geschlossen werden müsste. Die neuen Standarddatenschutzklauseln erledigen das gleich mit.
Quelle für die neuen Standarddatenschutzklauseln für Datenübermittlung in Drittländer: Abl. EU v. 07.06.2021, L 199/31 (CELEX_32021D0914); mehrsprachig abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914
