Neue Standardvertragsklauseln der EU – Einführung und erste Einschätzungen
Die Europäische Kommission hat am 4. Juni 2021 neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (sog. SCC, für „Standard Contractual Clauses“) erlassen. Standardvertragsklauseln, als Instrument in Art. 46 der EU-DSGVO vorgesehen, sollen geeignete Garantien zum Schutz von Personendaten sein, wenn das Zielland einer Datenübermittlung kein angemessenes Datenschutzniveau hat.
Bereits seit der Einführung der EU-DSGVO im Mai 2018 bestand Aktualisierungsbedarf. Die jetzt noch in Kraft stehenden SCCs stammen aus der Ära vor der EU-DSGVO. Entsprechend lassen sie einige von der EU-DSGVO geforderten Schutzmassnahmen vermissen. Zudem hat das Urteil des EuGH in Sachen „Schrems II“ die Verlässlichkeit von SCCs als Datenübertragungsmechanismus in Frage gestellt, sofern keine Folgenabschätzung für den Datentransfer durchgeführt und „ergänzende Massnahmen“ implementiert wurden. Kurz: Es war jetzt dringend notwendig, aktualisierte SCCs zu verabschieden.
Die neuen SCCs treten am 27. Juni 2021 in Kraft (d.h. 20 Tage nach ihrer Veröffentlichung im EU-Amtsblatt am 7. Juni 2021). Die bisherigen SCCs können für „neue“ Datentransfers noch während einer Übergangszeit von drei Monaten weiter verwendet werden. Für bereits stattgefundene bzw. noch andauernde Datentransfers ist die Übergangsfrist 18 Monate. Dies gibt Organisationen bis Ende 2022 Zeit, ihre bestehenden Datentransfers (hernach auch „Übertragungen“) auf die neuen SCCs umzustellen.
1. Modularer Aufbau
Die neuen SCCs bestehen aus einem modularen Satz von Klauseln für jeden der folgenden Bereiche:
- Controller-zu-Controller-Übertragungen (C2C-Modul 1)
- Controller-zu-Processor-Übertragungen (C2P-Modul 2)
- Processor-zu-Processor-Übertragungen (P2P-Modul 3)
- Übertragungen zwischen Processor und Controller (P2C-Modul 4).
In dieser Hinsicht sind die neuen SCCs eine klare Verbesserung im Vergleich zu ihren Vorgängern, die weder P2P- noch P2C-Datentransfers berücksichtigten und somit vielen datenexportierenden Organisationen nur begrenzte (oder gar keine) Mittel zur Verfügung gestellt haben, um die Rechtskonformität bei diesen Arten von Datentransfers zu erreichen.
Vereinfacht ausgedrückt wählen die datenexportierenden Parteien das Modul, das auf die Art ihrer Exporte anwendbar ist, und verwenden nur die für dieses Modul vorgesehenen Klauseln. Was einfach klingt, kann in der Praxis mühsam sein; denn sämtliche Klauseln sind als Optionen im Fliesstext ein und desselben Dokuments eingepflegt.
Deshalb haben wir mithilfe der Software DocIQ eine Version der SCCs erstellt, bei denen man das gewünschte Modul auswählen und darauf aufbauend sämtliche Textfelder und Optionen in einem Formular dynamisch ausfüllen kann. Das Formular befindet sich gleich neben dem Text. Der Text passt sich entsprechend in Echtzeit an. Dies spart sehr viel Zeit und hilft Fehler zu vermeiden. Die SCCs lassen sich über DocIQ auch teilausgefüllt als Vorlage zwischenspeichern und so immer wieder kopieren und verwenden.
Gerne stellen wir Ihnen die automatisierten modularen SCCs via DocIQ auf Deutsch und Englisch kostenlos zur Verfügung. Melden Sie sich einfach bei Ihrem Laux Lawyers Kontakt.
2. Mehrparteienklauseln und die Andockklausel
Die neuen SCCs erlauben es, dass mehrere datenexportierende Parteien einen Vertrag abschliessen und dass im Laufe der Zeit neue Parteien hinzukommen können (die sogenannte „Docking-Klausel“).
Die bisherigen SCCs wurden demgegenüber als zweiseitiger Vertrag aufgesetzt, der die Beziehung zwischen zwei Parteien zu einem statischen Zeitpunkt festhalten sollte. Es war nicht vorgesehen, im Laufe der Zeit weitere Parteien hinzuzufügen. Dies führte oft zu Herausforderungen, wenn versucht wurde, die SCCs bei grossen konzerninternen oder konzernexternen Datentransfers zu implementieren. Obwohl es an und für sich nur einer relativ einfachen redaktionellen Änderung der bisherigen SCCs bedurfte, um zusätzliche Parteien zuzulassen (egal ob dies im Zeitpunkt des Vertragsabschlusses oder erst im Laufe der Zeit geschehen sollte), war zumindest umstritten, ob diese Art der Änderung überhaupt zulässig war, und ob nicht stattdessen für jeden einzelnen Datenfluss separate SCCs hätten unterzeichnet werden müssen.
Die neuen SCCs erlauben nun ausdrücklich den Abschluss von Verträgen mit mehreren Parteien und das Hinzufügen neuer Parteien im Laufe der Zeit. Dies wird eine willkommene Erleichterung sein, insbesondere für Unternehmen, die bei konzerninternen Übertragungen auf SCCs angewiesen sind.
3. Schrems II
Neu ist ein ganzer Abschnitt der SCCs (Abschnitt III) auf die Anforderungen von „Schrems II“ ausgerichtet und enthält Klauseln zu „Lokalen Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“ und „Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten“.
Die Kommission hatte hier die nicht ganz leichte Aufgabe, Bestimmungen zu erlassen, die zwar mit dem EuGH-Urteil in Schrems II in Einklang stehen, internationale Datentransfers (auch in die USA) aber doch weiterhin ermöglichen.
Die Kommission hat erfreulicherweise einen risikobasierten Ansatz gewählt. Die Parteien müssen garantieren, dass sie „keinen Grund zu der Annahme“ haben, dass die Gesetze des Importstaates dazu führen, dass der Datenimporteur nicht in der Lage sein wird, seine Verpflichtungen aus den SCCs zu erfüllen. Bei der Abgabe dieser Garantie müssen die Parteien die „besonderen Umstände der Übermittlung“, die „relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes“ und „alle relevanten vertraglichen, technischen oder organisatorischen Garantien“ gebührend berücksichtigen. Die entscheidende Veränderung entsteht wohl dadurch, dass diese Bewertung neu dokumentiert und den zuständigen Datenschutzbehörden auf Anfrage zur Verfügung gestellt werden muss.
In der Praxis könnte ein Fussnotenhinweis in den SCCs von Bedeutung werden. Nach diesem kann die Bewertung „einschlägige und dokumentierte praktische Erfahrungen“ aus früheren Fällen von Auskunftsersuchen von Behörden oder das Fehlen solcher Ersuchen einbeziehen. Dies könnte gerade für Organisationen, die bislang wenig oder überhaupt keine praktische Erfahrung mit behördlichen Anfragen nach ihren Daten haben, durchaus hilfreich werden. Damit dürfte das Risiko, dass Datenexporte durch eine (zu) strenge Auslegung des EuGH-Urteils (wie sie beispielsweise der Europäische Datenschutzausschuss, EDSA / EDPB in seinem Entwurf für ergänzende Massnahmen-Leitlinien angelegt hatte) stark respektive über Gebühr eingeschränkt werden würden, weitgehend gebannt worden sein.
Diese neuen „Schrems-II-Bestimmungen“ widerspiegeln darüber hinaus weitgehend, was sich mittlerwele ohnehin als Marktstandard für die Einhaltung von Schrems II (und auch ganz allgemein) herauszukristallisieren schien: Dass der Datenimporteur den Datenexporteur über jede Anfrage (oder jeden Zugriff) einer staatlichen Behörde informiert, sofern dies nicht verboten ist, und dass sich der Datenimporteur im Falle eines Informationsverbots nach besten Kräften um eine Aufhebung des Informationsverbots zu bemühen hat. Der Datenimporteur muss die Rechtmässigkeit von Informationsverboten und von solchen Behördenanfragen überprüfen und unrechtmässige Anfragen anfechten. Darüber hinaus darf der Datenimporteur nur das Minimum an Informationen zur Verfügung stellen, das notwendig ist, um den Aufforderungen der Datenherausgabe zu entsprechen.
Der Datenimporteur muss ausserdem regelmässig Transparenzberichte über die bei ihm eingehenden Anfragen erstellen (diese werden im Lichte des erwähnten Fussnotenhinweises relevant). Und der Datenimporteur muss den Datenexporteur benachrichtigen, wenn er glaubt, dass er nicht mehr in der Lage ist, die SCCs einzuhalten.
4. Anhänge
Wie die früheren SCCs bestehen auch die neuen SCCs aus einem Hauptteil (mit nicht verhandelbaren Klauseln) und drei Anhängen, in denen die Parteien die Einzelheiten der Datenexportvereinbarungen festlegen können:
- Anhang 1 enthält eine Beschreibung der Parteien, der Übermittlungen und der zuständigen Aufsichtsbehörde. Die Zuständigkeitsfrage beantwortet sich danach, wo der Datenexporteur seinen Sitz hat, es sei denn, der Datenexporteur ist ausserhalb der EU (oder des EWR) ansässig(diesfalls richtet sich die Zuständigkeit danach, wo sein Vertreter gemäss Artikel 27 EU-DSGVO ansässig ist). Auch der Gegenstand, die Art und die Dauer von nachgelagerten Übermittlungen an Unterauftragsverarbeiter müssen spezifiziert werden.
- Anhang 2 enthält die technischen und organisatorischen Sicherheitsmassnahmen, die zum Schutz der übertragenen Daten getroffen wurden. Diese müssen detailliert und nicht nur generisch angegeben werden.
- Anhang 3 enthält eine Liste von Unterauftragsverarbeitern und ist für den Fall vorgesehen, dass der Datenimporteur vom Datenexporteur eine spezielle Genehmigung zur Ernennung von Unterauftragsverarbeitern erhalten muss. Wenn stattdessen im Hauptteil die Option einer allgemeinen Genehmigung zur Beauftragung von Unterauftragsverarbeitern gewählt wird (vorbehaltlich vorheriger Benachrichtigung und Widerspruchsanforderungen), findet dieser Anhang keine Anwendung.
5. Und die Schweiz?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat sich bislang noch nicht zu den neuen SCCs geäussert. Wie bereits in der Vergangenheit ist auch bei diesen SCCs zu erwarten, dass der EDÖB sie als genügende Garantien für die Übermittlung von Personendaten ins sog. „unsichere Ausland“ akzeptieren wird. Die Adaption der SCCs an schweizerische Verhältnisse (insbesondere bezgl. Anwendbarem Recht und Gerichtsstand) ist weiterhin zu empfehlen.
6. Was ist nun zu tun?
Auch weiterhin lohnt es sich, überlegt und nüchtern vorzugehen. Mit den neuen SCCs zeichnet sich ab, dass Organisationen wohl mittelfristig wieder mehr Rechtsverlässlichkeit erhalten dürften. Dies kommt jedoch nicht ganz umsonst. Die bestehenden Datentransfers müssen innert Frist auf die neuen SCCs angepasst werden. Zudem wird die korrekte Implementierung und Dokumentierung der SCC (insb. das Befüllen und Aktualisieren der Anhänge) mit nicht zu unterschätzenden administrativen, organisatorischen und rechtlichen Aufwänden verbunden sein.
Die Advisor von LAUX LAWYERS AG verfügen über langjährige und praxisrelevante Erfahrung im Bereich der internationalen Datenübermittlung, namentlich auch im Zusammenhang mit sog. Intragroup Data Transfer Agreements. Sie stehen Ihnen gerne zur Seite, um die für Ihr Unternehmen wichtigen und richtigen Weichenstellungen zu planen und die Umsetzung der neuen SCCs rechtssicher aber pragmatisch zu begleiten.
Kontakt: alexander.hofmann@lauxlawyers.ch // thomas.steiner@lauxlawyers.ch
11. Juni 2020